美國負債表
正當那些金融分析師們爭論我們是否已經進入了全球經濟衰退期的時候�,現實中的我們卻需要直面經濟大幅度萎縮��。較之以往�����,人們?yōu)榱吮W‖F有的好工作要付出更多�����。
在此狀況下��,大多數業(yè)內專家都對未來進行了預測���。不過可想而知����,這些預測結果對IT業(yè)界來講稱不上是一個好消息——全球經濟步入衰退期�����,用戶將盡可能地壓縮費用�����,其中包括在IT領域的投資����。無疑企業(yè)會要求我們的每一個員工都力爭做到少花錢多辦事。誰能幫助企業(yè)在確保企業(yè)資金有效利用的同時提升整體其安全性����,誰就會成為這個企業(yè)的英雄。
可能有很多讀者已經厭倦了我這樣的說教����,但我還是想就安全問題再次建議:企業(yè)運維人員要么花費更多的精力做一些更為基礎性的工作來夯實企業(yè)安全的基石;要么花費更多的金錢獲取那些所謂的具有先進性的安全防御設備,而這些設備的防御效果卻未得到證實�����。選擇前者無疑要比選擇后者更實用一些。
那么哪些是基礎性工作呢?
梳理企業(yè)IT資產 在與很多企業(yè)運維人員進行交流時���,有一個現象讓筆者驚詫不已–很多公司對自身的IT資產(包括硬件和軟件)沒有一個準確的庫存清單�。試想一下��,假如你連一個IT設備是否存在于你的單位中�,你又怎么能覺得是否對這個設備制定有效的保護計劃呢?因此對企業(yè)IT資產實施清理,做到心中有數����,是企業(yè)提升安全防護能力的首要條件。當然這里所謂的IT資產不僅是那些硬件設備���,還包括貴公司已安裝的所有軟件和服務。
刪除不必要的軟件和服務 每安裝一個軟件程序或者使用一種服務無疑就給黑客提供了一個入侵的潛在機會�����。如果你確認這些軟件或者服務對你的公司沒有什么必要的話����,建議你請這些沒有必要的服務項禁用,并將用不到的軟件卸載����。這無疑可以大大減少企業(yè)網絡終端設備被流氓軟件等惡意程序操控的機會�。
準備漏洞修補清單 為了以后維護升級和修補漏洞方便��,你需要準備一份清單���。這份清單所包含的內容最大特點是它們年年都需要經常性地進行補丁升級�。這份清單應該包括貴公司使用的操作系統文件及版本信息����、大型的應用系統軟件、瀏覽器加載項以及固件等;除了軟件之外�����,還應該包括安全設備���,如防火墻��、反垃圾郵件設備等需要策略升級的硬件產品;甚至還要包括一些智能電子設備�,即貴公司購買的具有嵌入式操作系統的設備��。你單位購買的復印件或者是多功能打印機,假若這些設備可以利用瀏覽器進行訪問控制的話��,那么就意味著這些設備是在運行Web服務器����,它們無疑也要列入清單之中。
剔除"僵尸"賬戶 對活動賬戶進行審查����,刪除那些不常用的。請確保這些保留下來的賬戶��,其權限是業(yè)務所必需的����,不需要的權限則要一律禁止。針對現有的程序���,你需要進行一次系統的清理:這些系統運行之后�����,你就會發(fā)現用戶的權限,并發(fā)現哪些用戶得到了不應該賦予的權限�。
同時,你還要提醒這些賬戶的使用者注意密碼的安全性問題。安全的密碼首先要具有一定的長度( 10個或更多字符長);其次要有一定的時效限制����,即密碼期限最長不要超過90天。最后就是���,要禁止用戶使用弱口令(如123��、abc等)�,建議他們使用更加安全的口令�。(見《弱口令就是這樣出爐的》)
巧妙利用免費工具軟件 由午夜研究實驗室研發(fā)的Depant,是個不錯的免費小工具���,它利用Nmap����、Hydra以及互聯網上最流行的默認密碼列表來查找網絡設備中的密碼����。這樣,你就可以檢查企業(yè)內部網絡中的各種設備是否使用的是默認密碼���,從而將這些使用出廠密碼設置的設備進行密碼更改�。此工具設計原理非常的簡單,實用性卻更讓人驚訝�����,其效果十分明顯��。我們真的應該感謝午夜研究實驗室�。
保護好單位的無線網絡 目前很多企業(yè)網管都在找各種各樣的借口,不使用WPA2��、802.11i����、802.1x等能對無線網絡起到一定安全保護作用的網絡協議。需要注意的是�����,這里提到的無線網絡不僅是公司內部使用的無線網絡����,也包括給到訪客戶使用的無線網絡。這兩者都應該得到有效防護���。
為了更好的保護公司的無線網絡����,你還應該要用無線網絡終端用戶關閉Ad Hoc網絡(原來是一種分布式的無線網絡��,與靠路由器轉發(fā)數據包的有線網絡和靠AP來轉發(fā)數據包的無線網絡不同��,任何一個節(jié)點都可以為其它的節(jié)點轉發(fā)數據包)功能����。另外,你還可以利用一些安全的管理工具對網絡內的電腦實施強制性的安全政策�����。
記住����,IT運維工作需要的更聰明,而不是更辛苦��。
安全記錄挖掘提早發(fā)現隱患 最后��,對相關安全記錄進行智能分析和數據挖掘�����,以找到你真正關注的關鍵事件點�����。研究表明���,一些企業(yè)雖然購買了昂貴入侵檢測設備����,并從這些設備上獲得了全面的安全日子��,但由于運維人員對這些日志重視程度不夠����,導致安全事故在萌芽階段沒有被及時發(fā)現,以至于事故后果嚴重�。
現在無論你是一個大型用戶的信息安全管理人員,還是一個小企業(yè)的網管�����,都應該知道你們公司信息安全的薄弱環(huán)節(jié)是在貴公司網絡的安全防御系統上��。在目前經濟情況下�,將這些薄弱環(huán)節(jié)夯實��,將安全漏洞堵住��,等到經濟好轉之時,相信貴公司會取得更大的成功��。
