| 導購 | 订阅 | 在线投稿
分享
 
 
 

五大手段確保網絡的安全

來源:互聯網網民  2006-12-16 16:51:41  評論

以下是我們從事IT工作時喜歡和討厭的事情:補斷地湧現新的工具、新的挑戰、新的法規以及新的技術。一方面,它們使我們的日常工作變得有趣和刺激。另一方面,改變的步伐太快,致使我們時常有力不從心的感覺。

多年來,WatchGuard培訓和技術出版物總監Karen Toast經常在白板上寫下這樣一句話:「再快些,再快些,直到對速度感到的興奮戰勝對死亡的恐懼。」(Faster and faster, until the thrill of speed overcomes the fear of death)。

這句話精練地描述了一個網絡管理員的工作。你有無數的事情等著做,但總是沒有足夠的時間,而用戶們總是期待著盡善盡美。每天和你的網絡以及有限的預算打交道,你有時覺得自己不單單是在拯救即將沈沒的泰坦尼克號,同時還在設計和建造它的替代品。

這是第1000份LiveSecurity電子郵件。爲了紀念這個裏程碑,我們原來准備寫下自從1999年1月11日發送我們的第一份「病毒警報」以來,網絡安全領域發生的變化。但之後我們又意識到,即使您已經從那些瘋狂的變化中堅持過來了,那麽也許會更想知道這5年以來,安全領域沒有發生變化的東西。

在網絡技術的萬花筒中,經過5年而沒有改變的實踐法則應該可以歸爲「經典」一類。有的時候,當技術的複雜性迷茫了你的雙眼的時候,重新審視一些明顯的法則,可以讓你透過迷霧而看清事物的本質。這些法則是你在感到困惑的時候可以信賴的東西。通過它們,你可以告訴新手基本的操作規則。有鑒于此,我們在這裏總結了5條經過長期實踐證明的安全經驗法則。在過去至少5年的時間裏,它們一直都是行之效的——而且在未來5年的時間裏,它們極有可能也不會發生改變。

1. 寫下你的安全策略

出色的安全性不可能一蹴而就。如果你的企業文化趨向于凡事都不正規,要想達到出色的安全性基本上就只有靠運氣。要想獲得最好的企業安全,必須經過堅持不懈的努力,以及強大的決心。每個公司都需要一個安全策略。不要等到發生入侵之後才想起來制定這個策略;現在就開始制定一個,才能防患于未然。請訪問WatchGuard的Security Awareness網站,上面提供了一份免費的白皮書,它描述了如何擬定您的策略(PDF),同時省去昂貴的專家咨詢費用或者長達幾個季度的自行摸索。

2. 防火牆必不可少

令人吃驚的是,現在許多組織(最典型就是大學)都在運行著沒有防火牆保護的公共網絡。讓我們姑且忽略有關「硬件防火牆好,還是軟件防火牆好」的爭論,無論采用哪一種防火牆,總比沒有防火牆好。這裏的重點在于,連接到Internet的每一個人都需要在其網絡入口處采取一定的措施來阻止和丟棄惡意的網絡通信。當你讀到本文的時候,說明您已經有了一個企業防火牆。但是,不要忘了您的遠程辦公人員和移動用戶。最低限度也應該爲他們每個人配備一個個人防火牆。雖然Windows XP SP2自帶的防火牆也勉強可用,但爲了滿足您的特殊需要,市場上還存在著大量産品可供挑選。最主要的事情就是去使用它們。

3. 隨時更新桌面防病毒系統

有趣的是,1999年我們鼓勵用戶「每周」檢查一次防病毒更新。如今,各個廠商都提供了自動的簽名更新。只要你一直都連在Internet上,它們就能在一個新的安全威脅被發現後的數小時內下載到您的機器上。但基本的道理是一樣的:良好的安全性要求你在每個桌面都配備防病毒功能,並隨時更新它。雖然在一個網絡的網關那裏建立防病毒機制能解決一部分問題,但在整個防病毒戰線中,您只能把網關防病毒視爲一道附加的防線,而不能把它視爲桌面防病毒的一個替代品。

