我记得我刚进入公司,公司的CIO给我试用期的工作就是评估企业网路的安全。说我什么时候可以做出一份令他满意的企业网络安全评估报告,就什么时候结束试用期。尽快做好网络安全评估,可以减少试用期时间,我就马不停蹄的开始了评估工作。在企业网络安全评估中,我主要用了四项指标。
一、 网络监测
现在各种黑客工具在网络上泛滥。其中最流行的一种莫过于网络监测工具。利用网络监测工具,我们可以看到在网络上传输的任何没有加密过的信息,如发送给客户的邮件内容以及一些个人的聊天信息等等。
我以前在学校里,出于写论文的需要,就玩过这款工具。利用这款工具,可以轻易的知道,在同一个局域网内,人家访问过哪些网页,利用QQ、MSN等聊天工具在跟帅哥、美女在聊什么内容,利用邮件给谁发情书了,等等,都可以一目了然的知道。
在企业中,网络监测的危害更大。如企业实现办公自动化以后,很多企业内部都有了文件服务器或者邮件服务器之类的系统。通过网络监测,不安好心的员工就可以轻松的略过权限控制与密码保护,在网络传输的时候,如用户在向服务器读取文件或者邮件传输的过程中,截取自己需要的信息。而现在因为计算机知识的普及与黑客工具的流行,这网络监测的难度已经大大降低。而因为我们公司是精细化工企业,对于化工配方、产品工艺等等信息都是高保密级别的,若一有泄露,对于公司来说,可能是致命的。公司在文件服务器与邮件服务器客户端级别上的权限控制是非常严格的,我担心的就是在网络传输级别上,能否被人轻易获取信息。
我用网络监测工具一查,果然不出我所料。公司在网络传输级别上,没有做任何的防护。只要在企业内部网络上传递的数据,通过网络监测工具监测,可以一目了然的看到所有在网络上传输的数据,包括机密的化工配方信息。
二、 密码保护
很多人,特别不是计算机专业的人,很相信密码。但是,密码是很容易被破解的。最直观的就拿我们QQ密码来说,我想很多人都碰到过QQ号码被盗的事件吧。其实,这就是QQ密码泄露所造成的。在外网上密码信息都这么容易被泄露,那在企业内网上,就更加不用说了。
其实,从我个人来看,在企业内部网络上,想破解用户的密码是比较容易的。
如财务人员可能会在工资表上设置密码。这个密码不可破吗?其实不然。因为财务人员可能出于方便,设置的密码不会很复杂,可能是一些纯数字或者纯字符的密码。这利用EXCEL密码破解器很容易破解出来。我以前做过测验,破解一个六位纯数字密码保护的Excel文件,只需要一个小时就可以了。当然,这要看计算机的运行速度了。若在密码设置中,数字与字符混用的话,那破解难度高多了。我随便在公司文件服务器上,获取了一个EXCLE文件。然后从网上下载一个破解器,用了一天一夜的时间,就破解了这个文件的密码。该文件实12位纯英文字母的密码。用户可能觉得这么长的密码肯定安全了。其实,密码的安全性,不仅仅取决于密码的长度,更多的是要看密码的复杂性。
再者,我们公司有自己的邮箱服务器。但是,登陆用户名与密码是明文传输的,没有做过任何的加密处理。我用一个简单的用户名与密码窃取工具,装在一电脑上,就轻易获取了用户的邮件登陆名与密码信息。
可见公司在密码管理上,也存在漏洞。只要有心,稍微有点网络知识的人都可以轻易的取得或者破解用户的密码。
三、 数据非法修改
数据修改也是一个令人头疼的问题。数据修改大致包括两部分内容。一是在网络传输过程中进行修改。侦测网络传输数据与修改网络传输数据是两码事情。若只是监测、窃取网络传输数据,只需要有工具,很容易实现,也很容易上手。但是,若想修改网络传输数据,那难度就高的多。所以,对于网络传输过程中的修改,不是我这次评估的重点。
我现在要评估的是,我们内部网络上有一文件服务器。这个文件服务器上的文件,能否会用户非法修改呢。如数据内容的修改或者文件的删除等等。其实,大部分时候可能修改或者删除操作是无意的、无心的,不小心就做了删除或者更改的操作。我在以前管理文件服务器时,经常听到用户的投诉,说他们的文件无缘无故就消失了,或者被更改了。
我测试了一下我们公司的文件服务器,在这方面还不错。基本上实现了从员工、到部门、到子公司、到总部的文件权限分级管理机制。每个用户根据其身份,都有阅读、修改、删除等权限,分的非常清楚。而且,通过文件服务器管理器,我们可以看到哪个用户在什么时候通过哪台电脑访问了哪个文件,做了哪些操作。这对于我们维护文件服务器,提供了很大的便利。
四、 拒绝服务攻击
有时候可能网络中存在病毒,或者员工恶意的报复,会导致企业内部网络突然变得很慢,这很可能是一些服务在攻击内部网路。如有一次,员工投诉网络速度特别慢,从服务器上读取文件,很长时间还没有大开,而以前之需要几秒就可以了。那时,我还没有什么测试工具,只好在交换机上拔网线,一根根测试,寻找肇事的电脑。功夫不负有心人,终于帮我找到了肇事者,原来这台电脑用户用U盘从外面考来一些文件有病毒,导致网络拥塞。
在以前,最出名的拒绝服务攻击病毒非DoS莫属。DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问,破坏组织的正常运行,最终它会使你的部分Inte.net连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。
DOS服务被我们防止后,其不久又出来了新的变种,DDoS(分布式拒绝服务),它的英文全称为Distributed Denial of Service,它是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,象商业公司,搜索引擎和政府部门的站点。DoS攻击只要一台单机和一个猫就可实现,与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。一般来说,DOS服务攻击一般都是由于病毒引起的,也就是员工无意中从其他地方考文件或者接受带病毒的文件,所引发的;其虽然不会导致数据的修改与窃取,但是会导致企业内部网络的瘫痪,大大影响用户平时的工作。
所以针对这种攻击性服务,我们要做的就是不变应万变,在网络配置上,做好相关的配置,阻止其可以攻击的漏洞。
我们公司现在在这方面做的比较好,如有专门的网路流量监测工具,一发现网络流量有异常,就可以断开有问题的电脑,从而,迅速恢复网络;同时,在单机上也作了一些配置,如关闭来一些不必要的、而容易被利用的服务,等等。
当然,影响企业网络安全的还有其他一些指标,如网络规划的合理性、病毒的防护、网络冗余等等,这里我主要采用了最常见的四大指标,来评估企业网络的安全性。凭借这份报告,我顺利的通过了考核期,提前转正。