企业内避免IT安全出现漏洞的10要诀

ZDNet安全频道原创翻译 转载请注明作者以及出处

彻底消除安全漏洞可能是一件不可能完成的任务——但是，这并不意味着你不应该尽一切可能来阻止攻击。在本文中，迈克尔·卡斯勒将介绍十种简便易行的方法，帮助你的公司消除威胁。
-------------------------------------------------------------------------------------------

　　最近，我参加了一场主题为如何防止安全漏洞的研讨会。通过会议上的讨论，我发现了一个问题：在很长的一段时间里，人们一直在侵犯他人的安全。这样的想法实在是太大胆了，我们最终还能做些什么呢?也许，我们应该采用直接的方法——但应该怎么和人类的天性做斗争呢?

　　具体一些来说，从过去到将来安全都是和努力相关的。如果想偷一辆汽车，在一辆车门没有上锁发动机正在运行的和一辆已经上锁并且打开了警报的中进行选择的话，我的决定肯定不会是后者。我认为，大家都同意，在大多数情况下，受到越好保护的汽车应该是越安全的。

　　基于这一前提，我创建了一张列表，包含了可以大大地提高网络和计算机的安全性的十种方法。

--------------------------------------------------------------------------------------------

　　定 义

　　在开始讨论前，让我们确定相应的范围。作为专业术语，安全漏洞包含了各种各样的含义，但就我的想法而言，我们讨论的是涉及到信息技术领域的问题。因此，我们采用的定义如下：

　　安全漏洞：指的是个人故意超过或滥用网络、系统或数据存取方式的一种情况，可能对公司数据、系统或业务安全带来消极影响。

　　我喜欢这一定义，因为它非常明确，所有对现实世界安全造成消极影响的行为，无论是窃取个人财务信息，还是公司商业秘密落入坏人之手之类的情况都被包括在内了。

--------------------------------------------------------------------------------------------

　　1. 更换默认密码

　　如此之多的设备和应用程序使用的还是默认的用户名和密码，这种情况多少有些令人惊讶。网络攻击者也清楚地认识到这一点。如果你不相信的话，可以在网上搜索默认密码，就会明白更换它们的重要性了。采用有效的密码策略是最好的办法;对于网络安全来说，任何字符串密码与默认密码相比，都是向正确方向迈出的一大步。

　　2. 不要重复使用密码

　　我已经不止一次遇到过这样的情况了，相同的用户名/密码组合被频繁地重复使用。我知道这样做可以带来很大的方便。但是既然我都知道这样的情况，我相信不法之徒也会了解到这一点。如果他们获得了一个用户名/密码组合，就会在其它地方进行尝试。不要为他们提供方便。

　　很多有用的密码助手只需要你记住可以进入的主密码就可以了。此后，只要选择对应的项目就可以完成整个操作。

　　举例来说，图A显示的就是我使用的密码助手Password　Safe的使用界面。它是一个开源工具，由布鲁斯·施耐尔推荐。

　　图 A

　　3、在员工离职时，立即禁用其帐户

　　当攻击者获得内部信息的时间，更容易造成安全漏洞。因此，必须在员工离开的时间，禁用其使用的所有帐户。这与员工的整个离职过程是否友好并没有关系。

　　确定基线特征

　　当年，在我遇到解决不了的问题打电话给导师的时间，他的第一个问题总是，“什么情况发生了改变么?”。在经过几次后，他这样做的目的终于被我理解了，我也开始注意基线特征了。建立基线有两个目的：

　　· 了解什么情况属于系统的正常运行状态

　　· 简化发现不正常运行的搜索步骤

　　我在这里对基线进行详细的说明，是因为在下面三个主题中，它可以为所有人提供很大的帮助。

　　4、审查安全日志

　　优秀的系统管理员了解基线的位置并且会天天对系统日志进行审查。由于本文讲述的是安全漏洞的相关内容，因此，在这里，我特别强调安全日志，因为它们是安全的第一道防线。

　　举例来说，当审查Windows服务器安全日志时，系统管理员发现了五百二十九起事件(未知用户名或错误密码导致的登陆失败)。这就是一个警告。系统管理员应该确认是有用户忘记了密码，还是攻击者正试图进行连接。

