五大手段確保網路的安全(轉)

五大手段確保網路的安全(轉)[@more@]

　　以下是我們從事IT工作時喜歡和討厭的事情：補斷地湧現新的工具、新的挑戰、新的法規以及新的技術。一方面，它們使我們的日常工作變得有趣和刺激。另一方面，改變的步伐太快，致使我們時常有力不從心的感覺。

　　多年來，WatchGuard培訓和技術出版物總監Karen Toast經常在白板上寫下這樣一句話：“再快些，再快些，直到對速度感到的興奮戰勝對死亡的恐懼。”（Faster and faster, until the thrill of speed overcomes the fear of death）。

　　這句話精練地描述了一個網路管理員的工作。你有無數的事情等著做，但總是沒有足夠的時間，而使用者們總是期待著盡善盡美。每天和你的網路以及有限的預算打交道，你有時覺得自己不單單是在拯救即將沉沒的泰坦尼克號，同時還在設計和建造它的替代品。

　　這是第1000份LiveSecurity電子郵件。為了紀念這個里程碑，我們原來準備寫下自從1999年1月11日傳送我們的第一份“病毒警報”以來，網路安全領域發生的變化。但之後我們又意識到，即使您已經從那些瘋狂的變化中堅持過來了，那麼也許會更想知道這5年以來，安全領域沒有發生變化的東西。

　　在網路技術的萬花筒中，經過5年而沒有改變的實踐法則應該可以歸為“經典”一類。有的時候，當技術的複雜性迷茫了你的雙眼的時候，重新審視一些明顯的法則，可以讓你透過迷霧而看清事物的本質。這些法則是你在感到困惑的時候可以信賴的東西。透過它們，你可以告訴新手基本的操作規則。有鑑於此，我們在這裡總結了5條經過長期實踐證明的安全經驗法則。在過去至少5年的時間裡，它們一直都是行之效的――而且在未來5年的時間裡，它們極有可能也不會發生改變。

　　1. 寫下你的安全策略

　　出色的安全性不可能一蹴而就。如果你的企業文化趨向於凡事都不正規，要想達到出色的安全性基本上就只有靠運氣。要想獲得最好的企業安全，必須經過堅持不懈的努力，以及強大的決心。每個公司都需要一個安全策略。不要等到發生入侵之後才想起來制定這個策略；現在就開始制定一個，才能防患於未然。請訪問WatchGuard的Security Awareness網站，上面提供了一份免費的白皮書，它描述瞭如何擬定您的策略（PDF），同時省去昂貴的專家諮詢費用或者長達幾個季度的自行摸索。

　　2. 防火牆必不可少

　　令人吃驚的是，現在許多組織（最典型就是大學）都在執行著沒有防火牆保護的公共網路。讓我們姑且忽略有關“硬體防火牆好，還是軟體防火牆好”的爭論，無論採用哪一種防火牆，總比沒有防火牆好。這裡的重點在於，連線到Internet的每一個人都需要在其網路入口處採取一定的措施來阻止和丟棄惡意的網路通訊。當你讀到本文的時候，說明您已經有了一個企業防火牆。但是，不要忘了您的遠端辦公人員和移動使用者。最低限度也應該為他們每個人配備一個個人防火牆。雖然Windows XP SP2自帶的防火牆也勉強可用，但為了滿足您的特殊需要，市場上還存在著大量產品可供挑選。最主要的事情就是去使用它們。

　　3. 隨時更新桌面防病毒系統

　　有趣的是，1999年我們鼓勵使用者“每週”檢查一次防病毒更新。如今，各個廠商都提供了自動的簽名更新。只要你一直都連在Internet上，它們就能在一個新的安全威脅被發現後的數小時內下載到您的機器上。但基本的道理是一樣的：良好的安全性要求你在每個桌面都配備防病毒功能，並隨時更新它。雖然在一個網路的閘道器那裡建立防病毒機制能解決一部分問題，但在整個防病毒戰線中，您只能把閘道器防病毒視為一道附加的防線，而不能把它視為桌面防病毒的一個替代品。

　　4. 強化您的伺服器

　　“強化”（Hardening）涉及兩個簡單的實踐法則：購買商業軟體時，刪除您不需要的所有東西；如果不能刪除，就把它禁用。可以透過強化來刪除的典型物件包括示例檔案、使用嚮導演示、先用後付費的捆綁軟體以及在可以預見的將來不準備使用的高階特性。安裝越複雜，越有可能留下安全隱患，所以將您的安裝精簡到不能再精簡的程度。除此之外，裝置和軟體通常配置了預設使用者名稱/密碼訪問、來賓（guest）和匿名帳戶以及預設共享。刪除你不需要的，並修改所有身份驗證憑據的預設值（由於有像這樣的列表，所以駭客也知道它們）。在這個充斥著大量“臃腫件”（bloatware）的年代，這個實踐法則與5年前相比更重要了。

　　5. 補丁策略必不可少

　　2001年，當“紅色程式碼”（Code Red）浮現的時候，它攻擊的一個漏洞，是Microsoft在9個月前就提供了免費補丁以便使用者修補的。但是，這個蠕蟲仍然快速和大面積地蔓延，原因是管理員們沒有下載和安裝這個補丁。今天，從一個新的漏洞被發現開始，到新的大規模攻擊工具問世為止，兩者間隔時間已經縮短了許多。在廠商釋出安全補丁的時候，IT管理員需要做出快速響應。補丁管理目前是最熱門的IT主題之一，但是和許多事情一樣，80/20規則在這裡仍然適用。如果沒有商業評估工具以及較多的預算，可以用已經淘汰掉的“太慢”的機器來組建一個小的測試網路。這樣一來，只需使用企業級工具來建立一個專業實驗室所需的20%的付出，就能獲得一個80%有用的測試環境。Microsoft，Apple以及其他許多組織都基本上每個月提供一次安全補丁。訪問和安裝那些補丁應該成為您的工作內容和計劃任務的一部分。不要事後才採取行動。

　　聽起來很簡單，是嗎？您知道真正做起來要比本文講的難得多。但是，在這個充滿不確定因素的世界中，掌握一些已知不變的基本經驗法則，您將始終有一個準則，把它們當作您工作中的依託。在您產生任何疑慮的時候，請根據它們來整理自己的思路。在未來的1000篇WatchGuard安全電子郵件中，它們將指導我們一直按照正確的路線前進！

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·