企业网络平安设备部署失败的解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
扩展型企业的概念给IT平安组合带来越来越严峻的问题,因为它们的敏感数据和有价值的数据经常会流出传统网络边界。为了保护企业不受多元化和低端低速可适应性的持久威胁,IT企业正在部署各种各样的新型网络平安设备:下一代防火墙、IDS与IPS设备、平安信息事件管理〔SIEM〕系统和高级威胁检测系统。理想情况下,这些系统将集中管理,遵循一个集中平安策略,隶届于一个普遍保护战略。然而,在部署这些设备时,一些企业的常见错误会严重影响他们实现普遍保护的能力。本文将介绍在规划与部署新型网络平安设备时需要注意的问题,以及如何防止可能导致深度防御失败的相关问题。不要迷信平安设备一个最大的错误是假定平安设备本身是平安的。外表上这似乎很容易理解,但是一定要坚持这个立足点。所谓的”增强”操作系统到底有多平安?它的最新状态是怎样的?它运行的”超稳定"Web效劳器乂有多平安?然后,再转到一些更难处理的方面:定期评估多个设备配置的潜在弱点。加密系统和应用交付优化〔ADO〕设备的.部署顺序不当也会造成数据泄露,即使各个设备本身能够正常工作。这个过程可以与定期执行的渗透测试一起进行。评估网络平安设备的使用方式对于任意平安设备而言,管理/控制通道最容易出现漏洞。所以,一定要注意您将要如何配置和修改平安设备--以及允许谁执行这些配置。如果您准备通过Web浏览器访问一个平安系统,那么平安设备将运行一个Web效劳器,并且允许Web流量进出。这些流量是否有加密?它是否使用一个标准端口?所有设备是否都使用同一个端口〔因此入侵者可以轻松猜想到〕?它是通过一个普通网络连接〔编内〕还是独立管理网络连接〔编外〕进行访问?如果届于编内连接,那么任何通过这个接口发送流量的主机都可能攻击这个设备。如果它在一个管理网络上,那么至少您只需要担忧网络上的其他设备。〔如果它配置为使用申口连接和KVM,那么更加好。〕最正确场景是这样:如果不能直接访问设备,那么保证所有配置变化都必须使用加密和多因子身份验证。而且,要紧密跟踪和控制设备管理的身份信息,保证只有授权用户才能获得管理权限。应用标准渗透测试工具如果您采用了前两个步骤,那么现在就有了很好的开始--但是工作还没做完。hacker、攻击和威胁载体仍然在不断地增长和开展,而且您必须定期测试系统,除了修复漏洞,还要保证它们能够抵挡已发现的攻击。那么,攻击与漏洞有什么不同呢?攻击是一种专门攻破漏洞的有意行为。系统漏洞造成了攻击可能性,但是攻击的存在那么增加了它的危害性--漏洞暴露从理论变为现实。渗透测试工具和效劳可以检查出网络平安设备是否容易受到攻击的破坏。一些开源工具和框架已经出现了很长时间,其中包括NetworkMapper〔Nmap〕、Nikto、开放漏洞评估系统〔OpenVulnerabilityAssessmentSystem,OpenVAS]和Metasploit.当然,也有很多的商业工具,如McAfee〔可以扫描软件组件〕和Qualys的产品。这些工具广泛用于标识网络设备处理网络流量的端口;记录它对于标准测试数据包的响应;以及通过使用OpenVAS和Metasploit测试它面对一些常见攻击的漏洞情况〔更多出现在商业版本上〕。其他渗透测试工具那么主要关注于Web效劳器和应用,如OWASPZedAttackProxy〔ZAP〕和Arachni.通过使用标准工具和技术,确定平安设备的漏洞--例如,通过一个Web管理接口发起SQL注入攻击,您就可以更活晰地了解如何保护网络平安设备本身。在部署网络平安设备时降低风险没有任何东西是完美的,因此没有任何一个系统是毫无漏洞的。在部署和配置新网络平安设备时,如果没有应用恰当的预防措施,就可能给环境带来风险。采取正确的措施保护设备,将保护根底架:构的其他局部,其中包括下面这些经常被无视的常见防范措施:修改默认密码和帐号名。禁用不必要的效劳和帐号。保证按照制造商的要求更新底层操作系统和系统软件。由于攻击也在进化,所以要定期检查渗透测试。要保持OpenVAS和Metasploit等工具的更新,而且它们可以使用的攻击库也在稳步增长。基线是什么呢?制定一个普遍保护策略只是开始。要保护现在漫无边际增长的设备和数据,您需要三样东西:一个普适保护策略、实现策略的工具与技术及保证这些工具与技术能够实现最大保护效果的政策与
流程
快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计
。所有政策与流程既要考虑网络平安设备本身〔个体与整体〕的漏洞,也要考虑专门针对这些漏洞且不断开展变化的攻击与威胁载体。
浙公网安备 33021202002483