安全問題始終是企業最關注的話題之一,傳統的做法是分別進行內、外網安全管理設定,外網安全只需通過防火牆、ids、漏洞掃瞄等工具,就可以做到將大部分危害拒之門外,那麼,我們企業的安全是否就這麼簡單呢?事實並非如此,據統計表明企業it系統的安全隱患80%**於內網。這個比重足以說明內網安全是企業整個it系統安全中的重中之重。
如何才能做好企業的內網安全管理?
2023年初至今,我們不斷在國內企業使用者的實踐中獲取經驗,我把這些應用簡單歸納為幾個方面:
一、接入安全的考慮:
企業要最大限度保障內網安全性,首先應該明確內網使用者身份,通過非法接入內網而造成內網安全事故的案例已經屢見不鮮。所以it部門的管理人員也應該從安全身份認證入手,確保內網使用人員的合法性。
具體應該如何進行接入安全的管理,我建議從兩方面來進行,首先管理員對內網的ip進行合理的規劃和分配,加強對於ip位址資源的管控。例如,固定使用者分配一定數量的ip,而預留一部分ip給臨時訪問使用者,同時對臨時訪問使用者設定許可權,在指定時間段訪問指定的網路,從而有效提高了ip資源的利用率和內網的安全等級。
另乙個方面則是進一步強調登記合法ip使用者,因為內網雖然匹配好ip和裝置,但使用人員並不一定會遵守ip規則,即有可能私自篡改ip位址,或者非法使用他人裝置,這種情況同樣需要進行防範。管理人員通過運維管理軟體,設定相應的規則,當有人非法占用他人ip時就發出告警,則能確定非法終端,從而採取斷網措施,有效避免了搶占ip資源帶來的內網秩序混亂問題。
二、 桌面安全的考慮:
桌面是所以內網參與者的活動場所,因此規範好終端桌面的使用成為管理員的又一重要責任。而具體操作中,管理員可以通過對安全使用區域的控制、增強安全執行的輔助、安全事件的統計分析、安全規範的使用這四個方面來落實。
首先,內網對於不同的使用者要確定其可以訪問的範圍,即對其可訪問區域的管控。例如,業務人員可以對erp系統和internet資源進行合法訪問,而對於財務系統,他是無法進行訪問的。通過使用者級別的劃分規範了整個網路的使用範圍,有效杜絕了非法訪問事件的發生。
三、 行為安全的考慮
顧名思義,我們從終端的合法性以及使用者身份的合法性方面都經過了嚴格的確認,那進一步則需要規範使用者的操作行為,從而真正達到內網的安全無憂。管理人員通過管理軟體預置的多種安全分析模式,運用資料流分析工具,通過ip異常幀流量、ip掃瞄捕捉、掃瞄埠的ip這三個層次進行分析,可以智慧型識別內網的異常資料流行為,並最終分析其資料**,定位到終端裝置,便於管理員直接採取措施,切斷異常裝置的網路,恢復內網的正常執行。
企業如果能從以上三個層面進行綜合的考慮,保障企業的內網安全解決不是問題。用乙個大家都熟之的行為來解釋,象即將登機的乘客一樣,接受機場其進行身份的確認,例行安全檢查,獲得登機一樣,it運維管理在確定使用者的行為安全方面起到至關重要的保障,其中的接入安全、桌面安全、行為安全和配置安全,都是企業做好內網安全管理需要考慮的。
通過autossh提供內網服務
需要將內網服務對映到外網使用,條件限制不能通過埠對映實現。看了下ngrok,好像需要網域名稱什麼,沒進一步測試。打算用ssh的埠 功能,用autossh監控進行重連。需要說明的是預設ssh遠端 只能繫結loop,需要開啟伺服器的sshd config的gatewayports選項,改為yes或者cl...
通過mysql proxy對映外網訪問內網資料庫
配置教程 mysql proxy的用處就不再說了 mysql proxy依賴libevent,lua,glib2等幾個軟體所以在安裝之前先 yum install lua devel yum install glib2 develtar zvfx libevent 1.4.13 stable.tar...
國內網管職業教育存在的問題(二)
以下內容摘自筆者最新著作 揭秘 把脈網管 一書。4.1.3 專業師資力量缺乏,教學質量很難保證 由於普遍擴招的原因,許多高職 高專院校網路專業的資深 有實戰經驗的老師非常缺乏。大多數是直接從師範類院校招進來的老師,這對於實戰性要求非常高的高職網路專業來說,顯然是不能全面滿足專業課程教學需要的。許多學...