跳到主要内容

学校cio:如何修复你的流血的心

学校cio:如何修复你的流血的心

保持网络安全

在Heldbled之后,广泛使用的Open SSL中的错误用于加密和安全的数千个知名网站,我们所有人都有许多密码损害。所以我们是否有学校IT安全人员,有些项目的各种规模可以采取,让他们的网络更安全。 科技& Learning克里斯汀WEISER与Drew Lane发表过德比公立学校技术总监,即将担任Shawnee Mission School区,KS和史蒂夫Young,德克萨斯州德克萨斯州德克萨斯岛首席技术官的执行经理要求他们的提示。这里是谈话中的亮点。

设置单独的客人无线网络,不允许主网络上的这些设备。

大多数学校都可以设置客户网,允许用户只访问互联网,而不是任何内部资源。还有一些产品,例如Aruba的Quarlpass,允许网络管理员执行可以为用户提供临时凭证的身份认证和配置,以允许使用访客网络访问批准的额外资源。

请勿允许用户在区域计算机上安装软件,但考虑安全异常。

大多数地区选择不授权用户在其设备上安装复杂或潜在的危险软件。但是,在基于应用的世界中,地区可能希望就此限制提供一些定制。例如,JAMF提供了控制Mac用户可以且无法在其设备上安装的能力。 Chromebook提供Google Apps Domain Administrators能够使用这些设备配置对授权的Web应用程序的访问权限。 Windows World是一个有点棘手,但Kaseya等产品可以帮助网络管理者提供远程脚本执行。另一种选择是使用Citrix这样的产品,该产品允许用户从数据中心流传输授权的应用,而无需耗尽带宽或需要传统的安装。

考虑一个网络访问控制解决方案,以确保有线网络端口。

有线端口上的网络访问控制是一个好主意。但是,如果将此控件带到无线网络的下一个级别,则需要一个具有技能设置的IT团队来管理此控件。我们的地区实施控制层。当设备插入我们的有线端口时,这些设备根据其信任级别,只能访问Internet。像Brocade和Aruba的Clearpass这样的产品提供了验证授权设备的能力,安全地访问其他学校资源。思科还提供类似的NAC设备。

考虑具有关键数据的高价值服务器的内部防火墙,或者至少找到限制对这些服务器的网络访问的方法。

安装内部防火墙是一个好主意,而且该区再次决定数据必须牢固地生活在防火墙后面,谁将可以访问这些关键数据。有些产品,例如Paloalto防火墙,可以通过允许网络管理员监控流量和形状数据以及确定可以由授权用户访问的内容来实现一些灵活性。例如,如果您是同一个WAN上具有多个建筑物的校园,则来自Paloalto的防火墙允许管理员自定义每个建筑物的访问和形状流量。

保持服务器和安全设备最新并修补。

这是另一个重要的安全步骤,但也有一个“gotcha”:在修补固件后,请问,为什么会发布?它是什么地址?当我们安装了一个修补程序时,我们的地区有一个实例,然后介绍了一个完整的不同问题的错误。在可能的情况下,在向整个网络推出之前,在测试硬件上实现所有更新和修补程序。

端点防病毒和恶意软件安全性仍然是至关重要的,但不计算这些工具作为唯一的防御行。

今天的恶意软件和病毒从破坏盗窃转换了。这些入侵者现在对摧毁数据的不太感兴趣,更有兴趣收取数据以利用它们的优势。例如,RansomWare Virus加密数据,您只能通过支付代码来检索该数据。这是数据的增量备份可能是至关重要的。如果区域或用户随着时间的推移具有增量备份,则可以从最近的备份从最近的备份检索未加密的数据。但是在恢复数据之前,应该完全消毒客户端设备以防止恢复的数据只是重新感染。如果数据安全人员可用,则开展调查也是一个好主意,以了解赎金软件的来源是否可以确定。

安装防火墙,垃圾邮件过滤器和Web筛选器。

许多这些解决方案正在融合到下一代组合产品中,但大多数这些都可以提供一系列服务,包括扫描坏网站,网络钓鱼链接,病毒,恶意软件等。唯一谨慎:您需要小心将所有安全鸡蛋放入一个篮子中的产品。如果您开始查看一个设备进行多个任务或服务时,如果出现问题,您将需要备份计划。如果该设备模具会发生什么?理想情况下,一个区将有硬件冗余到位,但很少有能力提供完整的备份系统。作为企业,您需要决定您所在地区的服务,不能没有。接下来,您应该将备份计划集中在被视为最重要的系统上。这将节省冗余成本并保持那些运行的重要网络组件,即使它的容量较小。例如,我们专注于我们的DNS服务。如果我们的主服务下来,我们知道虚拟服务器无法快速处理DNS,但它仍然可以处理一些。

限制防火墙的ICMP流量限制黑客扫描网络的能力。

ICMP流量是必备的网络故障排除。但是,如果没有被知识渊博的IT专家管理,这也是高漏洞的区域。 ICMP可以快速转动良好的交通,没有专家管理的武器。

人们是整体安全的关键。

是的,那里有很多工具可以保证您的网络安全。但是学区最佳投资可以在那些了解这些工具的工作方式。作为负责我所在地区的网络安全的经理,我不知道如何保持100%的安全,但我知道拥有员工的重要性,谁知道如何保持网络安全。如果您无法雇用全职工作人员,请与第三方供应商谈判以外包这些技能。此外,当您能负担得起的时候,有一个无私的第三方做“penetration testing”在您的网络上并评估您的弱点。像CDWG这样的可靠供应商可以帮助您的地区找到信誉顾问来帮助解决这个问题。

总之,当您为当今环境构建网络时,您希望首先将您的无线网络视为主要网络。在那里建立您的容量,以获得覆盖,密度和带宽。您的有线网络成为“workhorse”负责携带无线网络生成的所有流量来自您的企业的数据选择和进出数据选择和入口/出口点。虽然仍然很重要,但是无线网络现在使有线网络成为端点设备的次要连接点。遵循这些步骤,晚上睡个好觉。