终端——台式机和笔记本电脑——是您实现大部分业务操作的工具。不幸的是,电脑终端面对安全威胁显得越来越脆弱。这些安全威胁包括钓鱼攻击,垃圾邮件,病毒,蠕虫,根工具包,按键记录程序和其它恶意软件。终端也已扩大了您的安全考虑范畴,这使得安全威胁防不胜防。事实上,终端很可能就是你安全防线最薄弱的环节。
四个终端安全的挑战
终端安全主要面临四个方面的挑战:防御恶意软件; 阻止已感染的终端向你的网络传播恶意软件和未授权的软件;防止通过端点软件窃取数据和数据泄露;谨防端点用户本身。
当然,你可以通过采取简单锁定你的网络这样极端的做法,来阻止远程用户进入你的网络。这确实行之有效,但是在今天这样的移动计算环境中此法不切实际。或者你可以制订个规定,只允许小部分的用户访问。但这些客户的应用软件和信息都要纳入你的网络安全规定内,这样一来,那计划将既耗时又耗资金。更合理的方法是开发一个既能保障安全又能方便用户的终端安全策略。以下就介绍些对你们有帮助的想法。
谨防攻击
虽然您的网络可免受恶意软件攻击,但是一个有效的,多层次的安全方法是告诉您所有的端点,包括那些位于防火墙后以及那些处于操作范围外或徘徊于安全范围内外的端点都需要保护。使用受雇于你网络建设的相同技术,如病毒检测,间谍软件扫描和本地防火墙。
因为攻击重点放在如何打败主要品牌,所以许多安全专家建议“多厂商“的做法。尽管如此,为了简化管理和控制,您可以使用一套集成安全工具组件。在任何情况下,周边安全和端点安全都是必要的。
针对端点保护你的网络
最后你需要的是将被感染的笔记本电脑或智能手机连接到您的网络,绕过您的外围防护。但是,你可以用它做什么呢?第一道防线是非常基础的:强大的用户授权和验证功能。
简单的密码可以在几分钟内被经验丰富的黑客破解(使用每秒数十万次的猜测),因此请确认您的用户都使用由大写字母,小写字母和阿拉伯数字组合成的高难度密码,并且经常更改密码。
即使高难度密码,也可以被截获或被盗。因此考虑实施双重认证以保护虚拟专用网络( VPN )的连接和其他活动。双重身份验证使用PIN码或其他身份认证,如指纹识别,来授权硬件或软件的标记,生成一个一次性的认证字符串。
凭借强大的身份验证功能,你就可以识别用户。但是,你仍然不知道这个特别装置是否有适当的安全架构。这时你需要考虑网络访问控制(NAC)。这是个相对较新的技术,它有望消除大部分或全部的由远程连接带来的风险。事实上,为了遵守法规,像Sarbanes - Oxley法案, HIPAA(健康保险流通与责任法)等,某些形式的访问控制已实现。
总的来说,NAC可同时验证用户和设备,并可实施检查,以确保该设备运行的是一切适当的安全软件,且该软件是最新的。如果该软件有任何内容没有安装或没有正确安装补丁,NAC就会拒绝网络访问。接着NAC会扫描装置,寻找恶意软件感染迹象。一旦发现感染,网络访问会被拒绝。NAC也可以用来修补设备,使其达到准入标准,在此期间NAC还会监测传输量。
NAC是一项快速发展的技术,它限制端点进入特定的网络位置或应用程序,限制某些传输量类型或限制连接类型,是潜力巨大的有良好粒度的控制端点设备(包括非电脑设备,如智能电话,MP3和打印机)。
采用开放标准的做法已经取得进展,此法将确保各品牌的终端设备能够连接通过各种品牌的网络接入控制系统。最后,NAC技术可以逐步实施,并且,几乎任何要确保其网络端点安全的机构都可以负担得起。
谨防偷窃数据和数据泄露
无论是恶意或不小心,即使授权和认证的终端用户能够对数据失窃或泄漏负责。事实上,导致信息被盗的主要原因是,受信任的用户往笔记本电脑或其它便携式设备复制信息后,简单地将其带出。随后值得信赖的,但粗心大意的用户在超出您网络安全范围的地方,为了方便工作使用带出的敏感信息,却最终丢失了笔记本电脑或导致信息被盗。
唯一防止端点数据被盗和数据泄漏的方法是限制对重要数据的访问,并运用内容过滤限制文件传输。如上所述,NAC技术就包含了传输监控和障碍。如果不控制正在复制到端点设备资料,那端点安全策略就不完整。
最后,防止数据泄漏和盗窃造成损害的基础保护是加密。这样,即使数据落入坏人之手,也将是毫无用处的。现在的加密技术价格便宜但对也不影响系统运行,所以没有理由不为你机构中最敏感的数据加密。
谨防端点用户
端点安全面临的第四个挑战是终端使用者本身。粗心的Web浏览(点击可疑链接,访问恶意网站)和不负责任的电子邮件的行为(开启恶意附件)是攻击者安装病毒,蠕虫和特洛伊木马的主要传播媒介。
恶意攻击日益复杂,无论怎样你经常更新,您的反恶意软件总有可能失效。在最近的测试中,《电脑世界》发现,最好的安全软件只能检测到四分之一的新型恶意软件样本。
防止恶意的问题,最有效的战略是纠正用户的行为。您的安全计划应包括一个强有力的,持续的教育部分。用来教育终端用户,为什么以及如何建立高强度密码,如何处理电子邮件附件,以及如何识别欺诈行为,如钓鱼式攻击和可疑的网络链接。
它还应明确哪些软件是您的内部电脑允许的,并且警告滥用你的内部计算资源的行为。最后,让每个人都知道,所有的网络活动,包括网页浏览,都被一一记录和监测。您总不可能时时提醒员工的所有这些事情。
保护终端的几个步骤:
· 对所有客户端设备使用市场领先的安全工具,即防病毒软件,间谍软件扫描器,根工具包检测,以及防火墙。并让他们及时更新。考虑使用软件套装或提供一个更综合,更容易管理的保护装置。
· 为整个机构的电脑安装软件补丁,迅速和持续更新安全软件。
· 对所有敏感信息加密,包括闲置的数据。
· 确保所有用户都接受了足够的,关于怎样识别和避免可疑附件,链接和钓鱼欺诈行为的培训。
· 通过阅读不断变化的威胁,包括主要安全厂商和出版物中丰富的网站摘要( RSS )。频繁更新您所有的终端用户。
· 规范贵公司的智能手机和个人数字助理( PDA )。实施安全保护,包括防病毒软件。
· 建立一个明确的公司政策,定义怎样的信息可存储在端点设备。