为什么小型企业易遭攻击?
对于小型企业网络而言,也许最大的威胁就是企业所有者对网络安全的认识错误,并且缺乏保护网络的熟练技能。小型企业的所有者经常将网络安全问题排在其它紧迫问题之后,在很多情况下,他们甚至根本不关注网络安全。
为了更好地了解这个问题的严重性,请看看下面的调查结果:
美国国家网络安全联盟(NCSA)的一项调查显示," 在接受NCSA调查的人群中,超过30% 的人认为,他们的计算机遭到互联网攻击的机会比他们自己遭受雷击的机率还小。"
SANS/ Internet Storm Center 定期公布的有关" 干净的" (未加补丁和未采取保护措施)系统在遭到攻击或扫描之前能够连接到互联网的平均时间的数据。最新数据表明这一时间平均为20-30 分钟。
新威胁每天都在层出不穷,攻击随时可能发生,威胁形式可能是由于垃圾邮件而导致生产力降低,也可能是客户信用卡号码等宝贵信息落入他人之手。
许多小型企业所有者并不重视网络安全问题。他们认为公司规模小,市场地位无足轻重,因而黑客不会将这类网络作为攻击目标。这种观念是极其错误的。沙宾法(Sarbanes-Oxley Act)等严格法规要求企业在信息安全方面进行更多投资。企业也意识到了各种安全威胁,通常聘请内部专家来帮助他们抵御各种网络威胁。拥有大型网络的公司通常拥有复杂的防火墙和入侵防御系统,并且定期更新和维护这些系统。小型企业不可能花费很多人力、财力或时间来维护企业级网络安全系统。但是,这并不意味着他们可以忽略安全威胁。
My.Doom 蠕虫(2004年1 月首次出现)就是一个很好的例子,可以证明小型网络比企业网络更容易遭到攻击。Internet Security Alliance的数据表明,有三分之一的小型企业都遭到了My.Doom 蠕虫的攻击,但只有六分之一的大型企业受到影响。
这并不总是个别人的问题。以后您会知道,大部分攻击和安全威胁都是将一般公众,而不是特定公司或网络列为攻击目标。黑客运行的软件程序会扫描整个网络和IP地址范围,寻找潜在弱点。当他们找到这样的弱点时,就会控制这些计算机,或感染它们,并将这些计算机作为" 僵尸网络" (Zombie army )进行利用,以便发起更大规模的攻击。
包括哪些威胁?
与其它技术一样,互联网安全威胁始终都在变化和演进。黑客不断调整攻击方法,并加以发展,以利用员工在技术和心理上的弱点。当前的威胁包括:
·安全漏洞和弱点。操作系统和软件中的这些"bug" 可能会为黑客所利用。一旦发现弱点,一场角逐就会由此展开:黑客会抢在软件开发商发布补丁以修补漏洞之前,抓紧研制他们的" 武器" ,它们通常是一些代码,可以利用弱点进行渗透,或者让某个程序或整个网络丧失功能。
·直接攻击。尽管直接攻击在小型企业中比较少见,但这种情况仍然存在。怨恨公司的员工、心怀不满的顾客或者具有一定网络知识的竞争对手,都可能出于不同目的,试图向网络发起攻击。有些黑客仅仅是出于好奇,有些黑客企图进行数据盗窃,这些原因都可能导致他们向您的公司网络发起攻击。
·病毒。尽管病毒现在越来越不常见,而且人们经常将它与蠕虫混为一谈,但由于病毒是可执行代码,它们可以破坏计算机系统。病毒通常伪装成合法附件,通过电子邮件发送,最近还开始通过即时信息网络发送。用户无意中激活了代码,使系统遭到病毒感染。病毒通常利用被攻击者的地址簿,发送邮件到其它邮箱。病毒可能只是个烦人的恶作剧,也可能产生极大破坏。
·蠕虫。计算机蠕虫与病毒类似,但比病毒更为普遍。病毒可以感染程序和文件,而蠕虫则不同,它们不会自己附加到其它任何软件上,而且是独立存在的。蠕虫经常利用受感染系统的文件传输功能,自动进行传播,从而导致网络流量大幅增加。蠕虫还能产生其它一些影响,比如删除文件、从受感染的计算机上发送文件等。最近,黑客还开发了"Multi-headed"蠕虫,这些蠕虫包含了其它一些可执行程序。其中最臭名昭著的一种就是My.Doom.这种蠕虫具有多种变体,可能给企业、ISP 和家庭用户造成数十亿美元的损失。
