| 五大手段确保网络的安全 |
| 责任编辑:stef 更新日期:2005-7-6 |
|
|
以下是我们从事IT工作时喜欢和讨厌的事情:补断地涌现新的工具、新的挑战、新的法规以及新的技术。一方面,它们使我们的日常工作变得有趣和刺激。另一方面,改变的步伐太快,致使我们时常有力不从心的感觉。
多年来,WatchGuard培训和技术出版物总监Karen Toast经常在白板上写下这样一句话:“再快些,再快些,直到对速度感到的兴奋战胜对死亡的恐惧。”(Faster and faster, until the thrill of speed overcomes the fear of death)。
这句话精练地描述了一个网络管理员的工作。你有无数的事情等着做,但总是没有足够的时间,而用户们总是期待着尽善尽美。每天和你的网络以及有限的预算打交道,你有时觉得自己不单单是在拯救即将沉没的泰坦尼克号,同时还在设计和建造它的替代品。
这是第1000份LiveSecurity电子邮件。为了纪念这个里程碑,我们原来准备写下自从1999年1月11日发送我们的第一份“病毒警报”以来,网络安全领域发生的变化。但之后我们又意识到,即使您已经从那些疯狂的变化中坚持过来了,那么也许会更想知道这5年以来,安全领域没有发生变化的东西。
在网络技术的万花筒中,经过5年而没有改变的实践法则应该可以归为“经典”一类。有的时候,当技术的复杂性迷茫了你的双眼的时候,重新审视一些明显的法则,可以让你透过迷雾而看清事物的本质。这些法则是你在感到困惑的时候可以信赖的东西。通过它们,你可以告诉新手基本的操作规则。有鉴于此,我们在这里总结了5条经过长期实践证明的安全经验法则。在过去至少5年的时间里,它们一直都是行之效的——而且在未来5年的时间里,它们极有可能也不会发生改变。
1. 写下你的安全策略
出色的安全性不可能一蹴而就。如果你的企业文化趋向于凡事都不正规,要想达到出色的安全性基本上就只有靠运气。要想获得最好的企业安全,必须经过坚持不懈的努力,以及强大的决心。每个公司都需要一个安全策略。不要等到发生入侵之后才想起来制定这个策略;现在就开始制定一个,才能防患于未然。请访问WatchGuard的Security Awareness网站,上面提供了一份免费的白皮书,它描述了如何拟定您的策略(PDF),同时省去昂贵的专家咨询费用或者长达几个季度的自行摸索.
2. 防火墙必不可少
令人吃惊的是,现在许多组织(最典型就是大学)都在运行着没有防火墙保护的公共网络。让我们姑且忽略有关“硬件防火墙好,还是软件防火墙好”的争论,无论采用哪一种防火墙,总比没有防火墙好。这里的重点在于,连接到Internet的每一个人都需要在其网络入口处采取一定的措施来阻止和丢弃恶意的网络通信。当你读到本文的时候,说明您已经有了一个企业防火墙。但是,不要忘了您的远程办公人员和移动用户。最低限度也应该为他们每个人配备一个个人防火墙。虽然Windows XP SP2自带的防火墙也勉强可用,但为了满足您的特殊需要,市场上还存在着大量产品可供挑选。最主要的事情就是去使用它们。
3. 随时更新桌面防病毒系统
有趣的是,1999年我们鼓励用户“每周”检查一次防病毒更新。如今,各个厂商都提供了自动的签名更新。只要你一直都连在Internet上,它们就能在一个新的安全威胁被发现后的数小时内下载到您的机器上。但基本的道理是一样的:良好的安全性要求你在每个桌面都配备防病毒功能,并随时更新它。虽然在一个网络的网关那里建立防病毒机制能解决一部分问题,但在整个防病毒战线中,您只能把网关防病毒视为一道附加的防线,而不能把它视为桌面防病毒的一个替代品。
4. 强化您的服务器
“强化”(Hardening)涉及两个简单的实践法则:购买商业软件时,删除您不需要的所有东西;如果不能删除,就把它禁用。可以通过强化来删除的典型对象包括示例文件、使用向导演示、先用后付费的捆绑软件以及在可以预见的将来不准备使用的高级特性。安装越复杂,越有可能留下安全隐患,所以将您的安装精简到不能再精简的程度。除此之外,设备和软件通常配置了默认用户名/密码访问、来宾(guest)和匿名帐户以及默认共享。删除你不需要的,并修改所有身份验证凭据的默认值(由于有像这样的列表,所以黑客也知道它们)。在这个充斥着大量“臃肿件”(bloatware)的年代,这个实践法则与5年前相比更重要了。
5. 补丁策略必不可少
2001年,当“红色代码”(Code Red)浮现的时候,它攻击的一个漏洞,是Microsoft在9个月前就提供了免费补丁以便用户修补的。但是,这个蠕虫仍然快速和大面积地蔓延,原因是管理员们没有下载和安装这个补丁。今天,从一个新的漏洞被发现开始,到新的大规模攻击工具问世为止,两者间隔时间已经缩短了许多。在厂商发布安全补丁的时候,IT管理员需要做出快速响应。补丁管理目前是最热门的IT主题之一,但是和许多事情一样,80/20规则在这里仍然适用。如果没有商业评估工具以及较多的预算,可以用已经淘汰掉的“太慢”的机器来组建一个小的测试网络。这样一来,只需使用企业级工具来建立一个专业实验室所需的20%的付出,就能获得一个80%有用的测试环境。Microsoft,Apple以及其他许多组织都基本上每个月提供一次安全补丁。访问和安装那些补丁应该成为您的工作内容和计划任务的一部分。不要事后才采取行动。
听起来很简单,是吗?您知道真正做起来要比本文讲的难得多。但是,在这个充满不确定因素的世界中,掌握一些已知不变的基本经验法则,您将始终有一个准则,把它们当作您工作中的依托。在您产生任何疑虑的时候,请根据它们来整理自己的思路。在未来的1000篇WatchGuard安全电子邮件中,它们将指导我们一直按照正确的路线前进!
 |
|
| 上一篇文章: 利用X-Scan找ASP木马后门 |
| 下一篇文章: 安全性与IIS |
|
|
|
|
