中小企業網絡安全管理漏洞集筆者將試圖通過幾篇文章，結合自己的工作經驗，想窮舉企業網絡管理員在企業網絡安全管理工作中可能存在的漏洞。讓同行可以引以為戒，盡可能的避免因為網絡安全管理不當，而給企業帶來不必要的損失。安全漏洞一：沒有修改默認用戶名與密碼企業在部署路由器或者交換機，以及各種服務器的時候，一般為了管理的方便，廠方都會設置一個默認的用戶名與口令，最常見的如用戶名為admin，密碼也為admin或者為空。默認的用戶名與密碼，同個廠家出的都一樣，這就非常危險。稍有經驗的網絡管理員，對各個廠商生產的不同型號的產品的默認用戶名與密碼都耳熟能詳。只要給出具體產品型號，對于其默認用戶名與密碼，他們可以說個八九不離十。所以，在部署這些設備的時候，若不修改默認用戶名與密碼，很可能就是給不法入侵者敞開了大門。1、 有時候，管理員在管理設備時，可能會開一個臨時的遠程登陸管理員帳號。如我子公司現在有一個Linux的文件服務器。當子公司有問題需要我出面解決的時候，我會讓他們開一個臨時具有管理員權限的帳戶，我可以通過這個帳戶遠程登陸解決。但他們給我開帳戶的時候，有時只設置帳戶沒有設置密碼，有時帳戶跟密碼一樣；再或者把原先關閉的默認管理員帳戶給開啟了，沒有修改密碼的情況下給我使用。一不小心，就可能給非法入侵者提供了一個很好的入侵機會。所以，我們在建立一些臨時性的管理員帳戶時，也要像建立永久性管理員帳戶那樣，設置比較復雜的管理員用戶與密碼，增加破解的難度。2、 企業增加無線路由設備時，沒有設置連接密碼，設置無線路由器的管理用戶與密碼為默認，沒有修改。隨著企業筆記本采用越來越廣，隨之為了工作的方便，無線路由設備采用的也越來越多。象我們公司，在會議室、會客室、培訓室等公共場所都放置了無線路由器。這使得我們需要在這些地方進行臨時性辦公或者開會的時候，上網非常方便。利用筆記本的無線上網功能，不需要再通過網線就可以上網。但這也給我們企業的網絡安全帶來了很大的安全隱患。如當有客戶來公司，若我們沒有給無線路由器設置訪問密碼或者沒有修改無線路由器的管理員密碼，他們可以不經過我們允許訪問我們企業的內部網絡，甚至查詢服務器上的信息。若我們只是給無線訪問設置了連接密碼，而沒有更改無線路由器的默認用戶名與密碼的話，那么這個無線路由器就會赤裸裸的顯示在人家面前，讓人家蹂躪。所以，要及時更改這些設備的默認管理員用戶與密碼。3、 VPN服務器的默認管理員與密碼若沒有修改的話，那有多危險呢？若沒有給企業的VPN服務器修改默認管理員帳戶與密碼的話，就好象沒有給廠區的大門上鎖一樣，什么人都可以進出了。那企業的網絡還談得上安全嗎？而且，現在掃描工具網絡上多的是。一些非法入侵者可能只需要利用這些掃描工具，花個一天時間，就能夠知道整個華南地區的企業網絡，其對外啟了哪些服務，有沒有安全性弱的管理員帳戶與密碼，包括你企業是否采用了VPN服務器，并且，若你服務器的管理員與密碼沒有更改的話，或者是一些純數字的簡單密碼，如123456，則這個掃描工具可以把這些信息暴露無疑。一般只有帶有OS系統的硬件設備，如路由器、交換機、防火墻、VPN設備等等，都有默認的用戶名與密碼。對于這些設備，我們都需要更改默認的用戶名與密碼，而且密碼設置的時候，也不能采用簡單的密碼，很容易被人破解，至少也要采用跟數字與字符結合的密碼。