·Trojan Horses。这些软件程序可以捕捉密码和其它个人信息,使未授权远程用户能够访问安装了特洛伊木马的系统。为防止特洛伊木马造成破坏,必须使用防火墙,严格控制向外的流量。
·拒绝服务(DoS )攻击。如果您运行的是促销或Web 商业网站的Web 服务器,这种特殊威胁就会生效。此类攻击会向服务器发出大量伪造请求,造成服务器超载,进而导致服务器丧失功能。在很多情况下,攻击者不能利用数量有限的计算机和带宽实施这种攻击,他们开发了" 僵尸" 网络,利用蠕虫感染不同网络,让黑客能够利用其计算机和带宽发起攻击。这种攻击称为分布式拒绝服务(DDoS)。发起DoS 攻击的黑客组织会索取保护费,以保证不破坏业务,因此它已经成为一种非常普遍的在线犯罪行为。依赖在线商务的公司尤其容易遭受DoS 攻击。
·垃圾邮件。尽管垃圾邮件未被正式定义为安全威胁,但同样也会严重破坏生产力。由于垃圾邮件信息携带的恶意软件和" 网页仿冒" (phishing)软件日益增多,所以还会产生潜在风险。" 网页仿冒" 是一种通过复杂的邮件信息获取个人信息的手段,包括密码、银行帐户、信用证号码等。这些信息假称它们是特定服务商(例如eBay)发送的,在那些深信不疑的接收者看来,它们似乎是可靠的信息。
·间谍软件。间谍软件恶意病毒代码,有时出现在各种免费软件或共享软件中,也会出现在文件共享客户端中。它们可以监控系统性能,并将用户数据发送给间谍软件开发者。
·不良内容或非法内容。尽管不良内容未被视为安全威胁,但它会对员工生产力造成严重破坏。发布非法内容的网站通常将病毒、蠕虫和特洛伊木马内置在下载文件中。
确保小型企业网络安全的十大步骤
不仅是技术 -在您寻找防火墙、防病毒和网络安全服务提供商之前,一定要首先明确目标。评估您的需求,检查现有资源,预计拥有一个安全网络可能具有哪些潜在利益。
1. 安全意识。也许安全网络的最重要因素就是安全意识。您首先要熟悉各种安全威胁。一定要检查安全升级和软件补丁。提高员工的安全意识。如有需要,让员工阅读本文。确保他们不将未保护的移动设备接入网络,不要打开不请自来的邮件附件等。
2. 安全策略。技术只是实施特定规则的一种工具,这些法规旨在保护数据安全,让您的业务顺利运营。安全策略应包括不同规则和行为,例如,在用户设置密码时,密码策略就要求他们使用不易猜测或破译的密码;防火墙规则只允许特定流量进出网络。如果要为10名用户以上的办公室制定安全策略,强烈建议您向网络安全专家进行咨询。一旦制定安全策略,就要确保付诸实施。
基本要求
下面列出的是连接到互联网的任何计算机或网络都必须具备的三种资源:
3. 防火墙。防火墙是您的网络与互联网之间的安全卫士。当手提电脑经常被带出办公室,或者该电脑是公司唯一的计算机时,必须将软件防火墙直接安装在计算机上。在包括多台计算机的网络中,需要在防火墙专用机器上安装硬件防火墙。
防火墙各不相同:部分防火墙提供深度防火墙保护和其它安全服务,而另一些防火墙则只提供带有NAT 转换的互联网连接共享,因而只能提供基本保护。防火墙的主要目的是拦截不需要的流量,如准备感染带有特定弱点的计算机的蠕虫。注意,部分防火墙还能用于拦截特定的向外流量,如文件共享程序等,同时还能拦截特定的向内流量,如即时信息发送,或者防火墙管理员选择拦截的其它任何服务。
