移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

8招保护企业有线网络 数据加密是杀手锏

时间:2014-05-19 15:36来源:TuZhiJiaMi企业信息安全专家 点击:
因为无线网络的快速发展,现在只要涉及安全性,人们总会潜意识的侧重于关心无线网络。但其实相比与无线网络,目前有线网络才是更普遍的联网方式,其覆盖范围更广。 由于有线网络传输
Tags应用安全(1006)数据加密(118)有线网络(2)  

  因为无线网络的快速发展,现在只要涉及安全性,人们总会潜意识的侧重于关心无线网络。但其实相比与无线网络,目前有线网络才是更普遍的联网方式,其覆盖范围更广。

  由于有线网络传输质量高,速度快,企业比起无线网络自然更倾向于有线网络。但是有线网络同样会面临内部威胁以及外部有针对性的恶意攻击,有线网络安全也应是企业需要重点防护的对象。

  下面为广大企业带来提高有线网络安全8种方法,无论你是小型企业还是大型企业,只要做到这八点,有线网络就会远离安全威胁。

  1.执行审计和绘图

  如果你还没有这样做,你现在应该开始对网络进行审计和绘图。你应该始终清晰地了解整个网络的基础设施,例如供应商/型号、位置,以及防火墙、路由器、交换机、以太网布线和端点以及无线接入点的基本配置。你还需要知道哪些服务器、计算机、打印机和任何其他设备连接到网络上、何时被连接,以及其在整个网络的连接路径。

  在审计和绘图的过程中,你可能会发现特定的安全漏洞,以及提高安全、性能和可靠性的方法。也许你还会发现未正确配置的防火墙或者物理安全威胁。

  如果你的网络只有几个网络组件以及十几个工作组,你可能只需要手动执行审计,在纸上绘出视觉地图即可。而对于较大型网络,你会发现审计和绘图过程非常有用。你可以扫描网络,并生成网络视图或示意图。

  2. 保持网络更新

  在完成基本的网络审计和绘图后,应该检查所有网络基础设施组件的固件或软件更新。同时,确保这些组件没有使用默认密码,检查任何不安全的配置,并调查你没有使用的其他安全功能或特性。

  接下来,看看所有连接到网络的计算机和设备。确保基本安全性,例如OS和驱动程序更新、个人防火墙处于活动状态、防病毒正在运行,并设置密码。

  3. 物理地保护网络

  虽然物理网络安全常常被忽视,但这与面向互联网的防火墙一样重要。正如你需要抵御黑客攻击、僵尸网络以及病毒,你也需要抵御本地的威胁。

  如果你的网络以及所在的建筑物的物理安全没有保障,附近的黑客或者甚至是员工都可以利用你的网络。例如,他们插入一个无线路由器到开放以太网端口,便能够无线访问到你的网络。但如果以太网端口不可见或者断开,这种情况就不会发生。

  确保你部署了一个建筑物安全计划,以阻止和防止外部人员进入。然后,确保网络基础设施组件所在的所有配线柜和/或其他位置的安全性,使用门锁和机柜锁。确保以太网电缆不可见,并且不容易接触;无线接入点也是如此。断开未使用的以太网端口,特别是在建筑物的公共区域。

  4.考虑MAC地址过滤

  有线网络的一个主要安全问题是缺乏快速简便的身份验证和/或加密方法;人们可以随意插入并使用网络。而在无线网络方面,你至少需要WPA2-Personal.

