内网安全已经不再是只能看到"病毒"、"木马"而无法对这些安全事件进行控制的摆设。宁波新锦程教育将为你讲解如何利用现有硬件资源对内网进行优化?如何进行内网安全管理已经成为企业的最大需求,在这样的需求点之下,方案商如何把握企业客户对内网安全应用变化的趋势.
一、数据保护篇
随着企业规模的不同,成百上千的电脑和移动存储设备,在数据流动中发生泄漏的可能性是极大的。那么,在数据保护中,加密是最为基础,也是最为关键的技术之一。
安全工具:6款免费文件加密工具介绍
利用压缩文件,并设定密码的方式,仍有可能以软件运行的方式破解,因此这里我们介绍了6款免费的文件加密工具,使得机密文件可以更加安全地被保存文件加密是保护机密资料的常见做法,其中,一般最常使用的方式就是将文件压缩,同时设定一组解压的密码,限制文件仅有知道密码的人才有权限读取。在多数情况下,透过上述方式已能有效保护文件资料的安全,不过仍有可能利用软件运算的方式加以破解(主要是透过字典档的方式推算),因此,采用更强健的工具加密资料就有其必要性。
此外,关于文件的删除,即使我们已经将文件自资源回收筒当中清除,还是有可能加以复原,因此许多这一类型的工具都有额外提供将文件自硬碟完整移除的能力,防止可能遗留下来的资料造成资料的外泄。
6款免费的文件加密软件
除了功能单一的加密产品之外,目前一些企业端的防毒软件也开始将这项功能内建进来,不过利用免费的工具一样能够加密文件,其中不乏由资安大厂所开发的套件,我们这次一共选择了其中的6款加以介绍。
Axon Data AxCrypt 1.6.4.4
AxCrypt是一套开放原始码的文件加密工具,在我们这次测试的几种同类型工具当中,它算是功能比较完整的一款套件。
AxCrypt可以让我们透过右键选单,以AES演算法加密所选取的文件,操作上十分容易;在此同时,可以设定成保留原始资料,仅制作出一份加密过后的副本,或者将其删除。
另外,这套软件也能打包成自动执行档,可在没有安装AxCrypt的电脑上将文件解密。
它也具备移除文件的功能,我们可以透过AxCrypt处理文件之后,再予以删除,利用双层的步骤,有效保护机密资料的安全。
InterCrypto Crypt4Free 5.1.6
Crypt4Free是一套具备文件加密及压缩的加密工具,透过它的应用程式介面,我们可以采用DESX、Blowfish等2种演算法当中的一种,来加密文件,或者打包成ZIP格式的压缩档。
很特别的是,Crypt4Free提供了虚拟键盘的功能,当我们针对要文件设定加密时,利用这项功能,可以防止解密的密码在这时被恶意程式所侧录。
和这次其他大多数的工具一样,我们可以设定在加密文件时,删除原始资料,防止未经加密的文件外流,造成资讯安全漏洞。
由于这套工具不提供制作执行档的功能,因此如果想要在其他电脑上解密由它制作的文件,就必须安装Crypt4Free的主程式。
2BrightSparks EncryptOnClick 1.3.1.3
EncryptOnClick的应用程式介面,只有加、解密等2种功能键可供操作,除此之外,没有其他的设定选项,在我们这次测试的6款文件加密工具中,算是最容易操作的一种。
它可以加密的对象,除了单一文件,另外也包括了资料夹。测试过程中,我们针对一个内含100多个文件的文件夹采取加密,完成后,所有的资料都会转换成副档名为.EOC的加密档。
由于不支援打包自行解密执行档的能力,因此我们必须在其他台电脑上也一并安装EncryptOnClick的主程式,才能辨识加密过后的文件格式,进而将文件解密。二、网络保护篇
内部网络的防护工作比较复杂,包括网络监控,身份认证以及防病毒等等各方面的内容。既要保证网络的安全,又不能影响业务的连贯性,因此在策略和选择上就需要多加思考。
快速确认内网ARP攻击的方法
ARP攻击内网的网络现象:
突发性瞬间断线,快速连上,期间上网速度越来越慢,一段时间又瞬间断线。
ARP攻击内网诊断:
1、断线时(ARP攻击木马程序运行时)在内网的PC上执行ARP –a命令,看见网关地址的mac地址信息不是路由器的真实mac地址;
2、内网如果安装sniffer软件的话,可以看到ARP攻击木马程序运行时发出海量的ARP查询信息。
内网被攻击原因:
ARP攻击木马程序(传奇盗号木马)运行时,将自己伪装成路由器,所有内网用户上网从由路由器上网转为从中毒电脑上网,切换过程中用户会断一次线。过程用户感觉上网非常慢。当ARP攻击木马程序停止运行时,所有内网用户上网又从由中毒电脑上网转为从路由器上网,切换过程中用户会再断一次线。
