无数个地方引用了这样一句话:"85%以上的安全事件出自内网";可口可乐也有一句话"保住了秘密就保住了市场";"力拓案"、"彩票门"引起了全国上下公众和政府的关注……
买了防火墙、防病毒、入侵检测就可以高枕无忧?
无论是政府还是企业,相对于门户网站被篡改等而"形象工程"被抹黑,"内鬼"造成的损失往往更大:U盘拷贝机密文档、文件打印测试报告、管理员对服务器的文件任意操作、数据库被非法复制、涉及单位核心机密的信息资产消失于无形,却无处追踪。。。。。。
技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航!
本期技术门诊我们邀请到网络安全专家、资深安全顾问张百川专家,以内网安全建设为讨论点,和大家讨论交流内网安全管理中遇到的问题及相应的解决方案。希望本次门诊能引起大家对内网安全的关注,共同为保护企业核心资产而努力!
本期专家:张百川
擅长领域:网络安全
专家简介:陕西电信实业公司资深安全顾问,曾任汉邦软科集团西北大区技术经理。MCSE、MCDBA、Linux网络管理工程师,多年信息与网络安全从业经验,对涉密网建设有深刻理解和认识,参与或主持了超过50个涉密网项目,客户遍及政府、航空、航天、兵器、电子等行业,具有丰富的安全理论和实践经验。对桌面终端安全、漏洞扫描与评估、WEB安全、数据库安全、运维操作管理等有深入研究。以"A:"为名在《黑客防线》《黑客X档案》《电脑安全专家》等专业安全杂志发表文章30余篇。
查看本期门诊精彩实录:http://doctor.51cto.com/develop-146.html
参与最新技术门诊:http://doctor.51cto.com/
精选本期网友提问与专家解答,以供网友学习参考。
Q:张老师,您好!很高兴有机会向您讨教。先简单叙述一下目前我所在公司的现实环境:
公司分有五个主要的部门,各部门网络环境相对独立,内网外网相结合,除了每台机器装有单机版的杀毒软件没有其他任何安全保护。对于所谓的保护公司核心机密,主要是采取限制一小部分USB接口。也许管理层应了这句话:用人不疑,疑人不用。
用几个字概括一下:很险很开放。各部门文件共享主要是工作组形式,现在已经暴露出很多的问题。但是禁用USB员工说输出文件不方便,采取域管理或许能稍微缓解。员工行为管理及相关知识培训做过,并且每期的公司内刊都刊登了相应文章,但是效果不明显。可否请问老师:我需要从哪方面下手?或者着重解决哪方面?谢谢!
A:看您单位所处的行业和对敏感资料的重视程度,每个单位的实际情况都不同,因此不可能有一个通用方案适合所有的单位。另外安全性和便捷性总是有些相悖的,关键看信息资产的重要程度,如果十分重要,则老板看中,员工也都看重。内训是要做的,但是尽量采用现场操作的方式,毕竟影像比嘴说更有效果。个人建议评估下资产重要性,按照重要性进行安全防护,如果有兴趣,可以搜一下"等级保护",网上相关资料很多。常见内网控制手段:主机审计、介质管理、文档加密、分发控制。
Q:当企业内部都部署来防火墙、防病毒、入侵检测等设备之后,还是存在等一些内部资料外漏的情况,我们需要怎么来解决这类情况呢。
A:企业部署了fw、av、ids,虽然可以阻止、检测一些攻击行为和恶意代码,但对于主机而言,usb端口、红外、蓝牙端口无任何防范措施,U盘、移动硬盘、智能手机还是可以随时使用,因此依然不安全。现在内网安全的几个热门产品是:终端安全管理系统、移动存储介质管理系统、计算机端口控制系统、文档加密系统、文档权限分发控制系统,另外,针对通过网页提交、电子邮件发送、Telnet、FTP方式的信息丢失,可以通过上网行为管理系统、网络审计系统来实现。
Q:小型企业必需具备的安全设备有哪些呢?
