过去10年网络应用的爆炸式发展使得大到世界500强企业小致几人的企业都拥有了某种程度上的IT因素。
每一家企业都有自己宝贵的IT资产,诸如计算机,网络和数据。要实现对这些资产的保护需要大小企业都拥有自己独立的安全审查机制,这样就可以及时发现企业面临的安全问题以及如何应对风险。
以下10条建议将告诉你如何实现最基本的IT检查。虽然这些建议没有专业人士所做的那样广泛,但是让你在保护安全之路上起步了。
1. 构建安全审查的范围:列举资产清单和安全范围
安全审查的第一步就是列出计算机资产清单,然后我们才知道那些需要保护。列举有形资产的清单很简单,譬如计算机,服务器,文件夹。但是无形资产的清单就不是那么容易的事情了。为了保证列举的无形资产清单的连续性,安全审查范围是很有用的。
什么是安全审查范围
安全审查范围既是一个实体上的和概念上的界限,安全审查关注的只是界限之内的东西,界限之外的事情与安全审查无关。当然决定最终安全审查范围的是你自己,但是一般来说,安全范围应该是最小的界限,只是包含那些控制你企业安全必须的资产。
需要考虑的资产
一旦你决定了安全范围,接下来就要完善资产清单。我们要考虑所有潜在的资产并且决定那些资产是否应该包含在安全范围之内。一般来说,以下资产是必须列入清单的:
1. 台式机和笔记本
2. 路由器和网络工具
3. 打印机
4. 视频,不管是数码的或是类似的东西,还有含有公司敏感数据的照片
5. 销售数据,顾客信息数据,还有员工信息数据
6. 公司智能电话和掌上电脑
7. VoIP电话,IP PBX(private branch (telephone) exchange 专用分组交换机)以及相关的服务器
8. VoIP或是普通电话的通话记录
9. 电子邮件
10. 员工日常工作安排和活动的日志
11. 网页,特别是那些对用户信息请求的信息还有由网络脚本支持的对数据库访问的请求
12. 网络服务器
13. 监控视频
14. 员工出入证
15. 访问点(譬如门禁系统的扫描仪)
这一清单没有穷举所有的资产,你还要再三思考以下那些数据还没有包含进去。列举的资产清单越详细越好,这样将有助于你更加准确认识到那台计算机面临风险。
2. 建立“危险清单”
仅仅知道资产还不足以实现保护,还需要它们面临那些危险。这一步主要是列举一个你现阶段可能面临的一些风险。
应该包含哪些风险?
如果你的危险清单过于泛化,那么你就应该特别注意那些细枝末节的安全问题。当你决定那些风险应该包含在清单的时候,应该根据比例尺测试一下。例如,如果你考虑飓风是否会影响到你的服务器的时候,你因该对两方面加以考虑,尽管风险很小,但是一旦发生风险将是致命的。如果风险达到足以影响到你的企业的话,不管风险多么小都应该列入清单之中。
一般的“风险”包括哪些?
以下这些司空见惯的风险在你构建风险清单的时候可以作为参考:
1. 计算机和网络密码。是不是有一个日志中包含所有人的密码?ACL(Access Control List 有效服务列表)清单的安全程度如何?现在使用的密码时候足够安全?
2. 实体资产。台式机和笔记本是否会被来访者或是员工带出工作场所?
3. 实体资产的记录。它们是否存在?是否备份?
4. 数据备份。哪些虚拟资产需要备份,怎么样备份,放在哪,谁来管理备份?
5. 网络访问日志。每当有人访问数据的时候,这一访问是否被记录,谁,什么时间,什么地点等等。
6. 对敏感顾客信息的访问,诸如,信用卡信息。谁可以访问?怎么样实现访问控制?公司之外的网络是否可以实现访问?
7. 客户清单访问。网站是否允许通过后门进入客户机数据库?是否会被劫持?