　　Windows安全日志的内容晦涩难懂，因此，选择一些参考指南是非常有帮助的。这就是兰迪·富兰克林·史密斯可以提供帮助的原因，在他提供的页面上，可以对Windows安全日志中的所有事件进行确认。兰迪也提供了免费的参考图，可以用来解释安全日志中记录的事件。

　　5、定时进行网络扫描

　　对于系统基线目录来说，对网络扫描结果进行对比是非常重要的。它可以让系统管理员了解网络的实际情况，并在流氓设备出现在网络中时立即给予警告。

　　扫描网络的一种方法是使用微软内置的net　view命令。另一种方法，也是我的选择，是采用NetView之类的免费工具。他们采用了图形用户截面，拥有的功能也更加丰富。

　　6、监控网络外部流量

　　恶意软件正在变得越来越隐蔽，以防止被发现。对其进行监测的一种方法就是监控网络外部流量。当外部数据流量偏离正常的基线时，就需要提高警惕了。说实话，这可能是敏感信息被窃取或电子邮件群发器正在滥发邮件的唯一迹象了。

　　大多数防火墙软件都可以对流量进行监测。高级的防火墙甚至可以创建类似图B的计划报告。

　　图 B

　　7、定期安装补丁和更新软件

　　保证操作系统及应用软件的及时更新，是挫败来自网络外部边界(因特网)攻击企图的最佳方式。就这么简单。如果操作系统和应用软件不存在缺陷，漏洞就无法起作用。

　　采用微软基线安全分析器或Secunia提供的一种工具是确保安全的最有效方法。它们可以对补丁的情况进行分析和管理，确保所有必须的部分都已经安装。

　　现在来到了重点主题

　　截至目前为止，所有的措施都是在IT部门内部实施的。而在下面，情况会有所改变，最后的三项措施需要来自公司其他部门的配合。整个过程将会是艰难的，但实现的效果也是非常好的。

　　8、落实安全规划

　　无论公司的规模有多大，建立安全规划都是非常有价值的。原因如下：

　　· 所有人都在同样的模式下进行工作，这中间是存在连续性的。

　　· 当公司出现事故时，安全规划可以提供坚实的解决方案时，让大家不必太着急。

　　安全规划需要根据公司的实际情况进行定制。为了确保实际需求被了解，我在这里提供了两个帮助专题，一个是由微软提供的通用方案，另一个是美国国家标准技术研究院提供的专业类型的方案

　　9、提高用户的信息安全意识

　　在我的客户中，有一部分非常重视用户培训，但其他的并不在意。就如同黑夜和白天的区别，培训的效果被证明是明显的。网络上就充斥了大量可以说明用户培训可以带来好处的文章，不过它们的主题通常是如何在工作环境下提高用户的效率。

　　而在这里，我说的用户教育是侧重于调动用户的积极性，更加关注网络安全。来自赛门铁克的凯瑟琳·安科曾经写过一篇名为《员工意识——安全中缺少的环节》，对于为什么要建立计算机安全培训计划，它已经做出了最好的解释。

　　10、获得高层管理人员的支持

　　作为最重要的一点，我将其放在最后予以强调。当需要建立安全策略和购买需要的技术时，获取来自高层管理人员的支持是非常重要的。在这里需要注意的另一个问题是，高层管理人员通常支持安全方面的策略，但会认为他们不需要遵循。

　　我发现有一件事情可以改变高层管理人员的立场，这就是让他们亲自参与安全漏洞的处理工作(获得认可)，或者利用WebSphere监控软件TPV进行安全审核。根据我的经验，唤醒大家的参与意识是最好的结果。

　　结 论

　　彻底消除安全漏洞可能确实是一件不可能完成的任务。但对于这个结论，我是持这种态度的，“为什么不尝试一下呢”。采用上面给出的十项要诀，可以大大地提高网络的安全性，让安全漏洞出现的几率变得更低。