信息化霹壁、智能化、自動化是企業(yè)和工業(yè)現(xiàn)代化發(fā)展的標志一步，其中信息化是基礎剿稼，是實現(xiàn)智能化和自動化的依托。信息的傳播依賴于網(wǎng)絡率满，現(xiàn)代社會網(wǎng)絡的普遍化和普及化以及網(wǎng)絡設計中本身存在的安全問題茂禁，在嚴重影響著企業(yè)信息的安全。

        盡管我們都知道網(wǎng)絡安全是關系到企業(yè)信息安全的最重要一環(huán)夷呐，但是實際看到的情況卻是瞻窗，很多企業(yè)對于網(wǎng)絡設計的安全性并不是非常重視。下面將介紹幾種在網(wǎng)絡安全設計時常見的錯誤资柔，這些錯誤會對未來企業(yè)的網(wǎng)絡安全構成嚴重影響焙贷。 
        1: 設置好就高枕無憂了

        我要講到的第一個錯誤更偏重于計劃而不是網(wǎng)絡設計撵割。這種錯誤我一般將它稱之為“設計好就高枕無憂”。犯這種錯誤的企業(yè)一般會下大力氣去設計一個安全的網(wǎng)絡辙芍，但是卻忽略了后期對于這個設計的定期性的重新評估啡彬。因為網(wǎng)絡風險是在不斷變化的，因此企業(yè)的網(wǎng)絡安全設計也應該不斷進化故硅。最好的辦法就是定期對網(wǎng)絡安全設計進行重新評估庶灿。

        2: 在防火墻上開放過多的端口

        我們都知道開放過多的端口沒有好處，但是有時候又不得不多開放幾個端口吃衅。就拿 Microsoft Office Communications Server 2007 R2來說吧往踢，如果你計劃提供外部訪問功能，那要多開十幾個端口徘层。另外峻呕， OCS 2007 R2還會隨機開放大量的端口。這種情況下趣效，網(wǎng)絡安全管理員該怎么辦呢瘦癌？

        最好的解決方案之一是采用逆向代理（如微軟的ForeFront Threat Management Gateway）。逆向代理的位置介于互聯(lián)網(wǎng)和本地需要開放多個端口的服務器之間绊叙。這樣設置后填丢，服務器不需要再開放大量的端口，而外界對服務器的連接請求會先經(jīng)過逆向代理進行攔截和過濾夸营，并傳遞給服務器敞灸。這種設計不但能讓服務器在外網(wǎng)前隱藏起來，還能幫助確保外部的惡意請求不會到達服務器贫介。

        3: 不同應用程序混在一起

        在經(jīng)濟危機下区酷，企業(yè)很少會花錢添置新設備，因此盡可能壓榨現(xiàn)有設備資源就成了唯一選擇服讯。在這種前提下绎瓣，企業(yè)一般會在一臺服務器上安裝多個應用服務，讓一臺服務器扮演多個角色授灵。雖然這么做并不是被禁止的堵忌，但是在計算機行業(yè)有一個規(guī)律，即代碼越多藏亲，出現(xiàn)安全漏洞的機會就越多杯道。

        我并不是說每個服務器只能運行一種應用程序，或者扮演一種服務角色责蝠，但是至少我們應該仔細考慮應該把哪些應用程序或服務角色合并到一臺服務器上党巾。比如，在最小需求下霜医，一個Exchange 2007需要三個服務器角色（hub transport, client access, 以及 mailbox server）齿拂，你可以將這三個角色整合到一臺服務器上驳规。但是如果你要為外部客戶提供Outlook Web Access服務就不要這樣做了。因為Client Access Server服務器角色需要用到IIS來實現(xiàn)Outlook Web Access署海，也就是說吗购，如果你將客戶接入服務器角色和hub transport以及mailbox server 角色放在了一臺服務器上，實際上就是把你的郵箱數(shù)據(jù)庫開放給了互聯(lián)網(wǎng)上的所有黑客砸狞。

        4: 忽略了網(wǎng)絡中的工作站

        去年有個記者通過電話采訪我捻勉，他問：您覺得對于網(wǎng)絡安全威脅最大的是什么。我的回答是：網(wǎng)絡里的工作站是網(wǎng)絡安全的最大威脅〉渡現(xiàn)在我仍持同樣看法踱启。我總是看到企業(yè)在不但的加強網(wǎng)絡服務器的安全性，但同時卻忽視了網(wǎng)絡內(nèi)的每一臺工作站研底。除非工作站的安全防護措施非常好庵恨，否則使用它的員工很容易在不經(jīng)意間讓系統(tǒng)被惡意軟件入侵。

        5: 在必要的情況下沒有使用SSL加密

        我們都知道鸠头，當用戶需要在網(wǎng)站上輸入敏感信息時（比如用戶名镇盛，密碼，信用卡卡號等）诱价，網(wǎng)站都會使用SSL 技術對信息進行加密。但是很多企業(yè)在這個問題上犯了錯孽强。我曾經(jīng)遇見過很多次涧俐，企業(yè)將敏感信息和非敏感信息混合在一個網(wǎng)頁中，當用戶訪問該頁面時氮妆，會收到一條提示偶村，詢問用戶是否同時查看安全內(nèi)容和非安全的內(nèi)容。大部分用戶在面對這個提示時都是選擇同時顯示安全和非安全的內(nèi)容匹溪，這就為網(wǎng)絡安全帶來了隱患娶架。

