- 挂牌上市企业
- 60秒人工响应
- 99.99%连通率
- 7*24h人工
- 故障100倍补偿
网络防护层应用策略、过程和意识 |
| 发布时间: 2012/7/4 9:05:00 |
|
客户端、服务器和网络的操作策略及过程是组织中病毒防护层的基本方面,Microsoft建议将以下策略和过程视为组织深层病毒防护解决方案的一部分: • 防病毒扫描例程。理想情况下,您的防病毒应用程序应该支持自动扫描和实时扫描。但是,如果不是这样,则您应该实施一个过程,以便提供有关组织中的用户应该在何时运行完整系统扫描的指导。 • 防病毒签名更新例程。大多数的现代防病毒应用程序支持下载病毒签名更新的自动方法,您应该定期实施这样的方法。但是,如果您的组织要求在部署这些更新之前先对其进行测试,则通常将无法使用这样的方法。如果是这样,请确保您的支持人员尽快识别、下载、测试和更新签名文件。 • 允许的应用程序和服务的相关策略。应该存在明确传达的策略,以说明在组织的计算机上允许使用哪些应用程序以及哪些可以访问组织资源。可以导致问题的应用程序的示例包括:对等网络应用程序和用户可能直接从恶意网站下载的应用程序。 Microsoft 建议至少对组织网络防护层中的所有设备应用以下策略和过程。 • 变更控制。网络设备的重要安全过程是控制影响它们的变更。理想情况下,应该以可控和记录的方式提议、测试和实施所有变更。因一时冲动对外围网络中设备进行的变更,很可能引入攻击可以利用的配置错误或缺陷。 • 网络监视。正确地配置网络设备以优化其安全性,并不意味着可以忽视其他防病毒过程。持续监视网络中的所有设备是尽快检测出恶意软件攻击所必需的。监视是一个复杂的过程,它要求从许多源(如防火墙路由器和交换机)收集信息,以编辑可以用来识别异常行为的"正常"行为基准。 • 攻击检测过程。如果检测到可疑的恶意软件攻击,则您的组织应该具有一组可以遵循的明确定义并记录的步骤,以确保攻击得到确认、控制和清除,且对最终用户带来最小的破坏。有关此主题的详细信息,请参阅第 4 章"突发控制和恢复"。 • 家用计算机网络访问策略。应该建立一组最低要求,员工必须满足这些要求才能将家用计算机或网络通过 VPN 连接连接到您组织的网络。 • 访问者网络访问策略。应该建立一组最低要求,仅允许满足这些要求的访问者连接到您组织的网络。这些要求应该同时适用于无线连接和有线连接。 • 无线网络策略。连接到内部网络的所有无线设备都应该先满足最低安全配置要求,才能进行连接。此策略应该为组织指定所需的最低配置。 您可以实施许多其他策略和过程提高网络设备的安全性;应该将本节列出的策略和过程视为一个良好的起点。但是,由于其他策略提供常规安全设置而不是防病毒特定的设置,因此它们超出了本指南的范围。 安全更新策略 客户端、服务器和网络防护都应该已经具有某种形式的安全更新管理系统。这样的系统可以作为范围更广的企业修补程序管理解决方案的一部分提供。应该定期检查主机和设备的操作系统是否有供应商提供的更新。这些安全更新策略还应该为用于将安全更新应用到组织系统的过程提供操作准则。此过程应该包括以下阶段: 1. 检查更新。某种类型的自动通知过程应该已经存在,以通知用户可用的更新。 2. 下载更新。系统应该能够下载更新,且对用户和网络产生最小影响。 3. 测试更新。如果更新要应用于关键任务主机,则您应该确保在产品环境中部署每个更新之前,在合适的非产品系统上对其进行测试。 4. 部署更新。在测试和验证更新之后,应该可以使用简单的部署机制帮助分发它。 如果在您环境中被更新的系统不需要此列表中的测试阶段,则您的组织可能希望考虑自动为系统执行整个过程。