月份: 2009 年 5 月

內部網絡十大解析詳解

幾乎所有企業對於網絡安全的重視程度壹下子提高了,紛紛采購防火墻等設備希望堵住來自Internet的不安全因素。然而,Intranet內部的攻擊和入侵卻依然猖狂。事實證明,公司內部的不安全因素遠比外部的危害更恐怖。

  大多企業重視提高企業網的邊界安全,暫且不提它們在這方面的投資多少,但是大多數企業網絡的核心內網還是非常脆弱的。企業也對內部網絡實施了相應保護措施,如:安裝動輒數萬甚至數十萬的網絡防火墻、入侵檢測軟件等,並希望以此實現內網與Internet的安全隔離。

  然而,情況並非如此!企業中經常會有人私自以Modem撥號方式、**或無線網卡等方式上網,而這些機器通常又置於企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅,從某種意義來講,企業耗費巨資配備的防火墻已失去意義。

  這種接入方式的存在,極有可能使得黑客繞過防火墻而在企業毫不知情的情況下侵入內部網絡,從而造成敏感數據泄密、傳播病毒等嚴重後果。實踐證明,很多成功防範企業網邊界安全的技術對保護企業內網卻沒有效用。於是網絡維護者開始大規模致力於增強內網的防衛能力。

  下面給出了應對企業內網安全挑戰的10種策略。這10種策略即是內網的防禦策略,同時也是壹個提高大型企業網絡安全的策略。

  1、註意內網安全與網絡邊界安全的不同

  內網安全的威脅不同於網絡邊界的威脅。網絡邊界安全技術防範來自Internet上的攻擊,主要是防範來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防範(如邊界防火墻系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。

  內網安全威脅主要源於企業內部。惡性的黑客攻擊事件壹般都會先控制局域網絡內部的壹臺Server,然後以此為基地,對Internet上其他主機發起惡性攻擊。因此,應在邊界展開黑客防護措施,同時建立並加強內網防範策略。

  2、限制VPN的訪問

  虛擬專用網(VPN)用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火墻的防護之外。很明顯VPN用戶是可以訪問企業內網的。

  因此要避免給每壹位VPN用戶訪問內網的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別,即只需賦予他們所需要的訪問權限級別即可,如訪問郵件服務器或其他可選擇的網絡資源的權限。

  3、為合作企業網建立內網型的邊界防護

  合作企業網也是造成內網安全問題的壹大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火墻,保護MS-SQL,但是Slammer蠕蟲仍能侵入內網,這就是因為企業給了他們的合作夥伴進入內部資源的訪問權限。由此,既然不能控制合作者的網絡安全策略和活動,那麽就應該為每壹個合作企業創建壹個DMZ,並將他們所需要訪問的資源放置在相應的DMZ中,不允許他們對內網其他資源的訪問。

  4、自動跟蹤的安全策略

  智能的自動執行實時跟蹤的安全策略是有效地實現網絡安全實踐的關鍵。它帶來了商業活動中壹大改革,極大的超過了手動安全策略的功效。商業活動的現狀需要企業利用壹種自動檢測方法來探測商業活動中的各種變更,因此,安全策略也必須與相適應。例如實時跟蹤企業員工的雇傭和解雇、實時跟蹤網絡利用情況並記錄與該計算機對話的文件服務器。總之,要做到確保每天的所有的活動都遵循安全策略。

  5、關掉無用的網絡服務器

  大型企業網可能同時支持四到五個服務器傳送e-mail,有的企業網還會出現幾十個其他服務器監視SMTP端口的情況。這些主機中很可能有潛在的郵件服務器的攻擊點。因此要逐個中斷網絡服務器來進行審查。若壹個程序(或程序中的邏輯單元)作為壹個window文件服務器在運行但是又不具有文件服務器作用的,關掉該文件的共享協議。

  6、首先保護重要資源

  若壹個內網上連了千萬臺(例如30000臺)機子,那麽要期望保持每壹臺主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮壹般都有擇優問題。這樣,首先要對服務器做效益分析評估,然後對內網的每壹臺網絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網絡服務器(例如實時跟蹤客戶的服務器)並對他們進行限制管理。這樣就能迅速準確地確定企業最重要的資產,並做好在內網的定位和權限限制工作。

  7、建立可靠的無線訪問

  審查網絡,為實現無線訪問建立基礎。排除無意義的無線訪問點,確保無線網絡訪問的強制性和可利用性,並提供安全的無線訪問接口。將訪問點置於邊界防火墻之外,並允許用戶通過VPN技術進行訪問。