A:规模、应用、需求,这几个都得知道。因为我不知道您说的小型企业具体规模多大,10台?100台?500台?另外也和行业有关,不同的行业有不同的业务(应用)系统和实际需求。不过防火墙、防病毒是必须的。内网如果担心核心资料外泄,那么数据防泄漏产品也是需要的。
Q:windows2003WRM要怎么去部署来保证邮件的安全?(内网数据安全)
WRM我们一般都部署来对OFFCIE文档的权限进行设置,比如只充许域中某个用户只有只读,而对文档没有复制的权限,它也可以用EXCHANGE。通常我们内网中邮件传输是不加密的,通过一些手段可以获取得到。通过WRM我们可以对邮件及附件进行加密和权限设置。它与证书加密有什么区别,具体要怎么去部署?
A:据我所知,WRM可以利用Windows自己架设的CA实现邮件安全,而现在《中华人民共和国电子签名法》认可了第三方数字证书,当然这个有个名单。有个资料可以参考:http://www.borg.com.tw/Starter/Portals/57ad7180-c5e7-49f5-b282-c6475cdb7ee7/IRM_DRM.pdf
Q:如果用IPSEC对内网传输进行加密的话,传输效率有多大影响?
A:加密后效率为正常的70-80%,但是如果采用加速方案,效果好一些。如思科、深信服的产品,有加速效果。
Q:如果用ISA2006做为内网的防火墙,一般要怎么样来配置比较好?(策略配置多了,影响效率,少了就不安全了。所以感觉很矛盾)
A:安全产品的配置应遵循"最小授权"原则,安全和效率、易用性总是不成正比的。由于ISA基于Windows,因此系统自身的安全性也对其有影响,如果可能尽量采用有国家相关资质的硬件防火墙。安全总是相对的,可以根据具体的业务,适当调整策略。
Q:我想问我要禁止公司的人上某些网站,例如开心网,但如果里面的人会用代理去登陆,那我的ACL就起不了作用了,而且代理的网站那么多,我不可能全部手动封完,请问有什么好方法?
A:禁用代理,这个上网行为管理系统可以实现,并且比用ACL强大的多。您可以在百度或Google搜下,百度首页都几乎全部是推广的了。呵呵
Q:对于内网安全这块,如何选择实用的网管软件?请专家推荐几个(像聚生网管这类通过ARP欺骗的不要)
A:您提到了聚生网管,应该是上网行为管理、流量控制之类的了。软件用的相对少一些,要做的更彻底,建议选用硬件产品:网康、深信服、AceNet、L7都是不错的选择,不但可以对单个用户进行流量限定,亦可对某种应用限速,如对迅雷限速,或者给某个用户限定多少次请求,或每个用户每天能有多少流量可用。对各种迅雷、电驴等有良好的效果。你可以搜一下我说的这几个产品。
Q:我的环境是有一台ISA服务器,一台DC,安装了IAS服务。在ISA启用了WEB代理,并且启用了RAIDUS身份验证。但身份验证都没成功,DC上的日志如下:
事件类型:警告
事件来源:IAS
事件种类:无
事件ID:2
日期:2009-10-16
事件:16:31:26
用户:N/A
计算机:SHDC
描述:
用户shixun\administrator被拒绝访问。
Fully-Qualified-User-Name=SHIXUN\administrator
NAS-IP-Address=10.0.1.254
NAS-Identifier=<不存在>
Called-Station-Identifier=<不存在>
Calling-Station-Identifier=<不存在>
Client-Friendly-Name=ISA
Client-IP-Address=10.0.1.254
NAS-Port-Type=<不存在>
NAS-Port=443
Proxy-Policy-Name=对所有用户使用
Authentication-Provider=Windows
Authentication-Server=<未确定>
Policy-Name=<未确定>
Authentication-Type=PAP
EAP-Type=<未确定>
Reason-Code=16
Reason=由于未知的用户名或错误密码,身份验证失败。
有关更多信息,请参阅在http://go.microsoft.com/fwlink/events.asp的帮助和支持中心。
而ISA上有远程拨入VPN也是启用RADIUS身份验证,但可以正常拨入。为什么WEB代理就出现这样情况,期望专家为我解答一下?
A:日志最后面:Reason=由于未知的用户名或错误密码,身份验证失败。ISA和DC互通过程中身份验证方式的问题,请检查。您可以参考下这个帖子:http://topic.csdn.net/t/20031103/18/2423209.html
Q:内网安全,是不是要求管理层面的力度比技术层面的力度要大些哪?