不要小看這個簡單的組合，破解的難度比純數字的密碼，難度要高好幾千倍。安全漏洞二：員工安全知識缺乏，沒有網絡安全的觀念其實，大部分企業網絡安全方面的問題都是由于員工的一些不恰當操作所造成的。由于他們沒有這方面的專業知識來區分網絡行為的的好壞，這給企業的網絡安全帶了了很大的漏洞。如企業員工在收到一封陌生人發來的帶有附件的郵件時，他們不會產生任何的懷疑，會毫不猶豫的打開郵件的附件，此時，病毒或者木馬就會乘虛而入，等帶時機。而這些情況，對于用戶來說，他們都是不知情的。所以，企業網絡安全管理的重點，應該放在對員工平時網絡行為的管理控制上，把網絡安全威脅的苗頭，消除在源頭上。1、 加強對用戶權限的管理。一般的員工，不需要有操作系統或者服務器很高的權限。若他們的權限比較小，不能更改系統文件的配置，如安裝軟件或者更改注冊表、使用系統命令等等，那么，即使他們中木馬了，影響也是很小的。因為缺乏權限，這些木馬與病毒不會大規模的在企業內部爆發與蔓延開來。所以，不要給企業內部的員工賦予過高的權限。在不影響他們正常工作的前提下，一般來說，權限是越小越好。如一般的程序安裝、腳本執行等功能都可以限制掉。從而把用戶的不理智行為所造成的損失降低到最少。2、 加強對病毒郵件的監督力度。曾幾何時，電子郵件成為了企業員工辦公不可少的工具之一。但是，這也成為了木馬、病毒等最好的繁殖基地。如有些木馬與病毒，可以假借用戶好友的名義發送郵件給用戶。現在不少的郵件病毒，一個用戶感染后，他就可以利用這個用戶的郵件地址發送郵件給他的聯系人，在附件中帶有病毒或者木馬。這種方式是非常隱蔽而且有效的木馬與病毒傳播方式。因為作為員工來手，對于朋友或者同事發送過來的郵件，總是沒有任何防備的。他們在收到朋友發過來的郵件時，即使他們會感到奇怪，為什么平時沒有什么聯系的朋友會發郵件給自己，他們也不會打電話或者其他形式進行確認，而是毫不憂郁的打開郵件及附件，結果就中招了。根據有些權威公司的調查，發現現在郵件病毒已經成為了威脅企業網絡安全的頭號殺手。所以，我們在平時的工作中，要加強對用戶的郵件的監控，特別是最好采取一定的策略，強制用戶的郵件附件必須要經過病毒掃描才能打開。也可以采取一定的策略，要求外部發送過來的郵件，如人事部門的求職郵件等等，不能以附件形式接收，求職信必須在正文中寫出。這無疑是防止郵件病毒的一個切實有效的方法，可以最大限度的防止因為員工的“糊涂”，而給企業網絡安全管理帶來的沖擊。3、 員工對于企業的網絡安全過分的信賴或者依賴。有些員工，在自己家里電腦上上網，可能會小心翼翼。對于QQ上的一些不了解的網址不會輕易打開，也不會去訪問一些不干凈的網站，有QQ好友發一個網址過來，他們還要先問問是不是病毒。但是，在企業中，他們就放開膽子了。無論誰發給網址過來，他們都會不經確認的去瀏覽；或者去上一些非法的網站。在他們眼中，要么認為企業的網絡是非常安全的，不會中毒的；要么認為反正自己的電腦中毒了也有網絡管理員會維護，沒有關系的。有了這些想法之后，他們在網上沖浪后，就沒有了任何的顧忌。但是，這是因為沒有了顧忌，肆無忌憚，就給了病毒、木馬很好的機會。他們可以隨著員工的“愚蠢”而侵襲我們的網絡。針對這種情況，一方面我們在不影響工作的情況下，可以屏蔽QQ、MSN等比較容易傳播病毒的即時聊天工具；同時，也可以對員工上外部網絡進行限制。