引言： 為實(shí)現(xiàn)全面的信息安全，企業(yè)必須從六方面入手實(shí)施網(wǎng)絡(luò)安全防御策略，即：阻止、檢測、防御、誘騙、記錄、拖延。利用這六大策略可以為企業(yè)的網(wǎng)絡(luò)安全計(jì)劃構(gòu)建一種整體化的方法，從而可以極大地減少風(fēng)險(xiǎn)。

為實(shí)現(xiàn)全面的信息安全，企業(yè)必須從六方面入手實(shí)施網(wǎng)絡(luò)安全防御策略，即：阻止、檢測、防御、誘騙、記錄、拖延。利用這六策略可以為企業(yè)的網(wǎng)絡(luò)安全計(jì)劃構(gòu)建一種整體化的方法，從而可以極大地減少風(fēng)險(xiǎn)。

阻止

構(gòu)建防御性的措施可以有效地阻擊黑客并保護(hù)網(wǎng)絡(luò)。任何管理者都不可輕視使用這種技術(shù)來阻止攻擊者引起嚴(yán)重的問題。

對網(wǎng)絡(luò)安全新手來說，尤其需要注意的是，不要使面向公眾的系統(tǒng)自動返回過于詳細(xì)的錯誤消息，防止攻擊者利用這些信息來對付企業(yè)。例如，在用戶輸錯了口令時，不要顯示“不正確的口令”，因?yàn)檫@可以使攻擊者知道其輸入的用戶名是真實(shí)存在的。此時，系統(tǒng)應(yīng)顯示“不正確的用戶名或口令”之類的消息。如果攻擊者猜中了用戶名，系統(tǒng)給出這種消息，特權(quán)賬戶將會獲益。

安全管理者還應(yīng)當(dāng)實(shí)施賬戶鎖定策略：對于連續(xù)多次輸入錯誤口令的用戶應(yīng)進(jìn)行鎖定。安全系統(tǒng)應(yīng)在一段時間之后才允許其訪問，或者在管理員解開其鎖定后才準(zhǔn)許訪問。這可以防止攻擊者在短時間內(nèi)猜測大量的口令組合，還可以防止其在被鎖定后的再次嘗試。對于特權(quán)賬戶來說，這種做法尤其有用，因?yàn)檫@種賬戶最有可能成為蠻力攻擊的目標(biāo)。

進(jìn)一步的措施是，我們可以限制在一定周期內(nèi)從單一IP地址登錄的嘗試次數(shù)，從而防止口令猜測攻擊。如果攻擊者僅猜測了五次管理員的口令，他一般將沒有機(jī)會得到正確的口令。他必須在下一個周期才能嘗試猜測，如此反復(fù)。由此，攻擊者自己就會偃旗息鼓，并且往往會轉(zhuǎn)而選擇下一個更容易的目標(biāo)。也許我們無法做到阻止所有攻擊的發(fā)生，但卻可以阻止攻擊者的進(jìn)程。

檢測

部署自動化的入侵檢測系統(tǒng)（無論是部署基于網(wǎng)絡(luò)的還是基于主機(jī)的）是一個好主意，但監(jiān)視日志并查看異常行為也非常重要。

來自可疑IP地址的連接、在不正常時間的登錄、大量的登錄企圖等都有可能表明攻擊者正試圖進(jìn)入，或者已經(jīng)取得了網(wǎng)絡(luò)的訪問權(quán)。對于檢測可疑行為來說，審計(jì)和警告都非常重要。例如，通過檢查日志并看到管理員賬戶有大量失敗的登錄企圖，我們可以判定管理員賬戶正遭受蠻力攻擊。在檢測可疑行為時，掌握特定時間的正常通信的參考資料是很有益的。通過前后比較，管理員就可以注意到數(shù)據(jù)中的異常。

防御

在信息安全問題上，防御既有被動的一面又有主動的一面。在網(wǎng)絡(luò)及其連接系統(tǒng)之間建立強(qiáng)健的防御，往往要從保持軟件和操作系統(tǒng)的補(bǔ)丁最新開始。這可以確保企業(yè)修復(fù)已知的漏洞，并限制攻擊者用于進(jìn)入系統(tǒng)的攻擊媒介。