  8、建立安全過客訪問

  對於過客不必給予其公開訪問內網的權限。許多安全技術人員執行的“內部無Internet訪問”的策略,使得員工給客戶壹些非法的訪問權限,導致了內網實時跟蹤的困難。因此,須在邊界防火墻之外建立過客訪問網絡塊。

  9、創建虛擬邊界防護

  主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的),還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企業網絡的使用和在企業經營範圍建立虛擬邊界防護這個問題。這樣,如果壹個市場用戶的客戶機被侵入了,攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場之間的訪問權限控制。大家都知道怎樣建立互聯網與內網之間的邊界防火墻防護,現在也應該意識到建立網上不同商業用戶群之間的邊界防護。

  10、可靠的安全決策

  網絡用戶也存在著安全隱患。有的用戶或許對網絡安全知識非常欠缺,例如不知道RADIUS和TACACS之間的不同,或不知道代理網關和分組過濾防火墻之間的不同等等,但是他們作為公司的合作者,也是網絡的使用者。因此企業網就要讓這些用戶也容易使用,這樣才能引導他們自動的響應網絡安全策略。 另外,在技術上,采用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺。

Oracle學習經驗

Oracle 1Z0-007的優化是壹門學問,也是壹門藝術,理解透徹了,妳會知道,優化不過是在各種條件之下做出的均衡與折中。內存、外存;CPU、IO……對這壹切妳都需要有充分的認識和相當的了解,管理數據庫所需要的知識並不單純。作為壹個數據庫管理人員,Oracle 1z0-007妳需要做的就是能夠根據自己的知識以及經驗在各種復雜情況下做出快速正確的判斷。當問題出現時,妳需要知道使用怎樣的手段發現問題的根本;找到問題之後,妳需要運用妳的知識找到解決問題的方法。這當然並不容易,舉重若輕還是舉輕若重,取決於妳具備怎樣的基礎以及經驗積累。

在網絡上,Howard J. Rogers最近創造了壹個新詞組:Voodoo Tuning,用以形容那些沒有及時更新自己的知識技能的所謂的Oracle技術專家。由於知識的陳舊或者理解的膚淺,他們提供的很多調整建議是錯誤的、容易使人誤解的,甚至是荒誕的。他們提供的某些建議在有些情況下也許是正確的,如果妳願意回到Oracle5版或者6版的年代;但是這些建議在 Oracle7.0,8.0 或者 Oracle8i以後往往是完全錯誤的。後來基於類似問題觸發了互聯網內Oracle頂級高手的壹系列深入討論,TOM、Jonathan Lewis、HJR等人都參與其中。

HJR給我們提了很好的壹個提示:對妳所需要調整的內容,妳必須具有充分的認識,否則妳做出的判斷就有可能是錯誤的。這也是我想給自己和大家的壹個建議:學習和研究Oracle,嚴謹和認真必不可少。當然妳還需要勤奮,我所熟悉的在Oracle 1Z0-007領域有所成就的技術人員,他們共同的特點就是勤奮。如果妳覺得掌握的東西沒有別人多,那麽也許就是因為,妳不如別人勤奮。要是妳覺得這壹切過於復雜了,那我還有壹句簡單的話送給大家:不積跬步,無以至千裏。學習正是在逐漸積累過程中的提高。願我們的經驗能給大家帶來知識和幫助。

1K0-002

High quality and Value for the 1K0-002 Exam.
Killtest Practice Exams for 1K0-002 are written to the highest standards of technical accuracy, provided by our certified subject matter experts and published authors for development.

100% Guarantee to Pass Your Polycom Certification exam and get your Polycom Certification Certification.
We guarantee your success in the first attempt. If you do not pass the Polycom Certification “1K0-002” (CVE-2) on your first attempt, send us the official result. We will give you a FULLY REFUND of your purchasing fee OR send you another same value product for free.

killtest Polycom Certification 1K0-002 Exam Downloadable.
Printable Exams (in Software format) Our Exam Polycom Certification 1K0-002 Preparation Material provides you everything you will need to pass your Polycom Certification exam. The Polycom Certification Certification details are researched and produced by our Professional Certification Experts who are constantly using industry experience to produce precise, and logical. You may get “1K0-002 exam” questions from different websites or books, but logic is the key. Our Product will help you not only pass in the first CVE-2 exam try, but also save your valuable time.

Comprehensive questions with complete details about 1K0-002 exam.
1K0-002 exam questions accompanied by exhibits. Verified Answers Researched by Industry Experts and almost 100% correct.
Drag and Drop questions as experienced in the Real Polycom Certification exam. 1K0-002 exam questions updated on regular basis.
Like actual Polycom Certification Certification exams, 1K0-002 exam preparation is in multiple-choice questions (MCQs). Tested by many real Polycom Certification exams before publishing.