A:一般说"七分管理,三分技术",特别是内部网络的安全。如WEB安全,做好技术上的就问题不大,但是内网很多人都能接触到别人的计算机,所以更重要的是管理。我遇到很多单位实施内网安全产品,往往被技术部门的员工把客户端卸载或破坏,出现这样的就必须用管理手段了,因为没有一款产品能做到100%的自身安全,哪怕通过了相关部门的测试。我经常举例子给他们,说:安全产品就是单位买的门和锁,谁弄坏了,谁就赔,就要罚款!用Windows的域管理,要相对好一点。
Q:内网中,入侵检测系统怎样部署,才能检测到具体是哪一个端口、哪一台PC有问题?
A:IDS为旁路设备,如果设备有报警,都会有IP地址的,这样可以定位到出问题的主机。当然IDS的误报比较多,这个要注意甄别。如,有的IDS默认对ping都报警,或对ARP的解析也有信息,量就很大了。可以对扫描设置一个阈值,超标则报警。
Q:如果公司经费紧张,而且属于生产制造企业,请问对于保障企业核心机密应该从哪里开始着手能够达到性价比最高?请说明一下先后次序。(生产制造企业一般来说经费考虑信息部门的不多,更不要说经营紧张的了)
A:1、操作审计;2、端口控制;3、文档加密;4、文档权限控制。现在1和2可以做到一起,3和4一般做在一起。当然现在四者做到一起的也有,个人一起用,因为现在一些数据防泄漏厂家都可以把四者做到一起,用的时候也简单。如果资金紧张,建议做文档加密。这样即使传出去,也不会被别人破解。
Q:我们已经部署了趋势网络版的,现在局域网的病毒特别的严重,如何才能有效的防护?如何可以检测到哪一台PC又问题?
A:据我所知,所有的网络版都可以看到是哪一台计算机中毒了,您可以仔细看看去是网络版的说明书。另外,局域网病毒严重很多是由于USB传播,如很多ARP类都可以通过U盘传播,另外建议安装360安全卫士,开启防护。如果购买了趋势的产品,可以要求厂家或代理商提供一定的技术支持。另外,Windows系统常打补丁,并最好不要用管理员帐号。
Q:如果我想在公司里做一个非常简单的数据备份,用一般的PC做服务器就够了,系统是Windows2003,如何设置既方便又安全的实现如下几点。(因为以前有过这种情况,由于硬盘问题导致数据丢失,一些重要的文档无法恢复)
1、每个人有自己的空间,不要多,只要10M到50M,放一些最重要的文档
2、每个人只能看自己的文件夹,其他人的文件下对自己透明,自己的文件夹对别人也是透明。
A:如果担心硬盘损坏,可以用RAID,或者采用专业存储解决方案。你说的限定用户的空间,可以用Windows的磁盘配额功能实现;通过NTFS设置权限,实现每个用户只能管理自己的文件夹,对别人的目录无法读取。
Q:专家你好,我这两天正在为局域网安全犯愁呢。
你说到了三分技术,7分管理。但是我7分管理在我这里行不通,所以需要技术来解决。
公司是属于软件开发类型的,每个员工机器上都有部分代码,害怕员工把自己机器上的代码偷走。环境是AD,所有的机箱和USB都封锁了。主要还有交叉线对联的安全漏洞和外部笔记本接入的问题。虽然交换机开启了端口安全,但是毕竟自己员工,可以搞到对应端口的MAC地址,所以我想请问还有没有其他方法呢?尽量不要使用硬件,预算部足。谢谢!
A:现在基于802。1x的非法接入控制方案是无法满足双机直接拷贝的问题的,但是可以解决外部笔记本接入的问题。有厂家出的"可信域"产品可以解决这个问题,实现方式:在所有计算机安装Agent,如果对方没有,则不与对方通信。并且可以划分"可信"和"不可信"域,这样外部计算机即使装上了Agent,由于没有管理员授权也无法和内部计算机通信。
Q:AD+ISA进行内网管理,安全性还应该注意哪些方面?
A:USB、红外、蓝牙,甚至串并口。操作系统下面,用户A拷贝了文件给B,B发送给C、D,权限是不好控制的……另外打印行为也要注意。
Q:我想请问专家的是,对于一个中小企业,对IT方面的投入不是很大,一般用路由器作为防火墙,除了内网的病毒更新、服务器的补丁更新之外,还应该注意些什么?谢谢!
