網路內網安全弊病

　　現在我們用的網際網路的時間越來越多，需要掌握的網路技能也很多，那麼你瞭解嗎?下面是小編整理的一些關於的相關資料，供你參考。

　　一：對郵件等需要授權的訪問沒有采取SSL加密機制

　　企業中不少的資訊化系統需要授權才能夠進行訪問。如對於郵件系統，使用者只能夠訪問自己的郵箱。對於檔案伺服器，也只能夠訪問授權允許訪問的檔案。而這些控制，基本上都是通過使用者名稱與密碼來進行限制的。

　　在內部網路中，先主要採用的是HTTP與HTTPS兩種訪問機制。前者HTTP其特點是對於傳輸中的資料沒有進行任何的加密措施。即使用者名稱與密碼在網路中都是明文傳輸的。如此的話，通過網路嗅探器等工具，就可以輕而易舉的竊取到使用者的使用者名稱與密碼。從而進行破壞活動。而如果使用者名稱與密碼資訊洩露的話，最好的安全措施也無濟於事。筆者的建議是，對於一些重要的應用，如郵件、檔案伺服器等等，最好採用HTTPS協議。這個協議的特點是在資料傳輸過程中採用SSL加密機制對資料進行加密，以確保使用者名稱與密碼的安全。

　　內網安全管理中的內容很複雜，很廣泛，文章就知識介紹了幾種弊病，供大家參考。但是這絕對是比較經典的一些問題。各位可以針對企業自己的實際情況，來進行自我檢查。對於內部網路安全來說，要重在預防。

　　二：在同一個伺服器上部署過多的應用程式

　　在同一個伺服器上部署多個應用程式，這種情況在企業中也是司空見慣的事情。這雖然可以在一定程度上降低企業資訊化部署的成本，但是也增加了伺服器的安全隱患。假設現在一家企業的一個伺服器上部署了三種應用，此時包括作業系統在內的話，其實就有四種資訊化系統。如果一種資訊化系統存在2個安全漏洞的話，那麼這臺伺服器現在就有了8個漏洞。如果沒有采取嚴格安全措施的話，那麼攻擊者只要利用其中的任何一個漏洞，就有可能竊取伺服器上的內容，甚至控制伺服器。

　　這就好像一條鏈條。如果鏈條上的一個個環越多，其安全效能相對來說就越差。因為任何一個環斷掉的話，整條鏈條就會報廢掉。而環越多的話，則出現斷掉的可能性就會越大。總的來說，企業如果需要在一臺伺服器上部署多個應用程式並不是不行，但是在數量上需要有所限制。一般情況下不要超過三個。同時對於一些重要的應用，如資料庫等的功能，最好採取單獨的應用伺服器，以保障其安全。而且還需要採取一些必要的措施，如虛擬CPU等技術，來給多個應用程式提供相對獨立的工作環境。

　　三：不注重後續的追蹤

　　有不少的企業，在網路設計與組建時，非常關注企業內部網路的安全。如禁用不必要的服務、禁止使用移動裝置等等。但是在這方面他們也存在著一定的誤區。就是非常重視前期的設計與配置，但是卻缺少後續的追蹤機制。

　　如對於檔案伺服器來說，企業可能有比較安全的許可權訪問機制等安全措施。但是卻缺少訪問稽核機制。也就是說無法判斷這個安全措施是否到位，也無法分析使用者是否存在著越權的訪問。在這種情況下，可能只有在最後出現問題的時候，才能夠發現這方面的不足。筆者建議，在前期做好安全設計與相關的配置固然重要，但是在後續日常工作中也需要最好追蹤分析的工作。當發現原有的配置跟不上企業安全的需求時，需要進行及時的調整。如對於檔案伺服器來說，可以啟用審計功能。將使用者的未經授權的訪問都記錄在案。然後對這個資料進行分析，以判斷使用者可能的攻擊行為。