4. 強化您的服務器

「強化」(Hardening)涉及兩個簡單的實踐法則:購買商業軟件時,刪除您不需要的所有東西;如果不能刪除,就把它禁用。可以通過強化來刪除的典型對象包括示例文件、使用向導演示、先用後付費的捆綁軟件以及在可以預見的將來不准備使用的高級特性。安裝越複雜,越有可能留下安全隱患,所以將您的安裝精簡到不能再精簡的程度。除此之外,設備和軟件通常配置了默認用戶名/密碼訪問、來賓(guest)和匿名帳戶以及默認共享。刪除你不需要的,並修改所有身份驗證憑據的默認值(由于有像這樣的列表,所以黑客也知道它們)。在這個充斥著大量「臃腫件」(bloatware)的年代,這個實踐法則與5年前相比更重要了。

5. 補丁策略必不可少

2001年,當「紅色代碼」(Code Red)浮現的時候,它攻擊的一個漏洞,是Microsoft在9個月前就提供了免費補丁以便用戶修補的。但是,這個蠕蟲仍然快速和大面積地蔓延,原因是管理員們沒有下載和安裝這個補丁。今天,從一個新的漏洞被發現開始,到新的大規模攻擊工具問世爲止,兩者間隔時間已經縮短了許多。在廠商發布安全補丁的時候,IT管理員需要做出快速響應。補丁管理目前是最熱門的IT主題之一,但是和許多事情一樣,80/20規則在這裏仍然適用。如果沒有商業評估工具以及較多的預算,可以用已經淘汰掉的「太慢」的機器來組建一個小的測試網絡。這樣一來,只需使用企業級工具來建立一個專業實驗室所需的20%的付出,就能獲得一個80%有用的測試環境。Microsoft,Apple以及其他許多組織都基本上每個月提供一次安全補丁。訪問和安裝那些補丁應該成爲您的工作內容和計劃任務的一部分。不要事後才采取行動。

聽起來很簡單,是嗎?您知道真正做起來要比本文講的難得多。但是,在這個充滿不確定因素的世界中,掌握一些已知不變的基本經驗法則,您將始終有一個准則,把它們當作您工作中的依托。在您産生任何疑慮的時候,請根據它們來整理自己的思路。在未來的1000篇WatchGuard安全電子郵件中,它們將指導我們一直按照正確的路線前進!

