讓系統更安全–必知十四大安全策略
最近,各大軟體紛紛爆出比較嚴重的安全漏洞:微軟Word 2000的“零時間”攻擊漏洞,Adobe的PDF後門,Flash Player的拒絕服務式攻擊等等。在使用者面臨漏洞的時候慌亂失措的時候,更忙更亂的也許就是我們那些公司和企業的網路管理員了。因為一臺電腦被攻破,也許就意味著整個網路的失陷。但是,安全在於防範,為了給網友中的網管們助以薄力,本次網易學院(風行資訊授權)給大家帶來了這段精彩的編譯內容:讓你的系統更安全–網路管理員必知十四大安全策略
不需要昂貴的、複雜的安全系統;僅僅是一些簡單的檢查和管理就能發揮很高的效用。
1、避免安裝或執行未經認證的不明軟體或內容。瞭解電腦上正在執行哪些程式以及它們為什麼執行。如果你不知道你的系統上都有什麼,你就不能充分對你的系統進行保護。
2、不要讓非管理員使用者以系統管理員或者根許可權身份登入。
3、保護你的e-mail。將所有進入的HTML內容轉換為普通文字格式,阻止所有檔案預設檔案擴充套件,除了少數你希望允許通過的。
4、保護你的密碼。設定較長的密碼,普通使用者來說,以10個字元或更長為佳,系統管理帳戶為15個字元或更長為佳。執行帳戶鎖定,甚哪怕就只是一分鐘的。在Windows系統裡,禁用LM密碼hash。在Unix/Linux下,使用較新的crypt(3)hash,MD5型別hash,或者如果你的作業系統支援的話,選擇更好的bcrypt hash。
5、儘可能地使用預設禁用和最小化許可權。當執行最小化許可權的安全策略的時候,使用基於規則的安全。你應當一個IT規則一個組,而不是隻有一個“IT安全組”。
6、定義和加強安全域。誰需要訪問什麼?什麼型別的通訊連線是合法的?回答這些問題然後設計周邊防禦。定義基準值,記錄反常的通訊量。
7、在可能的情況下加密所有的機密資料,特別是在行動式電腦和儲存裝置上。沒有任何藉口偷這個懶–你因丟失的資料而惡化的公共關係就可以說明一切了(當然,你可以看看AT&T,Veteran Affair美國部門,美國銀行的下場)。
8、作業系統和所有程式的升級補丁管理。自我一下,你最近有沒有升級你的Macromedia Flash,Real Player,和Adobe Acrobat呢?
9、儘可能地在閘道器和主機上裝配反病毒、反垃圾郵件和反間諜套件。
10、模糊化地設定安全資訊。重新命名你的管理員和根許可權帳戶。不要以ExchangeAdmin來命名一個帳號。不要將你的檔案伺服器命名為如FS1,Exchange1或者GatewaySrv1登。在條件允許時將服務置於非預設埠:比如,你可以為內部使用者和商業夥伴將SSH服務移到30456埠,RDP到30389,HTTP到30080等等。
11、在你的網路上掃描並調查未知TCP或者UDP埠監聽。
12、跟蹤記錄每個使用者在Internet上所瀏覽的區域和時間。將結果置於一個人人都可以接觸到的實時線上報告中。這個建議就是使使用者對自己網際網路衝浪習慣進行自我管理(我敢打賭,這樣同樣會帶來生產力上的突然提高)。
13、自動化安全策略。如果你不設為自動的話,它將處於一個不和諧的狀態。
14、對全體僱員進行有關資訊保安的教育,並制定合適的策略和程式。習慣於變化的和結構化的管理。對於不依從者經行嚴厲處罰。
總結:
不需要昂貴的、複雜的安全系統;僅僅是一些簡單的檢查和管理就能發揮很高的效用。
1、避免安裝或執行未經認證的不明軟體或內容。瞭解電腦上正在執行哪些程式以及它們為什麼執行。如果你不知道你的系統上都有什麼,你就不能充分對你的系統進行保護。
2、不要讓非管理員使用者以系統管理員或者根許可權身份登入。
3、保護你的e-mail。將所有進入的HTML內容轉換為普通文字格式,阻止所有檔案預設檔案擴充套件,除了少數你希望允許通過的。
4、保護你的密碼。設定較長的密碼,普通使用者來說,以10個字元或更長為佳,系統管理帳戶為15個字元或更長為佳。執行帳戶鎖定,甚哪怕就只是一分鐘的。在Windows系統裡,禁用LM密碼hash。在Unix/Linux下,使用較新的crypt(3)hash,MD5型別hash,或者如果你的作業系統支援的話,選擇更好的bcrypt hash。
5、儘可能地使用預設禁用和最小化許可權。當執行最小化許可權的安全策略的時候,使用基於規則的安全。你應當一個IT規則一個組,而不是隻有一個“IT安全組”。
6、定義和加強安全域。誰需要訪問什麼?什麼型別的通訊連線是合法的?回答這些問題然後設計周邊防禦。定義基準值,記錄反常的通訊量。
7、在可能的情況下加密所有的機密資料,特別是在行動式電腦和儲存裝置上。沒有任何藉口偷這個懶–你因丟失的資料而惡化的公共關係就可以說明一切了(當然,你可以看看AT&T,Veteran Affair美國部門,美國銀行的下場)。
8、作業系統和所有程式的升級補丁管理。自我一下,你最近有沒有升級你的Macromedia Flash,Real Player,和Adobe Acrobat呢?
