解读Cisco年度安全报告中的五个安全措施

ZDNet安全频道原创翻译 转载请注明作者以及出处

David Davis回顾了Cisco长达52页的年度安全报告，并根据报告总结出五个加强网络安全性的措施。
--------------------------------------------------------------------------------------------

　　Cisco的Security Intelligence Operations 小组近日发布了最新的Cisco 2008年度安全报告。这份52页的报告对于Cisco网络管理员来说，包含了太多的有价值的信息和指导内容。为了节约大家阅读这份长篇报告的时间，我先研读了一遍，并摘出了其中五个行动要点，希望大家能够立即行动，保护自己的Cisco网络。

　　Cisco年度安全报告传达了哪些信息

　　很明显，报告中谈到了很多内容，但是我从中总结出了几个最重要的部分与大家分享：

　　· 2008年没有独立的，大型的，众所周知的安全事件(比如“CodeRed蠕虫”或者“Melissa病毒”)。但是没有高危事件，不代表攻击减少了，或者我们觉得更安全了。一般来说，能上晚间新闻的攻击，都是黑客新手们不小心出错才造成的。而高级的恶意攻击者都不会让自己的攻击行为曝光于天下，而是悄悄的完成攻击任务，再不留痕迹的离开。

　　· 混合攻击变得越来越常见也越来越容易成功了。这类攻击实际上是混合了多种攻击手段，比如垃圾邮件，Web服务器跨站脚本，拒绝服务(DoS)攻击等。这个事实告诉我们，我们需要针对各种攻击都时刻保持一种高警戒状态，而不能只针对一两种攻击进行高强度的防御。

　　· 新技术和流行技术成为了攻击的重点。比如移动设备和虚拟主机服务器(虚拟化)都成为了攻击热点。这种现象主要是因为新技术在安全性上都没有经历过时间的考验，很可能具有更多的漏洞。

　　· 毫无疑问攻击者更喜欢攻击那些用户众多的应用，比如社交网络，即时消息软件，以及点到点文件共享软件。

　　· 在安全链中，“人的因素”仍然是最大的薄弱环节，作为网络管理员，我们应该尽力通过技术保护网络安全，同时尽力做好对终端用户的安全辅导工作。

　　另外，让我感兴趣的一点是，拒绝服务攻击和缓冲溢出攻击到目前为止仍然是主要的攻击和威胁手段。这类常见攻击都是很容易预防的，因此我们要确保自己的网络能够抵御此类攻击。

　　我们所要做的五个安全措施是什么?

　　1. 更主动的安全策略

　　我们经常犯的一个错误是定期的维护网络安全，维护周期内就不再过多的关注网络安全了。这种方式相当危险，因此建议应该在每个项目中都考虑到安全问题。由于安全性遍布任何项目，因此在规划任何项目的时候都要确保这是个“安全的项目”。我们首先从安全环(图A)看起。安全环的入口是制定网络安全策略和标准，并立即评估风险。从这里开始，我们逐步开始部署安全性，培训，监督，以及对安全事件做出快速响应。最终回到圆环起点。

　　图 A

安全圆环

　　2. 培训并保护终端用户

　　保护和培训终端用户是网络管理员的职责。由于我们的网络设备和配置只能对终端用户起到部分保护的作用，因此必须要对终端用户进行安全培训。如果你阅读Cisco的报告，就会发现，很多网络攻击案例最初都是由于合法的终端用户的误操作引起的。除了培训，终端用户的网络安全性必须重点关注，诸如内容过滤，反垃圾邮件程序，反病毒软件，以及NAC等，都应该配备。

　　3. 学习Cisco 安全新闻

　　Cisco 建议所有的厂商建立一个安全中心，并且其页面保持安全。Cisco已经这么做了，我们可以通过www.cisco.com/security 获取所有相关安全信息。

　　只有进入这个页面，可能你才会发现，原来最新的Cisco IOS 12.4，也会出现如此众多的漏洞需要打补丁(见 Cisco 安全建议：Multiple Cisco Products Vulnerable to DNS Cache Poisoning Attacks)。我建议大家订阅Cisco的安全信息RSS Feeds 以便及时获取最Cisco设备的最新漏洞情况。

　　4. 为路由器，交换机和防火墙打补丁

　　如果网络工作一切正常，而我们又不需要添加什么新功能，是不是就可以不必为路由器和交换机更新补丁了呢?答案当然是否定的。我们需要时刻保持主动积极的安全态度，就算网络目前是正常的，也要尽快为网络设备安装漏洞补丁。

　　另外，我们甚至可以实现自动化的IOS升级流程。

　　5. 实施漏洞扫描并检查路由器配置是否安全

　　最后一步，我们需要对网络进行漏洞扫描(内部和外部)，以确保我们的网络设备都工作正常，并且具有安全防护能力。

　　总 结

　　去年，人们都在忙着部署 DNSSEC，更强的PCI DSS(数据安全标准)，以及更多能让安全防护更简单的工具。而如今我们又学习了来自Cisco的年度安全报告。希望读者们能够从中吸取专家们的建议，让自己的Cisco网络更加安全。