例如,使用 Microsoft Windows Update 网站上的"Automated Updates"(自动更新)选项,可以通知并更新您的客户端计算机,而无须用户干预。使用此选项,有助于确保您的系统尽快运行最新的安全更新。但是,此方法在安装更新之前不测试它。如果这是您组织的要求,则不建议使用此选项。 确保使用最新的安全更新维护您组织的系统,应该成为组织系统管理的常规部分。 基于风险的策略 如果在深层病毒防护模型的外围网络层和内部网络层上连接了太多的客户端、服务器和网络设备,则创建单个有效的安全策略来管理组织中的所有要求和配置就会很困难。您可以用来组织策略的一种方法是,将组织中的主机根据其类型和风险级别归入不同类别。 Microsoft 建议对于组织的以客户端为中心的风险评估策略考虑以下配置类别: • 标准客户端配置。此配置类别通常适用于基于办公室的台式计算机,它们物理摆放在办公室建筑物中的地点。这些台式机客户端受到现有的外部和内部网络防护的持续保护,而且在组织建筑物内是受保护的。 • 高风险客户端配置。此配置类别旨在满足移动计算机用户和移动设备(如 PDA 和移动电话)的需要。这些设备经常移动到组织网络防护的保护之外,因此风险级别较高。 • 来宾客户端配置。此配置类别设计用于您的组织并不拥有或支持的客户端计算机。管理这些计算机的配置也许是不可能的,因为您不大可能具有其配置的控制权。但是,您可以设置策略,以限制这些计算机连接到组织网络的能力。来宾客户端计算机通常是以下类型之一: • 员工的家用计算机。 • 合作伙伴或供应商的计算机。 • 来宾计算机。 Microsoft 还建议为服务器角色建立风险类别,并建议对服务器也进行与客户端一样的风险评估。作为服务器策略的起点,您可能考虑以下配置类别: • 标准服务器配置。此配置类别旨在作为您环境中多数服务器配置的共同点。它提供最低级别的安全性,但不限制常用的服务。此后,您可以将高风险和角色特定的配置类别策略修改为包括相应级别的所有策略要求。 • 高风险服务器配置。处于外围网络中的服务器或直接暴露于外部连接和文件的服务器应该在此配置类别中考虑。例如,此类别可能包括外围 Web 服务器、防火墙服务器和消息服务器。包含特别敏感数据的服务器(如 HR 数据库服务器)也可能需要采用此配置,而不管其网络位置。 • 角色特定的配置。您的组织也可能选择将特定的服务器角色组织到不同的配置中,以便更加符合服务器应用程序的要求。例如,您可能选择将角色特定的配置用于消息服务器、数据库服务器或防火墙。除了根据需要使用标准配置类别或高风险配置类别外,您还可以选择使用此方法。 使用基于风险的策略是组织中规划小组的最终选择,并且您可以将引用的配置分类用作进一步开发的基础。最终目标是减少管理系统必须支持的配置数。通常,标准化方法比分别配置环境中每个主机的安全性更有可能产生安全的配置。 自动监视和报告策略 如果您的组织使用可以向中心位置报告可疑恶意软件感染的自动监视系统或防病毒应用程序,则有可能自动执行此过程以便任何警报都自动通知组织 IT 基础结构中的所有用户。自动警报系统将最大限度地减少初始警报和知道恶意软件威胁的用户之间的延迟,但是此方法存在的问题是它可以生成许多"假阳性"警报。如果没有人筛选警报和检查不寻常的活动报告检查表,则警报很可能警告不存在的恶意软件。此情况可能导致对威胁估计不足,因为太频繁地生成警报,用户将会很快对警报不那么敏感了。 Microsoft 建议指定网络管理小组的成员负责接收来自所有系统监视软件或您组织使用的防病毒程序包的所有自动恶意软件警报。