A:传统的三件宝:防火墙、入侵检测、防病毒,不过现在很多用入侵防御系统替代防火墙和入侵检测,如果有文档需要保密,则需要数据防泄漏。用路由器做防火墙也没有太大的问题,就多数客户的情况来看,注意终端数据安全即可。
Q:我自己是觉得集成的好用,所以采用的安全方案是ISA(加了功能组件,可以做到病毒防火墙的功能)+AD+RMS+公司行政支持。专家认为还需要注意哪些问题?
A:内部网络的攻击行为检测,网络审计、主机行为操作审计、终端防病毒,如U盘病毒,以及ARP欺骗等……有可执行的、针对内部业务的AD策略,有RMS,信息失窃的可能不大。能有公司强有力的行政支持,这一点很难得。
Q:我内网单位有较多的数据库,除了安装好软硬件防火墙及单机的杀病毒软件,还有哪些手段可以防止相关的攻击和病毒。如SQL注入等等?
A:如果不放心WEB和数据库安全,可以考虑IPS和WEB应用防火墙,和数据库审计。建议用专业的WEB和数据库评估产品进行评估,SQL注入的问题可以通过上面说的WEB应用防火墙、IPS实现,当然最彻底的办法:用WEB评估工具扫描漏洞,进行漏洞的修复。病毒用防毒墙和客户端防病毒就差不多了。
Q:电子阅览室机器比较多,有没比较有效的管理软件可以限制个机的上网流量控制,特别是针对众多学生在线看电影,P2P下载等等,以及有计时功能?
A:上网行为管理系统,有软件的,也有硬件的。如果只是纯粹的限速,可网管交换机一般都能实现。用上网行为管理系统,好一点的,可以直接禁用P2P、电影网站,效果比较好。
Q:我现在所工作的企业内网已经划分出来了内网与DMZ区,请问专家,我需要不需要在内网和DMZ区各加一台防火墙?如果需要加,是做成背靠背好还是其他的方式?
A:现在防火墙1台即可通过配置端口实现DMZ和内网并设定策略,因此多数单位不需要再增加防火墙。但是很多要求较高的单位往往在DMZ和内网,甚至内网的不同网段之间继续部署不同于网关防火墙品牌的防火墙,或IDS,部署方式没那么严格,适应自身业务需求即可。
Q:张老师,在内网中,对于非法终端接入有什么好的解决方案?MAC绑定,终端注册接入都有缺点,我希望非法终端(windows或非windows系统)一接入网络就能报警并阻断其联入网络,可能吗?
A:IP、MAC、端口,三绑定,实施最节约,后期麻烦一些。并且不能阻断外部带入笔记本直接双机互连拷贝的情况。常见的802。1x方案也无法解决这个问题,建议采用某些厂家的可信域管理软件,必须在计算机安装agent,基于分布式防火墙做的,能智能判断对方是否和自己属于一个可信域,如不在一个可信域则隔离访问,能做到外面进不来(必须有客户端,且管理员验证通过,还必须在一个可信域或一个安全策略下),里面的出去也无法联网。
Q:张老师你好,请问现在在大中型企业流行什么加密软件或加密方式?PGP在大中型企业流行吗?为什么呢?
A:现在大中企业一般选用两类:1为用户主动加密;2为用户被动加密。前者表现为保存到单独的某个文件夹、邮件加密、数字证书加密;后者表现为现在常见的透明加解密。个人更倾向于后者,并且现在一些文档权限控制系统一般都有加密+分发+审计功能。我遇到的用户里面PGP用的少--虽然教科书里面常用,但是我遇到一般只是安全公司的人用的多。企业一般都购买国内的商业产品,加密类产品由于政策限制,国外的商业公司渗透难度较大。
Q:我想请教下张老师,在NAP,打印控制和U盘写保护下怎么做到客户端和server,switch之间的稳定。谢谢您!