  虽然MAC地址过滤可能被攻击者绕过,但它至少可以作为第一道安全防线。它不能完全阻止攻击者,但它可以帮助你防止员工制造严重的安全漏洞,例如允许访客插入到专用网络。它还可以让你更好地控制哪些设备可以连接到网络。但不要让它给你安全的错觉,并保持MAC地址的更新。

  5.部署VLAN来隔离流量

  如果你正在使用尚未被分割成多个虚拟局域网的小型网络,可以考虑进行改变。你可以利用VLAN来分组跨多个虚拟网络的以太网端口、无线接入点以及用户。

  你可以使用VLAN按流量类型(一般接入、VoIP、SAN、DMZ),或者按照性能或设计原因和/或用户类型(员工、管理层和访客),以及安全原因来分隔网络。当配置为动态分配时,VLAN特别有用。例如,你可以在网络任何位置或通过Wi-Fi插入你的笔记本,并自动分配VLAN.这可以通过MAC地址标记来实现,更安全的方法是使用802.1X身份验证。

  为了使用VLAN,你的路由器和交换机必须支持它:在产品规范中查看是否有IEEE 802.1Q支持。对于无线接入点,你可能想要同时支持VLAN标签和多个SSID的接入点。通过多个SSID,你能够提供多个虚拟WLAN.

  6.使用802.1X进行身份验证

  有线网络方面的身份验证和加密经常被忽略,因为这涉及很高的复杂性。IT通常会加密无线连接,但也不要忘记或忽略有线连接。本地攻击者可能插入到你的网络,而没有什么能够阻止他们发送或接受信息。

  虽然不熟802.1X身份验证不会加密以太网流量,至少可以阻止他们在使用登陆凭证前发送或访问任何资源。并且,你也可以在无线网络利用这种身份验证,通过AES加密部署企业级WPA2安全,这比使用WPA2的个人级加密有更多好处。

  802.1X身份验证的另一大好处是动态分配用户到VLAN的能力。

  为了部署802.1X身份验证,你首先需要一个远程身份验证拨入用户服务(RADIUS)服务器,它基本上是作为用户数据库,也是授权/拒绝网络接入的组件。如果你有Windows Server,那么你就已经有了一个RADIUS服务器:网络政策服务器(NPS)角色;或者在旧的Windows Server版本中,就是互联网验证服务(IAS)角色。如果你还没有服务器,你可以考虑独立的RADIUS服务器。

  7. 使用VPN来加密所选电脑或服务器

  如果你真的希望保护网络流量,可以考虑使用加密。请记住,即使你使用了VLAN和802.1X身份验证,仍然有人可以在网络( VLAN)上窃听以捕获未加密的流量,其中可能包括密码、电子邮件和文件。

  虽然您可以加密所有流量,首先请分析你的网络。你应该加密你认为还没有加密的最重要的通信,例如通过SSL/HTTPS.你可以通过客户端上的标准VPN来传输敏感流量,这可仅用于敏感通信或用于所有通信。

  8.加密整个网络

  你还可以加密整个网络。一种选择是IPsec.Windows Server可以作为IPsec服务器,Windows还支持客户端功能。然而,加密过程可能给网络带来很大的负担;有效的传输率可能会大幅度下降。网络供应商还提供了专有网络加密解决方案,很多采用2层网络方法,而不是3层网络(例如IPsec)来帮助减少延迟性和开销。

  从另一种角度出发,对系统中的最根本对象——数据进行加密,防止不法分子通过网络这一途径获取企业的机密数据也不失为一种好办法。

  数据加密技术直接作用于数据本身,即使数据受到恶意攻击被窃取了,但是加密作用依然起保护作用,在解密变的越来越不可实现的现在,可以保证数据永远呈现密文的状态,不被公之于众。在数据加密的基础上,国际先进的多模加密技术可以为企业用户在不同的工作环境中提供不同的加密模式,灵活且有针对性,有效保护企业数据安全。

  保护企业不受有线网络安全威胁 数据加密或是最有力手段

  虽然无线通信很重要,但是目前来说,有线网络仍然占了相当大的市场比例,因此研究有线网络的安全防护才变得非常重要。并且对于无线网络会遇到的安全风险有线网络同样会遭受影响。因此企业在完善数据安全防护时不能厚此薄彼,在侧重保护无线网络的同时也不能对有线网络掉以轻心,使用灵活且本源的加密软件同时防护才是最明智的做法!

------分隔线----------------------------

推荐内容