很多硬件防火墙都提供其它服务,如电子邮件防病毒、反垃圾邮件过滤、内容过滤、安全无线接入点(AP)选项。在选择防火墙时,应该确定您公司的要求。许多防火墙厂商根据您选择的服务范围,提供不同价格的定制防火墙。如果可以的话,您应当从本地网络安全服务提供商那里获得相关技术支持。
4. 防病毒。防病毒(AV)软件用于扫描安装了防病毒软件的计算机上的文件,当然也扫描电子邮件。除了在每台计算机上安装杀毒软件外,还有一点非常重要,那就是建立一个防病毒网关:即在流量传输到客户端计算机之前,对流量进行扫描的本地或异地设备。由于新病毒几乎每天都会出现,因此要随时更新反病毒软件,这一点至关重要。
不要忘记,仅仅拥有软件是不够的。如果可能,应该制定自动扫描日程。如果没有自动扫描日程表,应该设置一个提醒程序,以确保您和其他办公室员工能定期对计算机进行扫描。
防病毒网关安装在网络入口。它使用自动更新,提供防御最新威胁的第一道防线,从而防止病毒到达未安装最新病毒定义或补丁的网络计算机。
5. 补丁和更新。微软和其它软件厂商会提供更新,以修复软件中的Bug ,另外还提供补丁,弥补安全漏洞。请务必定期检查更新。您甚至可以明确指定在哪一天(通常两周一次就可以了)发出提醒,以便您和员工能够运行软件更新,或者检查软件厂商的网站,查找可能提供的更新。
灾难恢复
如果发生故障,请做好准备。除了网络安全问题之外,还有其它很多问题可能导致您的网络丧失功能或者遭到攻击。
6. 备份。经常备份信息。信息越重要,备份的副本就应该越多。注意,不要将备份随处乱放而不加管理。应该定制备份政策,对数据进行定期备份。如果可能的话,应对敏感信息进行加密,始终在安全地点保存不可覆盖的文件副本(光盘)。另外,强烈建议对防火墙、电子邮件和互联网配置设置进行备份,以便发生故障时能够快速获得这些设置。
7. ISP和/ 或网关故障切换。对于依赖互联网连接的企业,重要的一点是要拥有备用的互联网连接和防火墙/ 网关,以便在主互联网连接掉线或主防火墙/ 网关发生故障时,仍然能够保持连接和生产。多个防火墙网关可以提供顺畅的自动故障切换和ISP 备份选择。如果临时连接丢失,就意味着潜在的利益损失,因而请确保拥有故障切换选择。
烦恼问题
垃圾邮件和间谍软件不只令人心烦,它们也会对网络安全和生产带来巨大危害。生产力的另一个威胁是携带可疑内容的网站,以及文件共享软件。
8. 反垃圾邮件和反间谍软件。可以在邮件服务器、防火墙/ 网关或接受信息的机器上实施垃圾邮件过滤功能。大多数反垃圾邮件软件使用不同的过滤器和黑名单,以期消除垃圾邮件,同时保留合法邮件。在带有几个邮箱的小型网络中,您可以考虑在本地设置反垃圾邮件软件。但是,在用户更多的大型网络中,您可能需要在防火墙/ 网关上使用垃圾邮件扫描功能。您可以在本地计算机上使用反间谍软件,以删除间谍软件。您可能希望将这些工作包括在每周一次或每两周一次的更新和扫描中,并且能够通过扫描网络计算机的方法寻找间谍软件、病毒和蠕虫。
9. 拦截特定站点、即时通讯(IM)客户端和文件共享程序。处理可疑在线站点、即时信息交谈和浪费带宽的文件共享的最佳方式是,将它们拦截在网关之外。一些防火墙允许您按照地址和/ 或类别,来选择一些特定服务,拦截它们的访问,并过滤Web 网站。
安全地提高生产力
在需要的时候,您随时可以安全地访问公司网络。
10. 远程访问VPN 和站点到站点VPN.借助虚拟专用网络(VPN )技术,您可以在专用连接中连接两个或多个网络,在两点之间建立加密的数据通道。人们采用这项技术,用日益普及的宽带互联网来取代昂贵的专用网络(如帧中继)。在互联网上传输数据时,VPN 可提供保密和数据加密。如果您设有两个或更多分支机构,或者希望远程访问公司网络,这种方法尤其有用。例如,您的销售代表在出差时不再需要将保密信息放在手提电脑上,只要连入互联网,就可以通过安全连接访问办公室数据。