A:和NAP相关的一些技术:AD、802。1x、动态VLAN、DNS、DHCP……,正是因为其复杂性,我遇到的一些客户就因为存在问题而未选用这样的解决方案。数据和策略的同步,往往是个问题,如同在AD下面,有时候用户需要20分钟才能登录到系统,删掉账户重建一个就OK了,这样的问题在多家用户的实际应用中都遇到过,因此一些用户选择了第三方解决方案。有时候一些问题让人恼火,正如比尔盖茨演示XP的时候死机一样……
Q:您好!张专家,向您请教几个问题:
(1)众所周知,真正最大的威胁是来自于内网,而不是外网,那么您认为要想确保内网的相对安全应当具体从哪些方面入手
(2)您能向我们推荐企业比较实用的IDS以及杀毒软件
(3)要想确保数据只能在局域网内部使用(用U盘或其他可移动存储设备拷贝出去使用不可用)
除了使用防拷贝软件,在技术上有没有其他好的办法来实现,如果只能通过防拷贝软件来实现,那么选择哪一种软件比较好!谢谢!祝张专家周末愉快!
A:1、内网安全,管理为重。案例培训等,让员工有危机意识。这一点政府、军工企业做的比较好;
2、企业用的IDS:启明星辰、绿盟、安氏、天融信、华为(H3),杀毒推荐McAfee、Kaspersky、Symantec、TrendMicro;
3、介质管理(外面U盘进不来,企业U盘出不去,U盘拷贝加密)、文档加密(推荐透明加解密)、文档权限管理(在文档加密的基础上,实现文档分发的权限控制功能)。从资金投入上来说,介质管理、文档加密、文档权限管理依次增加,但是安全性更好。这个可以根据企业自身需求进行调研。
Q:个人理解在企业的管理层面上加强安全性,得到的实际效果比单纯的从技术角度注重安全要大,企业还是应该实现安全的管理制度化,希望老师能给点建议。
A:看到一本书上说过,说企业实施安全策略,如果获得了高层支持,则已经成功了一半。仅凭信息中心的几个人,即使累死,也不可能管理所有人,但是如果有总裁的一纸内部红头文件,则一切问题都不再是问题。对企业而言,安全管理大于技术实现。并且就纯技术而言,有矛,就有盾,而从管理上下手,员工都是遵从的。
Q:目前内网安全的产品很多,都需要客户端程序。绝大多数的产品都会出现不兼容现象,更有不成熟的内网产品装上之后,PC运行极慢,请问下,那家的客户端比较好些?
A:我在这里说哪一家好必然有广告的嫌疑,呵呵。我建议您可以参考下产品的客户群体,最好是高端用户、分布式实施的用户,测试的时候装30台机子,运行一个月看看。否则这个很容易出问题。另外实施内网安全产品,注意一定不要片面追求功能,如果大部分功能砍掉,只要自己需要的功能模块,出问题几率就小多了。
Q:就刚才备份的问题。个人电脑做RAID太奢侈了。另外一个个增加访问权限在用户管理里面添加用户太麻烦了,因为至少要考虑200+的用户,有没什么更加简便的方式?
A:从命令行键入:FOR/L%iin(1,1,500)DONETUSERMyUser%i/ADD结果将创建500个新用户,分别命名为MyUser1、MyUser2。。。,依此类推。如果不想用RAID,就在增加一台PC做备份吧。呵呵
Q:内网的安全,除了文件的拷贝,密码的外泄之外,会不会出现病毒之类的攻击!?
A:内网莫名其妙出现病毒的情况不大,除非企业里面高人多,可以自己写,或网上下载了哪来修改。不够用木马的可能性倒是比较大……曾经有多个朋友问我,如何给同事中木马的问题……不过一律拒绝。
Q:我想问一下专家为了内网的安全是否安装了隔离卡就一定安全,还有就是公司一台arp服务器经常有报攻击,但是主管安全的领导说大部分情况属于误报,请问专家是否有这种可能性。
A:隔离卡只能从物理上保障内外网的隔离,如果你用U盘把内网从文件拷贝到外网,还是无法实现安全性。ARP服务器?输错了?网上多数的免费ARP防火墙做的还是不错的,如果不放心可以装一个上去。
Q:关于网络安全!不知道防火墙对企业的重要性!我个人觉得网络安全可能大多数时候可能最重要的是管理好防火墙!对防火墙应该更好的管理!同时请专家介绍几个起到很关键性作用的网管软硬件(适用又不太贵~`_~本单位经费有限)
A:如果严格执行企业网络在规划阶段的安全策略,实际上防火墙的作用是相当大的,而实际上很多防火墙要么在当路由器用,要么设置的策略完全是不符合公司现有业务需求,这个很重要。网管产品,我不知道说的是上网行为管理还是网络设备管理。上网行为管理的话,国内:网康、深信服、网际思安、金盾……都行,这个搜索引擎搜一下很多,到时候测试下就可以了。难点在于WEB迅雷和跑80端口的封堵,这个少数设备做的比较好。网络设备管理的话,国内几大家:游龙、北塔、网强、摩卡。上网行为管理的还有几个软件的,也可以用。呵呵
Q:内部网络如何做日常的漏洞巡检,有没有比较好的免费工具推荐?内部网做了VLAN网络隔离,如何扫描到每个主机MAC,并对密码的强弱进行判定?