9、儘可能地在閘道器和主機上裝配反病毒、反垃圾郵件和反間諜套件。
10、模糊化地設定安全資訊。重新命名你的管理員和根許可權帳戶。不要以ExchangeAdmin來命名一個帳號。不要將你的檔案伺服器命名為如FS1,Exchange1或者GatewaySrv1登。在條件允許時將服務置於非預設埠:比如,你可以為內部使用者和商業夥伴將SSH服務移到30456埠,RDP到30389,HTTP到30080等等。
11、在你的網路上掃描並調查未知TCP或者UDP埠監聽。
12、跟蹤記錄每個使用者在Internet上所瀏覽的區域和時間。將結果置於一個人人都可以接觸到的實時線上報告中。這個建議就是使使用者對自己網際網路衝浪習慣進行自我管理(我敢打賭,這樣同樣會帶來生產力上的突然提高)。
13、自動化安全策略。如果你不設為自動的話,它將處於一個不和諧的狀態。
14、對全體僱員進行有關資訊保安的教育,並制定合適的策略和程式。習慣於變化的和結構化的管理。對於不依從者經行嚴厲處罰。
總結:
我知道以上的建議並不完全,還應考慮物理安全等,但這已經是個不錯的開始了。選擇一個建議並專注地將它從頭到尾完成。然後再開始另一個。跳過那些你不能完成的,集中到你所能完成的建議上去。如果你確實必需昂貴的IDS,就去買吧–但先完成這些基礎的工作吧。
本文轉自starger51CTO部落格,原文連結: http://blog.51cto.com/starger/17604,如需轉載請自行聯絡原作者
相關文章
- 網管必知十四大安全策略
- 如何讓win10安全策略恢復系統預設設定_win10安全策略重置的方法Win10
- 如何讓你的作業系統更安全二作業系統
- Unix系統安全必讀(轉)
- WindowsXP作業系統的八大安全策略Windows作業系統
- win10本地安全策略在哪裡 win10系統怎樣開啟本地安全策略的步驟Win10
- XP系統的熱鍵漏洞和對應的安全策略
- 讓資料傳輸更安全
- rdp安全策略
- Yarp 讓系統內排程更靈活
- 瀏覽器安全策略說之內容安全策略CSP瀏覽器
- HSTS 詳解,讓 HTTPS 更安全HTTP
- “SSH”讓遠端控制更安全(轉)
- 24 個必知必會的系統管理員面試問題面試
- PostgreSQL 行安全策略SQL
- 網路安全策略
- 付費語音問答「分答」讓知識更流行—知識新分享,讓溝通更專業
- 讓Windows7更加安全的系統安全設定Windows
- 十招IT安全策略 降低安全風險
- 微軟:WP8.1系統相比iOS/安卓更安全微軟iOS安卓
- 20個Linux系統管理員必知系統監控工具(轉)Linux
- KubeVela 1.4:讓應用交付更安全、上手更簡單、過程更透明
- 剛柔並濟,SOA 安全策略最佳實踐系列 SOA 安全策略概述
- Web 安全之內容安全策略 (CSP)Web
- 運維工程師必備Linux常見安全策略與實踐運維工程師Linux
- Android O 讓安裝應用更安全Android
- 構建全方位資料安全保護體系,中安威士讓資料更安全
- 《MySQL必知必會》筆記事務、安全及效能等MySql筆記
- 入門運維必知必會的系統故障排查和修復技巧運維
- 讓你的linux作業系統更加安全Linux作業系統
- IE沙箱拖拽安全策略解析
- SunlightDB 安全策略(一)
- 正確部署IE安全策略
- 企業網路安全策略
- Linux網路安全策略Linux
- 伺服器的安全策略伺服器
- IP安全策略設定(收藏)
- openGauss 設定安全策略