不需要昂貴的、復(fù)雜的安全系統(tǒng);僅僅是一些簡單的檢查和管理就能發(fā)揮很高的效用。
1、避免安裝或運行未經(jīng)認證的不明軟件或內(nèi)容。了解電腦上正在運行哪些程序以及它們?yōu)槭裁催\行。如果你不知道你的系統(tǒng)上都有什么,你就不能充分對你的系統(tǒng)進行保護。
2、不要讓非管理員用戶以系統(tǒng)管理員或者根權(quán)限身份登錄。
3、保護你的e-mail。將所有進入的HTML內(nèi)容轉(zhuǎn)換為普通文本格式,阻止所有文件默認文件擴展,除了少數(shù)你希望允許通過的。
4、保護你的密碼。設(shè)置較長的密碼,普通用戶來說,以10個字符或更長為佳,系統(tǒng)管理帳戶為15個字符或更長為佳。執(zhí)行帳戶鎖定,甚哪怕就只是一分鐘的。在Windows系統(tǒng)里,禁用LM密碼hash。在Unix/Linux下,使用較新的crypt(3)hash,MD5類型hash,或者如果你的操作系統(tǒng)支持的話,選擇更好的bcrypt hash。
5、盡可能地使用默認禁用和最小化權(quán)限。當執(zhí)行最小化權(quán)限的安全策略的時候,使用基于規(guī)則的安全。你應(yīng)當一個IT規(guī)則一個組,而不是只有一個“IT安全組”。
6、定義和加強安全域。誰需要訪問什么?什么類型的通信連接是合法的?回答這些問題然后設(shè)計周邊防御。定義基準值,記錄反常的通信量。
7、在可能的情況下加密所有的機密數(shù)據(jù),特別是在便攜式電腦和存儲設(shè)備上。沒有任何借口偷這個懶--你因丟失的數(shù)據(jù)而惡化的公共關(guān)系就可以說明一切了(當然,你可以看看AT&T,Veteran Affair美國部門,美國銀行的下場)。
8、操作系統(tǒng)和所有程序的升級補丁管理。自我一下,你最近有沒有升級你的Macromedia Flash,Real Player,和Adobe Acrobat呢?
9、盡可能地在網(wǎng)關(guān)和主機上裝配反病毒、反垃圾郵件和反間諜套件。
10、模糊化地設(shè)置安全信息。重命名你的管理員和根權(quán)限帳戶。不要以ExchangeAdmin來命名一個帳號。不要將你的文件服務(wù)器命名為如FS1,Exchange1或者GatewaySrv1登。在條件允許時將服務(wù)置于非默認端口:比如,你可以為內(nèi)部用戶和商業(yè)伙伴將SSH服務(wù)移到30456端口,RDP到30389,HTTP到30080等等。
11、在你的網(wǎng)絡(luò)上掃描并調(diào)查未知TCP或者UDP端口監(jiān)聽。
12、跟蹤記錄每個用戶在Internet上所瀏覽的區(qū)域和時間。將結(jié)果置于一個人人都可以接觸到的實時在線報告中。這個建議就是使用戶對自己互聯(lián)網(wǎng)沖浪習慣進行自我管理(我敢打賭,這樣同樣會帶來生產(chǎn)力上的突然提高)。
13、自動化安全策略。如果你不設(shè)為自動的話,它將處于一個不和諧的狀態(tài)。
14、對全體雇員進行有關(guān)信息安全的教育,并制定合適的策略和程序。習慣于變化的和結(jié)構(gòu)化的管理。對于不依從者經(jīng)行嚴厲處罰。
總結(jié):
我知道以上的建議并不完全,還應(yīng)考慮物理安全等,但這已經(jīng)是個不錯的開始了。選擇一個建議并專注地將它從頭到尾完成。然后再開始另一個。跳過那些你不能完成的,集中到你所能完成的建議上去。如果你確實必需昂貴的IDS,就去買吧--但先完成這些基礎(chǔ)的工作吧。