六策略捍卫网络安全

引言： 为实现全面的信息安全，企业必须从六方面入手实施网络安全防御策略，即：阻止、检测、防御、诱骗、记录、拖延。利用这六大策略可以为企业的网络安全计划构建一种整体化的方法，从而可以极大地减少风险。

为实现全面的信息安全，企业必须从六方面入手实施网络安全防御策略，即：阻止、检测、防御、诱骗、记录、拖延。利用这六策略可以为企业的网络安全计划构建一种整体化的方法，从而可以极大地减少风险。

阻止

构建防御性的措施可以有效地阻击黑客并保护网络。任何管理者都不可轻视使用这种技术来阻止攻击者引起严重的问题。

对网络安全新手来说，尤其需要注意的是，不要使面向公众的系统自动返回过于详细的错误消息，防止攻击者利用这些信息来对付企业。例如，在用户输错了口令时，不要显示“不正确的口令”，因为这可以使攻击者知道其输入的用户名是真实存在的。此时，系统应显示“不正确的用户名或口令”之类的消息。如果攻击者猜中了用户名，系统给出这种消息，特权账户将会获益。

安全管理者还应当实施账户锁定策略：对于连续多次输入错误口令的用户应进行锁定。安全系统应在一段时间之后才允许其访问，或者在管理员解开其锁定后才准许访问。这可以防止攻击者在短时间内猜测大量的口令组合，还可以防止其在被锁定后的再次尝试。对于特权账户来说，这种做法尤其有用，因为这种账户最有可能成为蛮力攻击的目标。

进一步的措施是，我们可以限制在一定周期内从单一IP地址登录的尝试次数，从而防止口令猜测攻击。如果攻击者仅猜测了五次管理员的口令，他一般将没有机会得到正确的口令。他必须在下一个周期才能尝试猜测，如此反复。由此，攻击者自己就会偃旗息鼓，并且往往会转而选择下一个更容易的目标。也许我们无法做到阻止所有攻击的发生，但却可以阻止攻击者的进程。

检测

部署自动化的入侵检测系统（无论是部署基于网络的还是基于主机的）是一个好主意，但监视日志并查看异常行为也非常重要。

来自可疑IP地址的连接、在不正常时间的登录、大量的登录企图等都有可能表明攻击者正试图进入，或者已经取得了网络的访问权。对于检测可疑行为来说，审计和警告都非常重要。例如，通过检查日志并看到管理员账户有大量失败的登录企图，我们可以判定管理员账户正遭受蛮力攻击。在检测可疑行为时，掌握特定时间的正常通信的参考资料是很有益的。通过前后比较，管理员就可以注意到数据中的异常。

防御

在信息安全问题上，防御既有被动的一面又有主动的一面。在网络及其连接系统之间建立强健的防御，往往要从保持软件和操作系统的补丁最新开始。这可以确保企业修复已知的漏洞，并限制攻击者用于进入系统的攻击媒介。

然而，如果攻击者成功进入了网络，就要采取应对措施了。通过防火墙阻止攻击者的IP地址就是很好的选择。更为重要的是，要注意到攻击者的目标是什么，例如， 如果攻击者正在利用一个潜在的漏洞攻击一台Web服务器，就要在挫败其进入的企图后，确保修补漏洞，保证其不易受到其攻击。攻击者有可能日后用一个不同的 IP地址登录，并有可能继续实施同样的攻击。如果攻击者试图猜测特权账户的口令，你应当考虑更改特权账户的名字，使公众无法看到此名字。由此，由于攻击者需要猜测用户名，所以其猜测口令的难度也会极大增加。

诱骗

如果攻击者正在对付的是一台虚假的系统，而非拥有真实数据的系统，那将是非常不错的部署。我们需要做是就是搭建一个蜜罐，其中的虚假系统保存的是虚假的敏感数据，目的是为了吸引攻击者，使其远离企业的真实数据。蜜罐技术在当今广泛使用。

通过用有吸引力的数据和较低水平的安全，系统管理员就可以监视攻击者在蜜罐上的行为，同时用防火墙隔离和保护网络的其余部分。蜜罐有多种形式，其维护成本和模仿真实机器的有效性也不同。蜜罐的成本依赖于企业对于发生在蜜罐内部的行为进行监视的数量期望。

记录

不管攻击是否成功地造成破坏，企业都应当记录事件。即使是看似无关紧要的小事件，将其记录在案也非常重要。

在事件发生时，我们应当记录如下类型的信息：

1.连接到机器的IP地址，也就是攻击者的机器是什么。2.遭受攻击的服务器的地址是什么？3.攻击类型是什么？4.攻击发生的日期和时间。5.由事件产生的日志有哪些。

我们可以利用这种信息，注意到攻击者的行为模式，根据其试图实施的攻击推断出其目标，预测其下一步有可能攻击的目标，并过滤此后的相关日志，以便查找相同类型的重复攻击。

拖延

在攻击者窃取敏感数据的过程中，他遭遇到的每一次阻碍都延缓其进程。所以，为防止第一层防御失效，建立多层防御很有必要。面向外部的防火墙是一个良好的开端，但许多企业为向客户提供服务并保障业务能够每天正常运转，会开放一些必要的端口。那么，在攻击者在找到突破第一层防御的方法之后，在其能够到达敏感数据之前，企业应设置多层障碍。

访问控制列表（ACL）可以限制谁可以在什么时间登录到系统，这意味着攻击者要想不留下失败登录的明显痕迹，可能会很麻烦。

此外，复杂的长口令也是一个非常基本的但往往未得到充分使用的拖延策略，因为它可以防御口令猜测、蛮力攻击等。即使攻击者取得了口令的哈希，并试图用破解工具获得明文口令，攻击者也要花费更多时间，这意味着我们需要将口令设置得更复杂一些。

虽然没有哪家公司希望使其系统离线，但是，如果你发现系统正遭受严重攻击，就应当制定一个计划（最好是提前制定好的计划），规定在什么时间使其离线以及由谁发出通知。

这种做法是阻止很多攻击的最有效方法。系统离线后，攻击者就没有办法进入系统，这是最佳的拖延策略，可以使管理员首先修补造成攻击者进入系统的任何漏洞，并为其节省给系统打补丁的大量时间。