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
以下是我們從事IT工作時喜歡和討厭的事情:補斷地湧現新的工具、新的挑戰、新的法規以及新的技術。一方面,它們使我們的日常工作變得有趣和刺激。另一方面,改變的步伐太快,致使我們時常有力不從心的感覺。   多年來,WatchGuard培訓和技術出版物總監Karen Toast經常在白板上寫下這樣一句話:「再快些,再快些,直到對速度感到的興奮戰勝對死亡的恐懼。」(Faster and faster, until the thrill of speed overcomes the fear of death)。   這句話精練地描述了一個網絡管理員的工作。你有無數的事情等著做,但總是沒有足夠的時間,而用戶們總是期待著盡善盡美。每天和你的網絡以及有限的預算打交道,你有時覺得自己不單單是在拯救即將沈沒的泰坦尼克號,同時還在設計和建造它的替代品。   這是第1000份LiveSecurity電子郵件。爲了紀念這個裏程碑,我們原來准備寫下自從1999年1月11日發送我們的第一份「病毒警報」以來,網絡安全領域發生的變化。但之後我們又意識到,即使您已經從那些瘋狂的變化中堅持過來了,那麽也許會更想知道這5年以來,安全領域沒有發生變化的東西。   在網絡技術的萬花筒中,經過5年而沒有改變的實踐法則應該可以歸爲「經典」一類。有的時候,當技術的複雜性迷茫了你的雙眼的時候,重新審視一些明顯的法則,可以讓你透過迷霧而看清事物的本質。這些法則是你在感到困惑的時候可以信賴的東西。通過它們,你可以告訴新手基本的操作規則。有鑒于此,我們在這裏總結了5條經過長期實踐證明的安全經驗法則。在過去至少5年的時間裏,它們一直都是行之效的——而且在未來5年的時間裏,它們極有可能也不會發生改變。   1. 寫下你的安全策略   出色的安全性不可能一蹴而就。如果你的企業文化趨向于凡事都不正規,要想達到出色的安全性基本上就只有靠運氣。要想獲得最好的企業安全,必須經過堅持不懈的努力,以及強大的決心。每個公司都需要一個安全策略。不要等到發生入侵之後才想起來制定這個策略;現在就開始制定一個,才能防患于未然。請訪問WatchGuard的Security Awareness網站,上面提供了一份免費的白皮書,它描述了如何擬定您的策略(PDF),同時省去昂貴的專家咨詢費用或者長達幾個季度的自行摸索。   2. 防火牆必不可少   令人吃驚的是,現在許多組織(最典型就是大學)都在運行著沒有防火牆保護的公共網絡。讓我們姑且忽略有關「硬件防火牆好,還是軟件防火牆好」的爭論,無論采用哪一種防火牆,總比沒有防火牆好。這裏的重點在于,連接到Internet的每一個人都需要在其網絡入口處采取一定的措施來阻止和丟棄惡意的網絡通信。當你讀到本文的時候,說明您已經有了一個企業防火牆。但是,不要忘了您的遠程辦公人員和移動用戶。最低限度也應該爲他們每個人配備一個個人防火牆。雖然Windows XP SP2自帶的防火牆也勉強可用,但爲了滿足您的特殊需要,市場上還存在著大量産品可供挑選。最主要的事情就是去使用它們。   3. 隨時更新桌面防病毒系統   有趣的是,1999年我們鼓勵用戶「每周」檢查一次防病毒更新。如今,各個廠商都提供了自動的簽名更新。只要你一直都連在Internet上,它們就能在一個新的安全威脅被發現後的數小時內下載到您的機器上。但基本的道理是一樣的:良好的安全性要求你在每個桌面都配備防病毒功能,並隨時更新它。雖然在一個網絡的網關那裏建立防病毒機制能解決一部分問題,但在整個防病毒戰線中,您只能把網關防病毒視爲一道附加的防線,而不能把它視爲桌面防病毒的一個替代品。   4. 強化您的服務器   「強化」(Hardening)涉及兩個簡單的實踐法則:購買商業軟件時,刪除您不需要的所有東西;如果不能刪除,就把它禁用。可以通過強化來刪除的典型對象包括示例文件、使用向導演示、先用後付費的捆綁軟件以及在可以預見的將來不准備使用的高級特性。安裝越複雜,越有可能留下安全隱患,所以將您的安裝精簡到不能再精簡的程度。除此之外,設備和軟件通常配置了默認用戶名/密碼訪問、來賓(guest)和匿名帳戶以及默認共享。刪除你不需要的,並修改所有身份驗證憑據的默認值(由于有像這樣的列表,所以黑客也知道它們)。在這個充斥著大量「臃腫件」(bloatware)的年代,這個實踐法則與5年前相比更重要了。   5. 補丁策略必不可少   2001年,當「紅色代碼」(Code Red)浮現的時候,它攻擊的一個漏洞,是Microsoft在9個月前就提供了免費補丁以便用戶修補的。但是,這個蠕蟲仍然快速和大面積地蔓延,原因是管理員們沒有下載和安裝這個補丁。今天,從一個新的漏洞被發現開始,到新的大規模攻擊工具問世爲止,兩者間隔時間已經縮短了許多。在廠商發布安全補丁的時候,IT管理員需要做出快速響應。補丁管理目前是最熱門的IT主題之一,但是和許多事情一樣,80/20規則在這裏仍然適用。如果沒有商業評估工具以及較多的預算,可以用已經淘汰掉的「太慢」的機器來組建一個小的測試網絡。這樣一來,只需使用企業級工具來建立一個專業實驗室所需的20%的付出,就能獲得一個80%有用的測試環境。Microsoft,Apple以及其他許多組織都基本上每個月提供一次安全補丁。訪問和安裝那些補丁應該成爲您的工作內容和計劃任務的一部分。不要事後才采取行動。   聽起來很簡單,是嗎?您知道真正做起來要比本文講的難得多。但是,在這個充滿不確定因素的世界中,掌握一些已知不變的基本經驗法則,您將始終有一個准則,把它們當作您工作中的依托。在您産生任何疑慮的時候,請根據它們來整理自己的思路。在未來的1000篇WatchGuard安全電子郵件中,它們將指導我們一直按照正確的路線前進!
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有