之后,小组先从自动系统中筛选出假阳性警报,再向用户发出警报。为了使此方法得以成功,小组需要每周 7 天、每天 24 小时地监视警报,以确保检查所有的警报,如果需要则向网络用户发布。 用户和支持小组的意识 小组意识和培训应该针对组织中的管理和支持小组。重要 IT 专业人员的培训是 IT 所有领域的基本要求,但是对于病毒防护它尤其重要,因为恶意软件攻击和防护的特点可能会定期变化。一个新的恶意软件攻击可以在几乎一夜之间损害有效的防护系统,而您组织的防护可能处于危险之中。如果这些防护的支持人员在如何识别和响应新的恶意软件威胁方面没有进行过培训,则迟早会在病毒防护系统中发生严重的安全违反。 用户意识 用户培训通常是组织在设计其病毒防护时最后考虑的事情之一。帮助用户了解与恶意软件攻击有关的一些风险是缓解此类风险的重要部分,因为组织中使用 IT 资源的任何人都在网络安全性方面起着一定作用。由于这一原因,有必要使用户了解他们可以缓解的更常见风险,例如: • 打开电子邮件附件。 • 使用弱密码。 • 从不受信任的网站下载应用程序和 ActiveX 控件。 • 从未经授权的可移动媒体运行应用程序。 • 允许访问组织的数据和网络。 当恶意软件所用方法改变时,必须更新病毒防护。不管防病毒程序的签名文件或程序本身是否需要更新,创建和部署更新都需要时间。创建更新所需的时间在最近几年得到了大幅度的减少,这些更新通常在数小时内即可用。但是,在更少见的情况下,从新的恶意软件攻击的发动时间到可以提供有效的病毒防护,仍然可能需要数天的时间。 在此时间内,您组织具有的最好防护可能是意识到恶意软件及其风险的用户。为用户提供基本的防病毒准则和培训,可以帮助阻止经过 IT 防护的新型恶意软件在整个环境中传播。 培训用户不必是一个复杂的过程。基本的防病毒准则主要基于常识性原则,但是确保明确强制和传达这样的准则可能是一个难题。Windows XP 基准安全检查表 - 可以从Microsoft TechNet 上的以下网址下载:http://www.microsoft.com/technet/Security/chklist/xpcl.mspx- 可以帮助您确定要传达给用户的与防病毒和安全性相关的常见问题。 负责移动设备的用户很可能需要进行其他培训,以帮助他们了解与将设备带到组织的物理防护和网络防护之外关联的风险。很可能将需要专用于保护这些移动设备的其他防护。由于这一原因,您可能需要为管理这些设备的用户指定其他配置和培训。 注意:在 Microsoft.com 上的 Protect your PC(英文)(保护您的 PC)指南中提供了一些有用的最终用户配置信息,网址为:www.microsoft.com/security/protect/。此站点是一个良好的信息资源,它可以帮助您的用户自学如何保护其家用计算机和网络。 支持小组意识 负责组织的服务器、客户端和网络设备的配置和支持的 IT 专业人员将需要进行防病毒培训,帮助他们确保最佳地配置和维护其系统,以阻止恶意软件的攻击。其中任何计算机或设备的配置错误都可以打开恶意软件攻击的路由。例如,如果缺乏培训的防火墙管理员在外围防火墙设备上默认打开了所有网络端口,则将带来严重的安全风险和恶意软件风险。负责连接到组织外围网络的设备的管理员应该接受特定的安全培训,以帮助他们了解可以影响网络设备攻击的范围。 获得用户反馈 如果为意识到恶意软件的用户提供了报告所用系统上不寻常行为的简单而有效的机制,则他们可以提供极佳的预警系统。这样的机制可以采用电话热线号码、电子邮件别名或从组织支持人员的快速升级过程的形式。 