平時工作不必要上外網的，那就可以把他們的外網斷掉。即防止了他們在上班時間上網聊天、逛論壇等沒有給企業創造價值的工作，同時，也有效防止了他們帶病毒進來，提高了網絡的安全性。這是一舉多得的方法，我們何樂而不為呢！文件服務器的采用，確實給我們的工作帶來了很大的方便。為此，我們不需要為每臺電腦的文件備份而煩惱，我們也不用為系統崩潰導致重要文件丟失而頭疼。確實，文件服務器的使用，對于企業信息化管理來說，是一個很大的進度，其在一定程度上，也體現了知識管理的內涵。但是，我們在文件服務器管理上也存在一些安全漏洞。這些漏洞導致我們文件服務器存為了企業數據泄密的一個重大毒瘤。如文件服務器沒有設置查詢權限。有些企業為了管理的方便或者缺乏一些有效的管理工具，把文件服務器上的文件對企業全部用戶都是開放的，只是設置了只有具體的部門才能夠修改，而對于查看的話，企業內部每個員工都可以查看。這就導致企業的保存在文件服務器上的一些機密信息，員工可以輕松的訪問到。如一些產品的不同供應商之間的報價信息，若企業有名員工跟某個供應商有稍微一點關系，則這個員工就可以把這個報價信息泄露給供應商，而這個供應商就可以以這個報價表為基礎，報一個更有利的價格。如此的話，企業就會失去在價格管理上的主動權。同時，對于其他供應商來說，也失去了公平競爭的權利。除了這個權限之外，在用戶名與密碼管理上，也存在這一些缺陷。如對于每個部門設置一個用戶名，但是，密碼的話，都是一致的。如此的話，一些對企業心存不滿的員工，知道他人的用戶名之后，就可以假借他人的用戶名而登陸到文件服務器上，進行一些破壞動作。如文件的惡意刪除與修改等等。我在這方面有一個慘痛的教訓。那是我在一家企業中，負責企業的文件服務器的相關工作。那時候，我為了貪圖方便，我給每個用戶設置了一個用戶名，用戶名為他們員工編號；而密碼的話，也跟他們的員工編號一樣。一天，員工像我反映，他們文件服務器上的文件被改的一塌糊涂，修改的被修改，刪除的被刪除。我通過訪問日志一查，在短短的一個小時內，同一個IP地址竟然有多大十幾個不同用戶名的訪問，而且執行的就是修改與刪除的操作。后來經過追查，原來有個部門的員工以為犯錯誤被公司開除。他心懷不滿，就用這種手段來對公司進行報復。還好，我事先有服務器備份，損失的只是當天的文件修改數據。雖然如此，但是，也嚇了我一跳。我馬上著手修改用戶的文件服務器訪問密碼，用戶的訪問密碼每個人都不一樣，并且只有我知道。同時，對于用戶的相關權限，特別是修改與刪除權限，做了嚴格的限制。簡單的說，對于文件的刪除與修改動作，原則上只有文件所有人，即文件的創立者才可以修改與刪除。其他的，最多只有查詢的操作。這個意外事件，可把我嚇出了一身冷汗。在文件服務器上，可以說保存這切要一切有價值的資料，包括公開的與不公開的。所以對文件服務器的安全管理至關重要。對此，我有幾個建議。1、 針對不同的員工，設置不同的用戶名與密碼。并且，密碼的話，最后員工不需要知道。我們在給他們進行系統配置的時候，可以讓操作系統自動記住密碼。如此的話，在用戶進行服務器登陸操作時，不會因為輸入密碼而泄露。如此的話，其他員工就不能在其他電腦上利用別人的用戶名訪問文件服務器。2、 對于用戶文件訪問的權限要嚴格限制。特別是對于修改與刪除的權限，要有特殊的限制。一般來說，只有文件的主人才能夠進行刪除與修改動作。