物理安全性以及网络防护层配置
来源: 作者: 发布时间:2007-10-26
通过网络发动的恶意攻击行为不断增多,恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织IT基础结构中的主机设备。许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构……
如今,通过网络发动的恶意攻击行为不断增多。恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织IT基础结构中的主机设备。这些设备可以是客户端、服务器、路由器,或者甚至是防火墙。在此层上进行病毒防护所面临的最困难问题之一是,平衡IT系统用户的功能要求与创建有效防护所需的限制。例如,与许多最近的攻击类似,MyDoom 蠕虫使用电子邮件附件复制自己。从IT基础结构的角度来看,阻止所有传入附件是最简单、最安全的选项。但是,组织中电子邮件用户的需求可能不允许这样做。必须进行折衷,在组织的需求和它可以接受的风险级别之间达到平衡。
许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构。Microsoft 建议使用此方法,因为它正好符合深层防护安全模型。
注意:存在一种日益增长的趋势:将内部网络分解为多个安全区域,以便为每个安全区域建立外围。Microsoft 也建议使用此方法,因为它可帮助降低试图访问内部网络的恶意软件攻击的总体风险。但是,本指南仅对单个网络防护进行说明。如果您计划使用一个外围网络和多个内部网络,则可以将此指导直接应用于每个网络。
组织的第一个网络防护指外围网络防护。这些防护旨在防止恶意软件通过外部攻击进入组织。如本章前面所述,典型的恶意软件攻击集中于将文件复制到目标计算机。因此,您的病毒防护应该使用组织的常规安全措施,以确保只有经过适当授权的人员才能以安全方式(如通过加密的虚拟专用网络 (VPN) 连接)访问组织的数据。
注意:您也应该将任何无线局域网 (LAN) 和 VPN 视为外围网络。如果您的组织已经采用这些技术,则对其进行保护是很重要的。如果无法提供此安全性,则可能允许攻击者直接访问您的内部网络(避开标准的外围防护)以发动攻击。
在本指南中,假定网络安全设计为组织提供了所需的标识、授权、加密和保护级别,以防止未经授权的攻击者直接侵入。但是,此时病毒防护是不完整的。下一步是将网络层防护配置为检测和筛选使用允许的网络通信(如电子邮件、Web 浏览和即时消息)的恶意软件攻击。
网络防病毒配置
有许多专门设计用于为组织提供网络安全的配置和技术。虽然这些是组织安全设计的重要部分,但是本节仅集中说明与病毒防护有直接关系的区域。您的网络安全和设计小组应该确定在组织中如何使用以下每种方法。
共3页: 上一页 1
[2] [3] 下一页