　　四：沒有使用逆向代理來減少埠的開銷

　　隨著企業資訊化管理的普及，現在企業越來越不滿足於內部使用者使用企業的資訊化系統。如有些企業可能會在外地開設辦事處。企業就希望這些辦事處的人員也能夠訪問企業內部的伺服器。再如為了出差在外的員工工作的方便，也允許他們從公共網路連線企業內部的伺服器。

　　如果要允許企業內部的伺服器被外部使用者通過網際網路進行訪問，那麼就必須要在防火牆上開啟多個埠。而這種情形就會增加企業內部的安全隱患。道理很簡單，這就好像是開一幢房子開了多個門。管理員無法兼顧到多個門的安全。如企業部署了微軟的即時通訊套件。如果需要允許外部使用者使用這個即時通訊伺服器的話，那麼就需要在防火牆上開啟十幾個埠。這無疑大大降低了企業內部網路的安全性。當遇到這種情況是，筆者建議使用逆向代理機制。逆向代理的伺服器一般位於網際網路和本地需要開發多個埠的伺服器之間，基本上跟防火牆伺服器是並列的。採用逆向代理的話，可以讓伺服器在進入外網前先隱藏起來，同時還可以保障外部的惡意請求不會到達伺服器。在安全方面，跟NAT技術有異曲同工之妙。不過從管理成本與效能開銷上來說，要比NAT伺服器低很多。

　　五：自簽名證書不相容會惹禍

　　IE瀏覽器一直是微軟作業系統與伺服器的安全重災區。其中使用者的不正確設定是其總要的一個原因。微軟為了改善這種情況，在微軟的一些產品中，如 Exchange中加入了自簽名證書。簡單的說，就是當企業使用者沒有采取任何安全措施的話，那麼系統就會自動啟用自簽名證書，以啟用一定的安全加密機制，如SSL加密等等。

　　這種預設的安全措施在一定程度上提高了系統應用的安全性。特別是對於那些沒有安全觀念的使用者來說，能夠啟動不少的幫助。但是到現在為止，這個自簽名證書的作用只限於微軟的產品。如企業現在使用的是Exchange的伺服器，然後採用IE瀏覽器去訪問這個郵箱的話，沒有問題。但是如果採用其他的瀏覽器去訪問的話，就可能會出現不相容的問題。如瀏覽器會提示使用者系統並不信任這一類的證書。有些管理員為了減少這種麻煩，就索性將自簽名證書的功能也禁用掉。這無疑減弱了企業內部網路伺服器的安全性。

　　六：客戶端補丁升級依賴於員工的自覺

　　現在企業中大部分使用者採用的都是Windows客戶端。而這個客戶端的特點就是補丁特別的多，包括IE補丁、Offcie辦公軟體補丁等等。如果不及時打上補丁的話，則很容易病毒利用，成為其傳播的便捷渠道。不過可惜的是，有不少的IT 負責人不重視補丁方面的管理與控制。如有些管理員，純粹依靠使用者的自覺，來進行補丁的管理。如在客戶端上通過自動更新服務來對給系統打補丁。採取這個操作是，需要客戶端使用者的手工操作。如需要進行手工確認是否需要進行補丁升級、升級完成後可能還需要重新啟動等等。現實的情況是有些使用者認為這麼操作比較麻煩，為此都不會自覺的去升級補丁。如此的話，就給內網的安全造成了比必要的安全隱患。

　　對於補丁的管理，最好採取統一的解決方案。如微軟有一個補丁管理的工具，可以在伺服器上控制強制對客戶端系統打補丁。如在下次啟動之前給系統自動打補丁等等。這麼設計即可以保障內部網路的安全，也可以對使用者的不利影響降至到最低。總之筆者認為，最好不要將補丁更新的權利交給使用者。大部分使用者並不會正確行使這個權力。

　　看過文章“

　　1.網路安全知識

　　2.企業網路安全解決方案

　　3.資訊網路安全

　　4.網路安全縱深防禦

　　5.計算機網路安全

　　6.關於計算機網路安全學習心得有哪些

　　7.關於網路安全的心得推薦

　　8.關於淺談網路安全論文有哪些

　　9.關於網路安全管理

　　10.關於網路安全發展趨勢的介紹