8. 长途拨号。长途拨号是否会被限制,或是所有的拨号都是免费的?是否应该被限制?
9. 电子邮件。垃圾邮件过滤器是否安排妥当?员工是否需要进行垃圾邮件和网络钓鱼邮件的教育?公司发出去的邮件是不是不应该包含某种形式的超链接?
3. 过期的检测和预测未来
在这一阶段,你需要编辑当下危险清单,但是那些还没有发现的风险怎么办呢,更或是那些还没有开发出来的危险呢?一个好的安全检查不仅仅是关乎现实,也需要预测未来风险。
以史为鉴
要想预测未来,首先需要了解过去受到危险的历史。许多风险在史上不断的重复出现,将过去的风险进行归类整理,将相关的风险列入你的风险清单之中,这样你对计算机漏洞会有一个更加全面的认识。
检查安全趋势
通过网络和各大安全门户网站了解时下流行的一些网络安全风险是大有裨益的。
协同作战
面对外部风险的时候,一些竞争对手常常成为对方最大的资产。与竞争对手构建良好的关系可帮助你对网络安全风险有一个全面的了解。要做到与对手实现安全威胁信息的共享。
4. 安全等级分级
现在你已经列出了关于企业面临风险的清单和需要保护的资产的清单。但是这些清单需要有一个轻重缓急之分。在这一步中,你需要确定那些风险是最大的,这样才能将好钢用在刀刃上。
使用风险评估和概率演算工具
风险越大,安全等级越高。计算风险的公式如下:
风险=可能性 乘以 危害性
这一公式就是说,将危害性和发生危险的可能性相乘之积。所得的结果就是企业面临的风险。
计算可能性
可能性就是指危险真正发生的可能性。遗憾的是,市面上没有哪本书教你如何计算网站遭到劫持的可能性,因此你得自己计算。
计算可能性的第一步就是对公司的历史威胁做一下系统的研究,包括对手的历史,以及其它公司面临的一些历史威胁分析。最终你会得出的一个估算的数字。一般说来,估计越准确,风险评估也就越精确。
计算危害
一旦威胁发生产生的威害有多大?计算威胁的潜在危害的方法有很多。你可以吧企业的收入损失和资产换算称货币。或是计算恢复正常状态花费的人工。不管是使用什么样的计算方法,有一点是肯定的,你必须借此找出那些最重要的安全要素。
开发安全威胁响应机制
建立一个安全等级清单之后,在应对安全危险时就有很多响应措施。以下我们将列举六种主要的响应方法。但是这绝不是所有的方法,却是最主要的。
5. 执行网络访问控制
网络访问控制(NAC),可以用来检查任何访问网络用户的安全。例如,如果你发现你的竞争对手使用公司的隐秘网站盗取你的信息的话,那么你就可以使用NAC。这是一个绝佳的选择。
NAC中的一个有效部分就是访问控制清单(ACL),可以决定那些网络资源是向用户开放的。NAC还应该包含如下步骤:加密,数字信号,ACL,确认IP地址,用户名还有检查网页的cookies。
6. 使用入侵防范
NAC主要是对付未经授权的不速之客,IPS(入侵防御系统)防范的是危险性更大的黑客。
最普遍的IPS就是第二代防火墙。与第一代防火墙不同的是,第一代防火墙很少使用内容过滤器,第二代防火墙增加了内容过滤器。
● 以内容为基础。这种防火墙使用的是更深层次的信息包检查,就是完全检查应用程序的内容来找出是否存在危险。
● 以评估为基础。第二代防火墙使用更加先进的分析方法分析网站或是网络流量或是应用程序内容检查,这样就可以找出一些异常情况
7.使用身份/访问管理(IAM)
IAM简单的说就是控制用户访问特定的网络资源。在IAM的管理之下,用户要想访问资源,首先必须获得许可。一旦获得授权,用户就可以访问获得授权的资源。