        一個不太明顯但是更常見的錯誤是，企業(yè)很少加密自己網(wǎng)站上的一些關鍵頁面玩冷。在我看來窿侈，任何涉及安全信息，安全設備以及聯(lián)系人方式的信息都應該經(jīng)過SSL 加密秋茫。這并不是因為這些內(nèi)容都屬于敏感信息史简，而是通過這些加密頁面讓用戶確信自己所訪問的是官方網(wǎng)站，而不是似是而非的網(wǎng)絡釣魚網(wǎng)站肛著。

[DividePage:NextPage]

        6: 使用自簽名證書

        由于一些企業(yè)完全忽視了SSL加密的重要性圆兵，因此微軟開始在它的一些產(chǎn)品中加入了自簽名的證書。這樣用戶在瀏覽網(wǎng)頁時枢贿，就算企業(yè)的網(wǎng)站沒有要求獲得證書情況下殉农，也可以使用SSL加密刀脏。

        雖然自簽名證書要比沒有證書強，但它并不能作為一個來自受信的證書頒發(fā)機構所頒發(fā)的證書的替代品超凳。自簽名證書的主要作用其實只是用來激活軟件的安全功能愈污，直到管理員采取了相應的安全措施。雖然自簽名證書可以實現(xiàn)SSL加密聪建，但是用戶會收到瀏覽器的警告信息钙畔，提示用戶系統(tǒng)并不信任此類證書。另外槽悼，一些基于SSL的web服務（比如ActiveSync）埂荤，由于信任關系，并不完全兼容自簽名證書页梁。

        7: 過多的安全記錄

        雖然記錄各種網(wǎng)絡事件很重要屁蕾，但是避免記錄內(nèi)容過于冗長也是很重要的。太長的日志會讓管理員很難從中發(fā)現(xiàn)重要的安全事件队淳。因此躺潘，與其將所有系統(tǒng)事件都記錄下來，還不如將重點放在那些真正重要的事件上千雏。

        8: 隨機分組虛擬服務器

        虛擬服務器一般會根據(jù)其性能在主機上進行分組毕亲。比如在一臺服務器上搭建了一個對性能要求較高的虛擬服務器應用后，與之搭配幾個對系統(tǒng)性能要求較低的虛擬服務器误目，可以實現(xiàn)資源的合理化應用项蝉。從資源利用的角度上說，這么做非常正確轴私，但是從安全性的角度看白找，就不見得了。

        從安全的角度赁严，我建議在一臺獨立的服務器上放置針對互聯(lián)網(wǎng)應用的虛擬服務器扰柠。換句話說，如果你需要搭建三個針對互聯(lián)網(wǎng)用戶的虛擬服務器疼约，你可以考慮將這三個 虛擬服務器分為一組卤档，放置在同一臺主機上，但是不要將架構類服務器（如域控制器）放在同一臺主機上忆谓。

        之所以這樣建議裆装，是針對虛擬服務器上的溢出攻擊。所謂溢出攻擊倡缠，是指黑客從一個虛擬服務器中溢出哨免，進而控制主機的攻擊。雖然就我所知，目前現(xiàn)實生活中還沒有真正出現(xiàn)過此類攻擊琢唾，但是我肯定這是遲早的事载荔。一旦那一天到來，同一臺主機上如果還安裝了其它重要的虛擬服務器采桃，那么對整個企業(yè)網(wǎng)絡來說懒熙，將是一個災難，對于網(wǎng)絡管理員來說脂壁，解除威脅也將變得更困難囤乎。

        9: 將成員服務器置于DMZ

        能避免的話，就盡量不要將任何成員服務器置于DMZ中揖帕。否則敢薄，一旦被入侵，這臺成員服務器將可能泄露出很多有關活動目錄的信息挎茂。

        10: 升級補丁需要用戶自己安裝

        本文所介紹的最后一個常見的網(wǎng)絡安全錯誤是安全補丁的安裝完全依賴用戶人工操作艇线。最近我見到很多公司網(wǎng)絡中的電腦都依賴于Windows的自動更新服務進行自動打補丁。不幸的是热轨，這類設計需要用戶自己點擊鼠標來進行補丁安裝確認游鹿，而很多用戶都知道，安裝完補丁后系統(tǒng)會重新啟動梨耽。為了避免這種麻煩义誓，很多用戶選擇了停止自動更新。因此统岭，與其將安裝補丁的權利交給用戶亮隙，不如通過某種補丁管理解決方案，自動將系統(tǒng)補丁分發(fā)到每臺電腦上垢夹，繞過用戶的任何操作。

聲明：本網(wǎng)站所收集的部分公開資料來源于互聯(lián)網(wǎng)维费，轉載的目的在于傳遞更多信息及用于網(wǎng)絡分享果元，并不代表本站贊同其觀點和對其真實性負責，也不構成任何其他建議犀盟。本站部分作品是由網(wǎng)友自主投稿和發(fā)布而晒、編輯整理上傳，對此類作品本站僅提供交流平臺阅畴，不為其版權負責倡怎。如果您發(fā)現(xiàn)網(wǎng)站上所用視頻、圖片贱枣、文字如涉及作品版權問題监署，請第一時間告知，我們將根據(jù)您提供的證明材料確認版權并按國家標準支付稿酬或立即刪除內(nèi)容纽哥，以保證您的權益钠乏！聯(lián)系電話：010-58612588 或 Email:editor@mmsonline.com.cn衙猾。