如此的話，可以保障文件的統一性。文件是否被修改或者刪除，文件的主人都知道。這對于文件服務器的安全來說，尤其的關鍵。若文件的主人都不知道文件什么時候被更改的，被修改了什么內容，那么不是很危險？萬一被修改了機密數據，那么就可能給員工自己與企業造成很大的損失。3、 對于文件執行安全級別的管理。如一些對于全公司公開的文件，如公司的管理制度，常用到的表單如費用報銷單之類的，這些公開的信息，最好能夠設立一個專門的文件夾，用來存放這些類似通知的文件，當然，權限上，一般用戶來說只有查詢權限。同時，按文件重要性的部門，可以分為部門專用文件、管理層共享文夾等等。通俗的說，沿用國家對于信息安全的制度。如保密級別為五星級的文件，只有高層管理員才能查看，而保密級別為一星級的則只有部門內部可以查看，沒有保密級別的，全體員工都可以查看。根據企業對于安全的需求，可以設置不同的級別。在文件創建的時候，文件創建這就要設置具體的安全級別。然后我們要做的就是根據他們設置的安全級別，賦予其對應的權限。安全漏洞四：沒有采用企業級的殺毒軟件根據我的了解，有很多企業，無論是大型企業，還是中小型企業，都沒有部署企業級別的殺毒軟件。而真是這些企業，每次病毒橫行的時候，如熊貓燒香病毒泛濫的時候，他們都不能夠興免與難。為什么我強烈要求部署企業級別的殺毒軟件，而不贊成使用單機版的殺毒軟件呢？一方面，企業級別的殺毒軟件，我們可以安排統一升級。在采用單機版的殺毒軟件的時候，雖然其也有定時升級的功能，但是，員工有時候，會因為升級會導致系統速度變慢等原因，所以，會把定時升級的功能關掉。這使得殺毒軟件沒有按時完成升級，給病毒有了可乘之機。其次，安裝企業級別的殺毒軟件，還有一個單機版本沒有的好處。就是我們可以對每個員工的客戶端進行統一管理。如一些不安分的員工，有時候訪問網站的時候，可能會提示因為病毒防火墻的原因而不能訪問某個網站，他們就會乖乖的關鍵病毒防火墻，從而讓病毒侵入。而利用了企業級別的殺毒軟件，我們可以進行統一管理。如可以限制，所有客戶端不能自己關閉殺毒軟件及病毒防火墻；我們可以根據需要，在統一時間安排軟件的升級，如我們可以在每天中午休息的時候，安排各個客戶端進行殺毒軟件的升級等等。這些統一的管理，對于我們來說，是保障各個客戶端安全的有效工具。第三，有些企業級別的殺毒軟件，還帶有漏洞掃描與發布的功能。我們還可以憑借這個功能，完成對企業內的所有客戶端，進行補丁的管理。我們都知道，補丁是防治病毒與密碼程序最好的工具之一。即使給操作系統及應用軟件打上最新的補丁，是防止病毒與密碼入侵的很好的手段。同時，在某個病毒泛濫的時候，如熊貓燒香病毒流行時，我們也有必要對全部的客戶端進行一次漏洞掃描，看看其是否已經打上了熊貓燒香病毒的補丁。此時，若我們一個個客戶端去查詢，那么可見其工作量有多大。此時，我們就可以借助企業級別的殺毒軟件，幫我們自動掃描各個客戶端，看其是否已經打上了這個補丁。如此處理的話，效率要高的多。有些企業級別的殺毒軟件，還提供了一些額外的管理功能。如有的殺毒軟件，提供了開機殺毒功能。若是單機版的話，用戶很可能為了增加開機的速度，直接把這個開機殺毒功能取消掉。但是，我們都知道，開機殺毒是一個清除一些頑固病毒的很好的手段。利用這個開機殺毒功能，我們可以殺掉一些在操作系統中無法殺掉的病毒。所以