然而，如果攻擊者成功進(jìn)入了網(wǎng)絡(luò)，就要采取應(yīng)對措施了。通過防火墻阻止攻擊者的IP地址就是很好的選擇。更為重要的是，要注意到攻擊者的目標(biāo)是什么，例如， 如果攻擊者正在利用一個潛在的漏洞攻擊一臺Web服務(wù)器，就要在挫敗其進(jìn)入的企圖后，確保修補(bǔ)漏洞，保證其不易受到其攻擊。攻擊者有可能日后用一個不同的 IP地址登錄，并有可能繼續(xù)實(shí)施同樣的攻擊。如果攻擊者試圖猜測特權(quán)賬戶的口令，你應(yīng)當(dāng)考慮更改特權(quán)賬戶的名字，使公眾無法看到此名字。由此，由于攻擊者需要猜測用戶名，所以其猜測口令的難度也會極大增加。

誘騙

如果攻擊者正在對付的是一臺虛假的系統(tǒng)，而非擁有真實(shí)數(shù)據(jù)的系統(tǒng)，那將是非常不錯的部署。我們需要做是就是搭建一個蜜罐，其中的虛假系統(tǒng)保存的是虛假的敏感數(shù)據(jù)，目的是為了吸引攻擊者，使其遠(yuǎn)離企業(yè)的真實(shí)數(shù)據(jù)。蜜罐技術(shù)在當(dāng)今廣泛使用。

通過用有吸引力的數(shù)據(jù)和較低水平的安全，系統(tǒng)管理員就可以監(jiān)視攻擊者在蜜罐上的行為，同時用防火墻隔離和保護(hù)網(wǎng)絡(luò)的其余部分。蜜罐有多種形式，其維護(hù)成本和模仿真實(shí)機(jī)器的有效性也不同。蜜罐的成本依賴于企業(yè)對于發(fā)生在蜜罐內(nèi)部的行為進(jìn)行監(jiān)視的數(shù)量期望。

記錄

不管攻擊是否成功地造成破壞，企業(yè)都應(yīng)當(dāng)記錄事件。即使是看似無關(guān)緊要的小事件，將其記錄在案也非常重要。

在事件發(fā)生時，我們應(yīng)當(dāng)記錄如下類型的信息：

1.連接到機(jī)器的IP地址，也就是攻擊者的機(jī)器是什么。2.遭受攻擊的服務(wù)器的地址是什么？3.攻擊類型是什么？4.攻擊發(fā)生的日期和時間。5.由事件產(chǎn)生的日志有哪些。

我們可以利用這種信息，注意到攻擊者的行為模式，根據(jù)其試圖實(shí)施的攻擊推斷出其目標(biāo)，預(yù)測其下一步有可能攻擊的目標(biāo)，并過濾此后的相關(guān)日志，以便查找相同類型的重復(fù)攻擊。

拖延

在攻擊者竊取敏感數(shù)據(jù)的過程中，他遭遇到的每一次阻礙都延緩其進(jìn)程。所以，為防止第一層防御失效，建立多層防御很有必要。面向外部的防火墻是一個良好的開端，但許多企業(yè)為向客戶提供服務(wù)并保障業(yè)務(wù)能夠每天正常運(yùn)轉(zhuǎn)，會開放一些必要的端口。那么，在攻擊者在找到突破第一層防御的方法之后，在其能夠到達(dá)敏感數(shù)據(jù)之前，企業(yè)應(yīng)設(shè)置多層障礙。

訪問控制列表（ACL）可以限制誰可以在什么時間登錄到系統(tǒng)，這意味著攻擊者要想不留下失敗登錄的明顯痕跡，可能會很麻煩。

此外，復(fù)雜的長口令也是一個非?；镜牡吹玫匠浞质褂玫耐涎硬呗裕?yàn)樗梢苑烙诹畈聹y、蠻力攻擊等。即使攻擊者取得了口令的哈希，并試圖用破解工具獲得明文口令，攻擊者也要花費(fèi)更多時間，這意味著我們需要將口令設(shè)置得更復(fù)雜一些。

雖然沒有哪家公司希望使其系統(tǒng)離線，但是，如果你發(fā)現(xiàn)系統(tǒng)正遭受嚴(yán)重攻擊，就應(yīng)當(dāng)制定一個計(jì)劃（最好是提前制定好的計(jì)劃），規(guī)定在什么時間使其離線以及由誰發(fā)出通知。

這種做法是阻止很多攻擊的最有效方法。系統(tǒng)離線后，攻擊者就沒有辦法進(jìn)入系統(tǒng)，這是最佳的拖延策略，可以使管理員首先修補(bǔ)造成攻擊者進(jìn)入系統(tǒng)的任何漏洞，并為其節(jié)省給系統(tǒng)打補(bǔ)丁的大量時間。