A:制定切实可行的安全策略,做好审计日志及相关工作,漏洞检测尽量不要做包括破坏性的测试,以免影响业务系统。免费工具推荐Nessus和NMAP。内网做VLAN并不影响扫描到主机的MAC,前提是扫描MAC的主机应该在被允许访问的VLAN内,如服务器的VLAN、公共访问VLAN。密码强弱最好依靠策略判定,如域策略,否则如果靠扫描,大型网络里面耗费时间很多,也不可靠。
Q:您好,关于内网安全,一般怎么可以提升内网安全?如何实现内网安全管理和安全控制?
A:相比公共访问区的安全,内网安全更倾向于安全管理。内关于实现内网安全管理、安全控制,建议看下等级保护的相关文档,如《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》。这几个文档是写的相当不错的,网上可以下载到。因为太全了,所以很难在几句话之内说清。
Q:看到大家都很踊跃提问,我本来是提不出什么问题来。重在参与。也提一个。大家问的问题五花八门,一下子弄全面、系统还真的不容易。
请教下专家,一个目前最好的内网安全解决方案有吗?最好具体化、细节化。
空洞的理论也很重要,但是企业的员工并不懂,我们也不太懂。
A:最好的内网安全解决方案并不存在,只有适合的才是最好的。就像每一个安全产品厂家都声称自己的方案最好、产品最好,实际上大家都知道这是商业策略。满足需求、成本合适,就是最好的。就像很多10-30人的小企业,按照等级保护的要求去做的话,可能公司1年的利润还不够买防火墙、IPS和审计、加密产品的,还是那句话:适合的就是最好的。理论上的东西您可以搜下,圈子里面的牛人吴鲁加写的一个PPT"20080319_企业内网安全实践与思考。ppt",以事例将安全,做的很好。
Q:您好!公司有一些比较机密的文件放在一台文件服务器上但是经常听到有关部门的人反映文件丢失和泄漏,想问下怎么防止公司文件被员工用U盘拷贝,用邮件聊天软件发出。(但公司一些有需要的人要可以正常使用)
A:防止拷贝文件泄密可以用移动存储介质管理系统,也可以用终端安全管理系统(桌面管理),不但可以对U盘、移动硬盘进行允许/禁用,也可以进行授权,也可以对文件操作进行记录。防止用邮件聊天软件发出则用上网行为管理系统,可以控制,也可以记录。这个在设备上面做下权限分配即可。不过直接用文档加密亦可。
Q:这边已经在交换机上做了IP-MAC绑定,限定一个交换机端口只能连一台电脑,有高人弄个小路由联整个办公室上网,你说愁人不?咋整?
A:这个问题:小路由模拟成绑定的MAC就能上网了。最简单的方式:在防火墙上限定每个用户的并发连接数,这样如果几个人上就经常超过限制,打不开了……当然,不治本。电信一般用网络尖兵之类的软件探测,不过企业自己购买可能性不大。
Q:我们现在所做的上网行为管理,等等是解决不了绝对安全的,,比如可以打印出来带走,,或者是机密文件带走后,公司才能发现,,请问专家什么意见?
A:主机审计和监控系统(桌面管理、终端安全管理系统)可以做到这个。如:文件的创建、写入、拷贝、读取、删除,包括网上邻居对文件的操作;谁、什么时候、通过什么软件打印了什么文件?文件名是什么?甚至可以记录被打印文件的正文;控制各种端口,如USB、红外、蓝牙、1394。
Q:公司有台数据库,请问专家:是做raid好还是做集群呀,等待回复/谢谢
A:二者用途不一样。您的应用主要是为了安全吧?那么RAID好一些,集群主要为了应对大规模的网络环境而设计。
Q:一个关于vpn的问题:如果我在公司用win2003搭建一个vpn服务器。怎么才能让家里的电脑能连上呢。想不明白,但是我在虚拟机上不同网段的pc可以实现,但是真实的情况就……请问专家能否实现?