一些安全设备提供了VPN 服务器和端点功能。如果访问公司网络能够提高生产力,或者您没有使用安全VPN 访问公司网络,那么您应当选择提供此功能的网关设备。
Check Point Safe@Office Small Business UTM 解决方案
Safe@Office UTM 设备提供模块化的小型企业安全解决方案,可以根据要求为小型企业网络量身定制。Safe@Office 将企业级全状态检测(Stateful Inspection )防火墙保护、网络网关反病毒、IPSec VPN 功能与定制选项和易用性结合起来,为拥有3-100 名用户的办公室提供经济高效的解决方案。
无需安全专家,即可进行设备的安装和配置。向导驱动的设置选项能够帮助您快速简单地定制防火墙和VPN 设置,使其符合公司安全策略。
Check Point Safe@Office 500与Safe@Office 500W 统一威胁管理(UTM )设备
Check Point Safe@Office 500与Safe@Office 500W 采用了Check Point 下属SofaWare Technologies公司所开发的先进技术,这款网络安全设备集防火墙、VPN 、防病毒、入侵防御,通信量模式分析及web 过滤等功能于一身。Safe@Office 500W 整合了108Mbps 扩展范围无线访问点技术,所以拥有强大的无线安全保护与客户热点功能。
Safe@Office500系列支持多种附加在线服务,包括防病毒、安全和固件升级,无需用户插手便能自动抵御随时爆发、迅速蔓延的安全威胁。此外,它拥有内置界面,令用户可把安全管理工作外包给可信的第三方。
Check Point Embedded NGX 6.0
Safe@Office 500 是基于全新的Check Point Embedded NGX 6.0,这个先进安全软件平台以Check Point 领先市场的 Firewall-1与 VPN-1为基础,由SofaWare Technologies 把它调整至适合嵌入式设备使用。统一威胁管理(UTM )安全配置是一种分层式网络安全硬件解决方案,它整合了多种功能,包括网络防火墙、网络入侵防御和防病毒网关。
Check Point Embedded NGX 6.0提供多种新增功能:
·状态病毒防御保护:能配合高吞吐量网络使用的防病毒扫描功能,可为电子邮件、web 、文档下载或任何其它用户定义的端口提供防病毒保护。它会经常更新,确保办公室网络能抵御新涌现的电脑病毒与" 网页仿冒" (phlishing )攻击。
·入侵防护:利用Check Point 获奖无数的Application Intelligence技术,为网络与应用层提供保护,确保网络不受蠕虫、拒绝服务攻击的破坏,同时对即时信息与对等(peer-to-peer)应用进行安全控制。
·保护热点:协助创建管理客户访问网络,这包括可设置web 身份鉴别、临时用户帐号及RADIUS整合等功能。
·先进的网络监控与解决问题工具:通过使用内置流量监控及数据捕捉工具来控制及监控接收及发出的信息流,确保办公室的宽带连接维持高效的使用率。
附加安全与网络功能包括:
·具备成本效益的安全远程访问:全面的VPN 功能让小型企业能为远程上班族及出差员工提供远程访问,从而提高其生产力。此外,也可通过低成本的宽带连接为各个远端分支单位提供连接。
·可靠性与高效率:设备具备双重 WAN、拨号备份、自动故障解决(automatic failover)功能,确保网络在全时间都能正常运行。TrafficShaper 协助优化信息流量,并确保关键应用能取得所需带宽使用。