在HiPER上的快速诊断:
1、系统状态—系统信息—系统历史纪录内,可以看见大量的mac地址变化信息,且mac地址都变化成进行
ARP攻击那台电脑的mac地址,或者由同一mac地址变回原来的真实mac地址。
MAC Chged 10.128.103.124 */该IP地址的MAC地址发生变化
MAC Old 00:01:6c:36:d1:7f */变化前的MAC地址
MAC New 00:05:5d:60:c7:18 */变化后的MAC地址
2、断线时(ARP攻击木马程序运行时),在系统状态—用户统计中,观察到的所有用户的mac地址一致。
内网ARP攻击解决办法:
1、将感染病毒的PC从内网断开,查杀病毒。
2、在PC和路由器上双向绑定对方的IP和MAC地址。
快速确认内网ARP攻击的方法就为大家介绍完了,希望通过以上的介绍能够帮助到大家。
内网安全的安全威胁很大一部分是来自终端用户,因为每个人员的操作都不同,所以在终端管理方面也就存在着更多的威胁,那么一个严格的终端管理,就是内网安全的关键。
终端审计的真正目的不是将终端曾经发生过的一切记录下来供日后查询,而是取证分析,检验已经实施的内网安全管理策略是否满足安全管理要求,促进内网安全持续改善。
一、 走出终端审计误区
终端审计的一个重要特征是实现对过去发生过的历史事件的“回溯”。比如:能否监控和记录终端用户浏览过的网站和浏览网站的内容;能否监控和记录终端用户对文件的复制、删除和修改等操作;能否监控和记录终端用户打印了什么文档和打印的文档内容;能否监控到终端用户的MSN、QQ的行为并记录下聊天的内容;能否监控和保存终端用户的终端屏幕画面和内容……
这一特征使得很多人容易陷入这样一个误区,就是终端审计是为了监控和记录。而事实上,监控和记录各类终端行为信息只是终端审计的开始,而不是目的。终端审计的真正目的在于通过对终端一些异常行为进行分析,及时发现内网安全管理的脆弱点,并对一些恶意行为进行取证和警示,保证内网安全渐趋完善。
此外,终端审计作为信息安全审计的一种类型,存在以下与其他类型的审计明显区别的特征:
1. 海量的终端审计数据
—终端数量终端,每一个终端都是一个数据收集点
—终端审计数据种类:网络行为、文件操作、打印等
—终端每天产生的数据都是海量的
—海量的数据淹没了真正有价值的信息
2. 终端身份复杂多变
—终端身份多样:用户名、IP、MAC、主机名、软硬件配置信息等
—终端身份多变:非法盗用账号,非法修改IP、MAC等身份信息等
—终端行为不可控,如果发生网络攻击(例如ARP欺骗)导致大量“虚假”信息
—身份变化导致审计结果“张冠李戴”
—终端身份易变导致审计结果不能真正溯源
终端审计以上特有的特性,如果不能确保审计目标和方法的正确性,将会导致审计结果的高度发散,管理员或审计员将被淹没在审计数据的“海洋”里,既不能有效发现内网中存在的安全漏洞,又不能从检验内网安全管理策略是否适当,也不能对恶意行为进行精确定位,迷失了终端审计“促进内网安全持续改善”的真正终极目标。
二、 终端控制是为了更好的审计
针对终端审计的特征和终端审计用户的真正价值,内网安全管理产品重新诠释了终端审计的目标和终端审计的方式。
终端审计潜在的海量数据和复杂多变的终端身份挑战,要求根据终端审计的目标,能够对终端审计结果进行有效控制,摒弃杂乱、无序的“干扰”行为和数据,保留真正有价值或高度相关的终端行为信息,从而能够帮助用户快速有效对内网中的缺陷和恶意行为进行分析和准确定位,促进内网安全持续改善。
为了实现对内网薄弱点或攻击的准入定位,内网安全管理产品不仅能够从终端文件操作审计、上网行为审计、打印审计、违规策略事件审计、异常路由、Windows登录审计”等终端行为相关的信息审计功能,同时更强调以控制为前提的审计。首先借助自身强大的终端准入控制、终端安全控制、移动存储管理和审计模块中具备的文件操作控制、上网行为控制、打印控制等细粒度的终端行为控制,保证只有合法的和安全的终端接入内部网络和安全网络访问,有效杜绝绝大多数违规行为或攻击行为,从而确保终端审计获得的信息更准确、更有效和更可信。
内网安全管理和内网中存在的脆弱点,只有通过对准确可靠的审计数据进行分析,才能被找出,从而促进及时采取措施或调整已有的内网安全管理系统的安全策略。不能为了审计而监控并记录,而是要先控制后审计,而做好终端安全控制对审计而言,就是为了更好的审计。