A:服务器的操作系统有公网地址没有?你在家的时候,连接不上提示什么错误?既然在虚拟机可以实现,从家里到公司也不应该有问题。没有策略限制吧?
Q:公司中一病毒,在病毒瘋狂在內網的近千臺客戶端內傳播,而殺毒軟體和補丁無法起作用,可否針對病毒的特征設置策略,禁止該客戶端訪問內網資源。
A:首先确认是什么类的病毒,文件传播?U盘传播?网络传播?ARP欺骗类?然后制定相应的解决方案。您可以看看TrendMicro、Symantec、McAfee的安全解决方案,如果中毒或没有实施企业的安全策略(如补丁策略等)则无法访问网络资源,都是可以做到的。另外如果您仔细分析了病毒,参考下相关资料,可以发现一些通过网络传播的病毒可以通过防火墙或智能交换机阻断。
Q:A网中有大量监控视频头(一个视频头使用一个IP),想在不同网段的B网(可用IP较少)中查看并可控制视频头,中间路由相联,使用NAT会不会存在问题?我想到的是,能不能使用B网IP+固定端口对应A网固定IP方式。如能对性能影响不大,有上千台设备。另还有没有其它方法,让B网使用A网时,A网地址都是B网段地址?
A:您最后一句话我没看明白,我对您说法的理解:B网访问A网的时候用端口,并实现安全性。用NAT是没问题的,不过用路由器设置上千台设备从IP到IP+端口的访问,工作量大一点,制定一个ACL,可以做到。
Q:我想问一下关于windows2003PKI软件限制策略怎么用来提高安全性
A:软件限制策略提供了一种由策略驱动的方法,以识别软件并控制其运行能力。管理员将定义规则来控制允许软件运行的时间。这些规则包含在组策略中,这样即可在站点、域或组织单位(OU)上设置这些规则。
软件限制策略中包含用于决定软件是否应被允许运行的默认规则及默认规则的例外情况。它允许管理员定义一个用于指定是否所有软件都运行的策略。例如:某个默认选项是除指定的程序组之外所有软件都可以运行。而另一个默认选项则是除指定的程序组之外所有软件都不能运行。请参考微软网站的文章:http://www.microsoft.com/china/technet/prodtechnol/winxppro/plan/pkienh.mspx
Q:张老师,现在有一个棘手的问题。我有600多台的客户端机器。配置为双核CPU+80G硬盘+2g内存+还原卡+有盘系统XP,目前确定中病毒了。病毒特征为,无法删除、重命名文件夹。目前知道只要删除两个dll病毒文件就可以了。只有周日才有时间大批量维护,您有什么好的意见吗?
A:您的计算机安装了还原卡,我不知道是在装卡前中毒还是装了卡之后中毒?你说的2个dll文件是什么名称?您可以搜一下相关资料。我知道能穿透还原卡的病毒只有机器狗,但是机器狗是通过pcihdd。sys进行破坏,并不是你说的。dll,加之也不知道您的计算机是在安装还原卡之前已经中毒,还是之后,因此无法判断实际情况。我在根据您说的情况搜了下,也没找到相关信息,建议找个周末维护吧。
Q:一个企业网络,用的是网件的防火墙和飞鱼星行为管理路由,想用路由划分两个子网,需要在防火墙里面怎么设置,不设置就上不了网,但将路由接到主交换机可以正常上网
A:不同品牌,甚至同品牌不同型号的产品配置往往不同,因此我也无法判断应该如何设置。建议联系防火墙厂家寻求技术支持。
Q:请问下,现在企业对于安全的要求上,一般都认为是硬件的好,我十分不明白这些对于软件来说都是可以做到的,那么为什么我们还要去购买防火墙?
A:现在很多软件是基于Windows的,其安全性一直为人所诟病,因此,开源的、精简的、优化了性能的、提升了安全性的Linux往往是首选,另外由于Windows服务器在企业里面往往也被用作别的用途,而硬件的网络设备却一般无法挪作它用,因此稳定性相对而言要好的多,且一般都是定制开发的硬件平台,这样的话稳定性、安全性、执行效率都要比软件的好一些。
Q:张老师,请你解释下大中型企业如何进行邮件加密。还有你说"企业一般都购买国内的商业产品",我看过国内很多商业产品都很垃圾,国内有什么很好的加密软件吗?比PGP还安全吗?事实上我觉得PGP最适合笔记本用户,因为一旦笔记本丢失,用PGP加密过的磁盘即使进入pe也无法查看!非常安全,网上我还没找到可以破解PGP的软件或方法!