主动内部通信 如有可能,IT 部门的成员应该建立主动防病毒响应小组,该小组负责监视外部的恶意软件警报站点以预警恶意软件的攻击。 定期检查类似这些站点的参考站点,应该使支持人员可以在最新的恶意软件威胁渗透到组织网络之前,将这些威胁通知系统管理员和用户。确定进行这些检查的时间是至关重要的。确保系统用户在检查早上的电子邮件之前收到主动的警告,他们可能只需要删除几封可疑的电子邮件,而不会导致恶意软件的爆发。如果多数系统用户在上午 9 点登录,则建立一种在此时间之前报告新的恶意软件威胁的方法可以视为最佳做法。 内部的恶意软件警报 以及时和全面的方式找出通知所有用户可能发生的恶意软件攻击的最有效机制,是至关重要的。可用的通信系统差异很大,具体取决于组织的基础结构;提供适合于所有组织的恶意软件警报系统是不可能的。但是,本节提供组织为了达到此目的可能希望考虑的机制的以下示例: • 组织布告牌。不应忘记的低技术方法是使用内部的办公室门、布告牌或员工易于理解的纸质信息点。虽然此过程涉及一些要维护的开销,但是它具有重要的优点:当网络区域因受到攻击而不可用时,可以将重要信息传达给用户。 • 语音邮件系统。如果组织的语音邮件系统支持它,则为所有用户留下一条消息的能力可以是传达恶意软件警报的有效机制。但是,应该注意此方法依赖于在访问电子邮件之前访问语音邮件以获得电子邮件威胁警告的用户。 • 登录消息。您可以将 Windows 操作系统配置为在登录过程中将消息直接传递到用户的屏幕。此机制提供了一种使用户注意恶意软件警报的好方法。 • Intranet 门户。用户设置为主页的公共 Intranet 门户可用于提供恶意软件警报。要使此警报机制生效,需要建议用户在访问电子邮件之前查看此门户。 • 电子邮件系统。使用电子邮件系统将恶意软件警报传达给用户时,请务必谨慎。因为攻击可能会影响您的电子邮件服务器,所以此机制可能不是在所有情况下都有效。此外,由于收件箱排队过程的特性所致,可能会在已经将包含恶意软件的电子邮件传递到用户之后,传递恶意软件警告。由于这一原因,您可能需要建议用户在第一次登录到计算机时,在查看任何电子邮件之前首先查找高优先级恶意软件警告。 小结 病毒防护不再仅仅是安装应用程序。最近的恶意软件攻击已经证明需要更全面的防护方法。本章集中说明如何应用深层防护安全模型形成深层防护方法的基础,为组织创建有效的防病毒解决方案。请务必了解恶意软件编写者持续不断地更新攻击组织可能在使用的新 IT 技术的方法,而且防病毒技术不断发展以缓解这些新威胁。 深层病毒防护方法应该有助于确保您的 IT 基础结构能够应对所有可能的恶意软件攻击方法。使用此分层方法,就可以更轻松地识别整个系统中的任何薄弱点,从外围网络到整个环境中使用计算机的个人。如果未能处理深层病毒防护方法中所述的任一层,都有可能使您的系统受到攻击。 您应该经常复查防病毒解决方案,以便每当需要时都可以更新它。病毒防护的所有方面都是重要的,从简单的病毒签名自动下载到操作策略的完全更改。 Microsoft 认识到恶意软件可以产生巨大的破坏和惊人的损失,因此投入了大量精力以便使创建和分发恶意软件的人更难得逞。Microsoft 还在努力使网络设计人员、IT 专业人员和最终用户可以更轻松地配置系统,使其满足安全要求且对业务操作产生很小影响。 尽管彻底根除恶意代码也许是不可能的,但是持续关注此深层病毒防护方法中重点说明的方面将有助于将恶意软件攻击可以对组织的业务操作产生的影响减到最小。 本文出自:亿恩科技【www.enkj.com】 |
0371-60135900
京公网安备41019702002023号
香港服务器租用
美国服务器租用
电信骨干机房
联通骨干机房