IAM在管理企业员工的信息访问权限时是很有用的。例如,如果员工想盗取用户的信用卡信息的话,IAM就是最好的选择。
8.使用备份
我们一想到IT安全风险,首先想到的是电脑劫持。但是企业面临的更大的风险是信息的丢失。尽管备份看起来不是很好,多说最简单的应对信息丢失的方法就是数据备份。以下一些就是你在使用备份的时候需要注意的一些东西:
● 在线存储。在线存储有几种形式,移动硬盘或是防火安全的空间之内的磁盘存储。同样的数据可以放在硬盘之内,但是通过DMZ与外界隔开。
● 离线存储。一些机密信息应该离线存储,作为在线存储的一个补充。作一下最坏的打算:如果发生火灾,你的硬盘或是数字磁盘是否安全?如果发生飓风或是地震有当如何?你可以使用可移动的媒介,或是VPN(虚拟个人网络)将数据离线存储。
● 保证对备份数据的访问是安全的。有时候,对备份数据的访问也有上升的趋势。对离线数据中心的访问,或是使用VPN进行访问,都应该保证安全。你可以使用密钥,射频识别智能卡,VPN密码,安全组合等等。
● 有计划的备份。备份应该尽可能的自动化,应该在公司内部有一个备份计划,不要受人为因素的影响。决定备份频率的时候,要保证备份的切实可操作性。
9.电子邮件保护和过滤
每一天,全世界产生的垃圾邮件是550亿。为了限制垃圾邮件带来的风险,作为企业安全的一部分,垃圾邮件过滤器和训练有素的员工是必须的。因此,为了有效的应对垃圾邮件风险,最简单的响应机制就是建立电子邮件安全和过滤系统。
电子邮件安全风险是你选择适当的电子邮件保护机制的基础,以下是一些建议:
● 加密电子邮件。在向工作地点以外的员工或是客户发送敏感信息的时候,电子邮件一定要加密。如果是国际客户的话,要保证加密协议在接受国是可行的。
● 使用steganography。Steganography是在一种在外部隐藏信息的技术,譬如隐藏于图片之中。尽管如此,这种方法须与其它加密方法一起使用才能发挥最大的效果。
● 不要打开来历不明的附件。除非知道发送者是谁,否则就不要轻易打开来路不明的附件,要教育你的员工。
● 不要打开不正产的邮件。没有任何一款垃圾邮件过滤器是尽善尽美的。但是,如果你的员工了解一些常见的垃圾邮件技巧,那么企业的安全可以高枕无忧。
10.防止实体入侵
尽管各种各样的病毒不断推陈出新,譬如,劫持和垃圾邮件,一些传统的安全风险依然大行其道。最常见的就是实体入侵。如果你想防止有人闯入办公室盗取笔记本或是台式机的话,防盗措施是必须的。
以下就是一些比较好的建议:
● 入侵办公室:安装侦查系统。例如可以使用闭路电视系统。
● 被盗的笔记本。微软提供的加密文件系统可以加密笔记本内敏感数据,保证安全。
● 盗取智能电话。Synchronica的一项新技术,保护掌上电脑和智能手机的安全,如果被盗的话。一旦受到保护,没有密码的话就无法使用。如果这还不够的话,它还会直接清除数据不去发出高分贝的警报。一旦手机失而复得,数据可以从远程服务器上恢复。
● Kids + Pets(小孩+宠物)=毁灭:防止未经授权的访问。对于一些小企业来说,在家里工作是很大的诱惑。但是家里的孩子或是访客乱动电脑的话,这将是很大的危险。黑客可能利用这一点。使用合适的使用权限政策将帮助中小企业所有者处理这一问题。
● 训诫和阻止。许多网上商业的广告包含Google AdSense 或是 Chitika来增加额外的收入。但是,由于员工或是家人的不恰当点击将导致帐号受到威胁。提醒员工注意这些事情,防止堡垒从内部被攻破。