A:邮件加密,商业公司一般采用第三方数字证书进行加密,主要是中华人民共和国电子签名法认可数字证书,并公布了一批名单,一般命名为XX省CA。受法律保护。加密软件我推荐TrueCrypt,免费,且使用简单,加密强悍。支持多种加密方式和加密算法。
Q:请问,2003server的服务器要不要打补丁呢?用windows自带的更新补丁速度太慢,忍受不了,用一些辅助工具把,又不放心。
服务器真的有必要要打补丁么?打补丁真的能有效果么?
A:毫无疑问,补丁是必须的。如果自带的慢,可以用360安全卫士的,稍微快一些。
Q:张老师你好!我是一个网络安全的初学者不知道现在可以看哪些书籍来学习网络安全的知识及提高这方面的能力了?
A:建议去www。china-pub。com看看,计算机类的书蛮多的。另外操作系统是必须要学的,这个是基础,建议WindowsServer和Linux都看看。如果经济条件允许,不妨看看微软、思科、红帽认证的一些教材。
Q:在内网中,如何防止U盘拷贝文件?
A:1、在bios中封掉
2、修改注册表
3、通过策略,可以是本地策略或与策略
4、内网安全管理软件控制
5、移动存储介质管理系统控制
Q:请问无线网环境如何防止接入,ip物理地址绑定后,如何防止修改xp网络高级属性的物理地址从而上网?
A:选择强加密方式,增加复杂密码。如果担心修改MAC入网,建议使用数字证书,上网的时候必须有数字证书才能使用网络。
Q:专家您好,想咨询一下是否可推荐几本LINUX网络安全管理方面的书籍,小D想进行系统的学习一下Linux网络管理,谢谢。
A:个人的阅读习惯不一样,我喜欢的不一定喜欢你。不过推荐个:http://www.china-pub.com/37429您也可以看看这个页面http://www.china-pub.com/s/?&displaytype=1&key1=linux+%b0%b2%c8%ab&type=&pz=1&ordertype=4
建议看看书的目录和评论。
Q:我公司是单域,现有有个安全问题,怎么做才可以实现服务器上的资料只可以打开修改,不可以拷贝到本机或上传到网盘呢?
A:实际上在打开的过程中,已经读入到本机内存了……因此总是有办法拷贝出来的。到是有产品可以强制保存到服务器,而本机禁止再拷贝,且实现了加密功能。打开的人获取不到未加密的文件,因此也就不存在泄露的可能了。或者建议简单一点,直接透明加密或按照权限分发,这样在本机和在服务器都一样,即使外发,也不会造成损失。
Q:请问如何防治arp攻击?虽然目前360能起到一定的作用,但是效果也不是太好!谢谢!
A:IP、MAC、Port三绑定,主机安装ARP防火墙或用arp-s。另外有厂家现在推出了安全交换机(有些路由器、防火墙也是可以的),可以有效检测ARP病毒,一旦检测出来则自动关闭端口10分钟(可以自己设置阻断时间)。
Q:你好专家!我想问问现在企业中的机密信息如何保护以及使用哪些技术手段进行保护?谢谢!
A:如果说最重要的,还是得从保密意识上做起。毕竟最重要的知识产权永远在人的大脑而不是在计算机上。看不同行业、不同需求。一般从网络、主机、应用、数据几方面考虑。最简单的来说:端口控制、介质保护、文档加密。
Q:内网安全除在核心层做好安全防御处,对单机用户如何做好防御?采用什么方法来做比较好?
A:单机,一般从端口、介质进行管理,另外包括系统的身份认证、操作行为审计。也有在使用单机的文件保险柜。
Q:您能否对市场上常见的内网安全产品做个对比和分析,以帮助我们在选择时,能够做到有的方矢,谢谢!
A:内网安全产品分身份认证、安全审计、文档加密等很多种,身份认证有卫士通、格尔等;安全审计有北信源、汉邦等;文档加密有亿赛通、前沿等。
【编辑推荐】