IT核心 建立牢不可破的IT安全策略(轉)

IT核心 建立牢不可破的IT安全策略(轉)[@more@]　　出處：賽迪網

　　與幾年前相比，人們對網路安全投入了更多的關注與資金。好的安全策略已經成為任何關注資訊保安的組織的必需品。但是無論採用何種策略，很多情況下，它都會在細節上有這樣那樣的不足。

　　建立安全策略的動機應當是由CIO/CSO執行，為了使組織機構遵循相關法規以及審查手續，幫助控制網路安全，並且還因為它是最實用的。我們得承認，有時各組織只實現最少量的安全必要措施，以便符合審查或管理報告的要求。但是這只是公司能實現的一般水平的策略。

　　安全專家們建議公司實現任何安全架構的時候採用分層設計的方法。大多數的組織已經有了適當的防火牆和防毒方案，因此，隨著各類威脅變得越來越老練以及網路越來越複雜，額外加安全層是很實用的方法。處理好安全問題的一個有用的方法就是將它分成三段策略：反射性，前向性以及順勢性。

　　反射性

　　反射性安全措施是最普遍的方法，儘管我們並不主張這樣的策略。當發生安全事件的時候，一個叫做事件響應程式(IRP)的操作將控制，協調並且執行任何必要的防禦措施。例如，當攻擊進入網路範圍時，防火牆會阻止其對網路的訪問。

　　除了防火牆，還有兩個補充的安全層起到很大保護作用。入侵防禦系統，或者IPS，它徹底地對資料包進行檢查，並且透過搜尋對話資訊內容中的惡意軟體，或者危險的傳輸流來跟蹤網路通訊的狀態。IPS通常都是配置在防火牆外部，防火牆內側，網路核心以及其他網路中互相聯結或者邊緣的點。IPS被看作是反射性的，這是因為它們得等到出現攻擊才能反應，然後阻止攻擊的資料包或者包的源頭。

　　前向性安全措施

　　前向性策略能夠在出現攻擊或者潛在威脅之前就做好對網路的保護。在前向性安全策略中進行分層能夠阻止攻擊者進入網路，這將使這種策略更有利。最新的前向性安全策略叫做網路訪問控制(NAC)。全面的NAC方案確保任何終端裝置在自由訪問網路資源之前，系統都對它們按照企業安全策略進行測試。

　　NAC對IT安全管理員來說非常有用，它在確定裝置是安全的之前將任何裝置都視為有威脅的，有助於控制人們對網路上所儲存的機密資訊、私人資訊的訪問。

　　很多NAC工具使用使用者認證來確定特殊使用者是否可以訪問網路。接著，它檢查每一個裝置以確定該裝置是否對網路構成威脅。組織的基本要求可以是隨時更新安全補丁以及防毒軟體。更進一步的要求可以是確保網路瀏覽器，應用程式以及作業系統都處於安全配置狀態。另外，一些精明的NAC方案還會阻止那些一連線網路馬上就試圖散播開的惡意軟體。

　　很多行業分析師以及安全專家都認為NAC方案是財政、教育、政府以及衛生保健領域的各組織機構的首選安全方案。

　　作為對NAC的補充，漏洞管理(VM)程式幫助系統確保網路上的裝置能夠抵擋進入網路的攻擊。VM預先監察網路中的裝置，掃描它們各自的潛在漏洞，然後再確定它的作業系統，配置以及應用程式。該資料將被記錄和保留在中央資料庫，安全工程師可以使用這個資料庫來了解出現的漏洞，並處理它們。

　　人們可以用多種方法處理漏洞。很多漏洞都可以透過應用賣主提供的補丁來解決，隨時更新軟體就行。另外一些漏洞可透過其他方法緩解，如用訪問控制列表或者設定防火牆規則使攻擊者透過的可能性降到最低。還有其他的漏洞對組織只造成很小的，可以接受的威脅，並不需要馬上處理它們。

　　順勢安全措施

　　第三種策略是順勢性策略。對大多陣列織來說，只有一套適當的安全方案是不行的。他們必須確認這些方案的有效性，並且在整個公司範圍貫徹安全策略。筆者可以很快區分那些沒有想好安全策略的組織和已經實現有力的工具，策略和遵循的組織。安全架構中的每一個環節都必須保留了能夠報告非順勢事件的關鍵資訊。

　　來自這些系統的全面的報告非常重要。重要的報告包括那些說明哪些裝置不符合當前安全策略，哪些不合規格的裝置是被例外許可的，沒有解決的漏洞以及漏洞修復程式，還有安全事件及安全入侵報告。審查者通常都需要具有突出的報告能力，以便建立自定義報告，過濾及搜尋標準等。

　　評估你的網路

　　有了這三個安全策略——反射性，前向性，以及順勢性——CIO和CSO們可以開始評估他們的網路，以便確定那種策略最符合他們的需要。把三種分層的安全策略結合在一起的方案仍然是安全專家們最為推薦的，有策略總比沒有好。不論採用哪種策略，人們都應當在公司範圍確立策略以及手續，並且委任具體的執行人員來完成這些工作。

　　鑑於威脅越來越多並且人們越來越依賴資訊科技，安全問題不容忽視。安全是IT的核心程式，需要受到人們關注並且對其實施有效的策略。