弊病四:没有使用逆向代理来减少端口的开销
随着企业信息化管理的普及,现在企业越来越不满足于内部用户使用企业的信息化系统。如有些企业可能会在外地开设办事处。企业就希望这些办事处的人员也能够访问企业内部的服务器。再如为了出差在外的员工工作的方便,也允许他们从公共网络连接企业内部的服务器。
如果要允许企业内部的服务器被外部用户通过互联网进行访问,那么就必须要在防火墙上开启多个端口。而这种情形就会增加企业内部的安全隐患。道理很简单,这就好像是开一幢房子开了多个门。管理员无法兼顾到多个门的安全。如企业部署了微软的即时通信套件。如果需要允许外部用户使用这个即时通信服务器的话,那么就需要在防火墙上开启十几个端口。这无疑大大降低了企业内部网络的安全性。当遇到这种情况是,笔者建议使用逆向代理机制。逆向代理的服务器一般位于互联网和本地需要开发多个端口的服务器之间,基本上跟防火墙服务器是并列的。采用逆向代理的话,可以让服务器在进入外网前先隐藏起来,同时还可以保障外部的恶意请求不会到达服务器。在安全方面,跟NAT技术有异曲同工之妙。不过从管理成本与性能开销上来说,要比NAT服务器低很多。
弊病五:在同一个服务器上部署过多的应用程序
在同一个服务器上部署多个应用程序,这种情况在企业中也是司空见惯的事情。这虽然可以在一定程度上降低企业信息化部署的成本,但是也增加了服务器的安全隐患。假设现在一家企业的一个服务器上部署了三种应用,此时包括操作系统在内的话,其实就有四种信息化系统。如果一种信息化系统存在2个安全漏洞的话,那么这台服务器现在就有了8个漏洞。如果没有采取严格安全措施的话,那么攻击者只要利用其中的任何一个漏洞,就有可能窃取服务器上的内容,甚至控制服务器。
这就好像一条链条。如果链条上的一个个环越多,其安全性能相对来说就越差。因为任何一个环断掉的话,整条链条就会报废掉。而环越多的话,则出现断掉的可能性就会越大。总的来说,企业如果需要在一台服务器上部署多个应用程序并不是不行,但是在数量上需要有所限制。一般情况下不要超过三个。同时对于一些重要的应用,如数据库等的功能,最好采取单独的应用服务器,以保障其安全。而且还需要采取一些必要的措施,如虚拟CPU等技术,来给多个应用程序提供相对独立的工作环境。
弊病六:对邮件等需要授权的访问没有采取SSL加密机制
企业中不少的信息化系统需要授权才能够进行访问。如对于邮件系统,用户只能够访问自己的邮箱。对于文件服务器,也只能够访问授权允许访问的文件。而这些控制,基本上都是通过用户名与密码来进行限制的。
在内部网络中,先主要采用的是HTTP与HTTPS两种访问机制。前者HTTP其特点是对于传输中的数据没有进行任何的加密措施。即用户名与密码在网络中都是明文传输的。如此的话,通过网络嗅探器等工具,就可以轻而易举的窃取到用户的用户名与密码。从而进行破坏活动。而如果用户名与密码信息泄露的话,最好的安全措施也无济于事。笔者的建议是,对于一些重要的应用,如邮件、文件服务器等等,最好采用HTTPS协议。这个协议的特点是在数据传输过程中采用SSL加密机制对数据进行加密,以确保用户名与密码的安全。
上面笔者提到的六个弊病并不能够包含内网安全管理中所有的内容。但是绝对是比较经典的一些问题。各位可以针对企业自己的实际情况,来进行自我检查。对于内部网络安全来说,要重在预防。