《2022年企业网络安全设备部署失败的解决方案.docx》由会员分享,可在线阅读,更多相关《2022年企业网络安全设备部署失败的解决方案.docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2022年企业网络安全设备部署失败的解决方案企业网络平安设备部署失败的解决方案扩展型企业的概念给IT平安组合带来越来越严峻的问题,因为它们的敏感数据和有价值的数据常常会流出传统网络边界。为了爱护企业不受多元化和低端低速可适应性的长久威逼,IT企业正在部署各种各样的新型网络平安设备:下一代防火墙、IDS与IPS设备、平安信息事务管理(SIEM)系统和高级威逼检测系统。志向状况下,这些系统将集中管理,遵循一个集中平安策略,隶属于一个普遍爱护战略。然而,在部署这些设备时,一些企业的常见错误会严峻影响他们实现普遍爱护的实力。本文将介绍在规划与部署新型网络平安设备时须要留意的问题,以及如何避开可能导致深
2、度防卫失败的相关问题。不要迷信平安设备一个最大的错误是假定平安设备本身是平安的。表面上这好像很简单理解,但是肯定要坚持这个立足点。所谓的增加操作系统究竟有多平安?它的最新状态是怎样的?它运行的超稳定Web服务器又有多平安?在起先任何工作之前,肯定要创建一个测试安排,验证全部网络平安设备都是真正平安的。首先是从一些基础测试起先:您是否有在各个设备及其支持的网络、服务器和存储基础架构上按时升级、安装补丁和修复Bug?在依据一些记录当前已知漏洞信息的资料交换中心(如全国漏洞数据库)的数据进行检查,肯定要定期升级和安装设备补丁。然后,再转到一些更难处理的方面:定期评估多个设备配置的潜在弱点。加密系统和
3、应用交付优化(ADO)设备的.部署依次不当也会造成数据泄露,即使各个设备本身能够正常工作。这个过程可以与定期执行的渗透测试一起进行。评估网络平安设备的运用方式对于随意平安设备而言,管理/限制通道最简单出现漏洞。所以,肯定要留意您将要如何配置和修改平安设备-以及允许谁执行这些配置。假如您打算通过Web阅读器访问一个平安系统,那么平安设备将运行一个Web服务器,并且允许Web流量进出。这些流量是否有加密?它是否运用一个标准端口?全部设备是否都运用同一个端口(因此入侵者可以轻松揣测到)?它是通过一个一般网络连接(编内)还是独立管理网络连接(编外)进行访问?假如属于编内连接,那么任何通过这个接口发送流
4、量的主机都可能攻击这个设备。假如它在一个管理网络上,那么至少您只须要担忧网络上的其他设备。(假如它配置为运用串口连接和KVM,则更加好。)最佳场景是这样:假如不能干脆访问设备,则保证全部配置改变都必需运用加密和多因子身份验证。而且,要紧密跟踪和限制设备管理的身份信息,保证只有授权用户才能获得管理权限。应用标准渗透测试工具假如您采纳了前两个步骤,那么现在就有了很好的起先-但是工作还没做完。hacker、攻击和威逼载体仍旧在不断地增长和发展,而且您必需定期测试系统,除了修复漏洞,还要保证它们能够抵抗已发觉的攻击。那么,攻击与漏洞有什么不同呢?攻击是一种特地攻破漏洞的有意行为。系统漏洞造成了攻击可能
5、性,但是攻击的存在则增加了它的危害性-漏洞暴露从理论变为现实。渗透测试工具和服务可以检查出网络平安设备是否简单受到攻击的破坏。一些开源工具和框架已经出现了很长时间,其中包括Network Mapper(Nmap)、Nikto、开放漏洞评估系统(Open Vulnerability Assessment System, OpenVAS)和Metasploit.当然 ,也有许多的商业工具,如McAfee(可以扫描软件组件)和Qualys的产品。这些工具广泛用于标识网络设备处理网络流量的端口;记录它对于标准测试数据包的响应;以及通过运用OpenVAS和Metasploit测试它面对一些常见攻击的漏洞
6、状况(更多出现在商业版本上)。其他渗透测试工具则主要关注于Web服务器和应用,如OWASP Zed Attack Proxy(ZAP)和Arachni.通过运用标准工具和技术,确定平安设备的漏洞-例如,通过一个Web管理接口发起SQL注入攻击,您就可以更清楚地了解如何爱护网络平安设备本身。在部署网络平安设备时降低风险没有任何东西是完备的,因此没有任何一个系统是毫无漏洞的。在部署和配置新网络平安设备时,假如没有应用恰当的预防措施,就可能给环境带来风险。实行正确的措施爱护设备,将爱护基础架构的其他部分,其中包括下面这些常常被忽视的常见防范措施:修改默认密码和帐号名。禁用不必要的服务和帐号。保证根据
7、制造商的要求更新底层操作系统和系统软件。限制管理网络的管理接口访问;假如无法做到这一点,则要在上游设备(交换机和路由器)运用ACL,限制发起管理睬话的来源。由于攻击也在进化,所以要定期检查渗透测试。要保持OpenVAS和Metasploit等工具的更新,而且它们可以运用的攻击库也在稳步增长。基线是什么呢?制定一个普遍爱护策略只是起先。要爱护现在漫无边际增长的设备和数据,您须要三样东西:一个普适爱护策略、实现策略的工具与技术及保证这些工具与技术能够实现最大爱护效果的政策与流程。全部政策与流程既要考虑网络平安设备本身(个体与整体)的漏洞,也要考虑特地针对这些漏洞且不断发展改变的攻击与威逼载体。 企业策划书图文举荐 企业新员工入职培训方案企业内部培训方案企业员工培训方案企业内部培训方案企业网络平安设备部署失败的解决方案第5页 共5页第 5 页 共 5 页第 5 页 共 5 页第 5 页 共 5 页第 5 页 共 5 页第 5 页 共 5 页第 5 页 共 5 页第 5 页 共 5 页第 5 页 共 5 页第 5 页 共 5 页第 5 页 共 5 页