我們時(shí)刻都面臨著網(wǎng)絡(luò)安全問(wèn)題，每天都要防止惡意郵件的入侵，還要擔(dān)心系統(tǒng)遭受zero-day病毒的攻擊。除了來(lái)自外部的攻擊以外，還要考慮各種各樣來(lái)自內(nèi)部的威脅，比如把感染了病毒的筆記本電腦拿到防火墻內(nèi)部來(lái)使用。

面對(duì)如此壓力，我們應(yīng)該采取什么樣的舉措才能讓2007年成為安全的一年？我們要防止重蹈過(guò)去的覆轍，不能把時(shí)間浪費(fèi)在處理病毒泛濫帶來(lái)的可怕后果上，不能再使用大量的時(shí)間進(jìn)行頭疼的系統(tǒng)清理?，F(xiàn)在讓我來(lái)介紹一下我認(rèn)為的應(yīng)該采取的一些措施。

在這里我不會(huì)深入介紹近來(lái)在網(wǎng)絡(luò)安全領(lǐng)域中的一些概念，比如“unified threat management”或者“network admission control”，這是因?yàn)槲覀兊慕裹c(diǎn)是七種措施而不是向大家推薦七種工具。比如，我認(rèn)為加密解密的應(yīng)用是一項(xiàng)重要的舉措，而不是把它當(dāng)作一種工具來(lái)進(jìn)行介紹。我只是介紹這種措施，相信大家針對(duì)各自不同的情況可以找到適合自己的相應(yīng)工具。事實(shí)上目前這樣的工具，無(wú)論是商業(yè)工具還是開(kāi)源工具都很多。

下面是我所列出的七項(xiàng)舉措，按照重要的程度進(jìn)行排列。
1) 制定實(shí)施企業(yè)安全政策
2) 開(kāi)展安全意識(shí)培訓(xùn)
3) 經(jīng)常開(kāi)展信息安全自我評(píng)估
4) 進(jìn)行有規(guī)律的公司自我評(píng)估
5) 在全公司范圍能應(yīng)用加密解密技術(shù)
6) 估計(jì)、保護(hù)、管理和跟蹤所有公司資產(chǎn)
7) 考察和測(cè)試公司業(yè)務(wù)連續(xù)性和應(yīng)急規(guī)劃

上面列出的這些舉措并不是全部，還有很多其他舉措我沒(méi)有列舉出來(lái)。我只列舉了上面七項(xiàng)措施是因?yàn)閷?duì)它們的實(shí)施可以涵蓋了對(duì)大部分的風(fēng)險(xiǎn)的解除，如果你一一實(shí)施了這七項(xiàng)措施，那么很快就能看見(jiàn)自己的系統(tǒng)在網(wǎng)絡(luò)中安全性的提高。

下面對(duì)這七項(xiàng)舉措進(jìn)行詳細(xì)地說(shuō)明。

1) 制定實(shí)施企業(yè)安全政策

如果你的公司目前還沒(méi)有任何安全政策，那么現(xiàn)在是時(shí)候制定一部了。目前有很多非常好的安全政策模式可以直接拿來(lái)使用，大多數(shù)這樣的模式都是免費(fèi)的，部分會(huì)收取很少的費(fèi)用。這些模式中我最喜歡的是COBIT模式和ISO

27001/17799模式。前者是應(yīng)用于電子商務(wù)領(lǐng)域的PCI模式，后者則是一個(gè)已經(jīng)相當(dāng)成熟的國(guó)際標(biāo)準(zhǔn)模式。這些模式都可以作為一個(gè)很好的開(kāi)端，只要當(dāng)你開(kāi)始使用這些模式，但是很快你就會(huì)發(fā)現(xiàn)自己需要對(duì)它們進(jìn)行具體化，擴(kuò)充或者修改。這是為了讓公司中任何一個(gè)人都可以理解這些政策。一般而言，公司中的大部分都不是信息安全方面的專家，因此需要制定一套通俗易懂的政策，這些政策要考慮到公司中每一個(gè)部門的具體情況，而且要讓所有人都可以理解和執(zhí)行。例如，如果是對(duì)于IT公司來(lái)說(shuō)，把標(biāo)準(zhǔn)模式具體化，需要你的CIO來(lái)協(xié)助制定一套網(wǎng)絡(luò)安全政策。

如果覺(jué)得這些標(biāo)準(zhǔn)的模式對(duì)于你而言太紛繁復(fù)雜了，那么可以考慮從公司已有的安全政策開(kāi)始。但是有一個(gè)原則，那就是這個(gè)政策必須覆蓋所有可能的行為，哪怕剛開(kāi)始的時(shí)候這些政策總共只有一頁(yè)紙的內(nèi)容，那么作為大綱它也必須包含基本的規(guī)則，讓所有的行為都有所依據(jù)?；镜囊?guī)則需要包括類似于權(quán)限控制，密碼管理，災(zāi)備恢復(fù)等等。舉個(gè)例子，你必須有一條政策來(lái)說(shuō)明在突然事故中如何備份商業(yè)數(shù)據(jù)和客戶私人數(shù)據(jù)，如何為系統(tǒng)建立鏡像等等。

制定了安全政策之后還需要做哪些工作呢？你還需要同政策的執(zhí)行者一起考慮這樣的問(wèn)題，就是如果有人違反了這些政策該怎么辦？違反安全政策的行為是惡意的嗎？例如，政策中規(guī)定數(shù)據(jù)庫(kù)中數(shù)據(jù)是只允許察看的，如果有一個(gè)員工違反了這個(gè)政策，把數(shù)據(jù)庫(kù)中的記載雇員情況的數(shù)據(jù)拷貝出來(lái)，并且張貼在公共網(wǎng)站上。如果遇到這樣的問(wèn)題，你該怎么辦？事實(shí)上類似這樣事件的發(fā)生，并不一定是源于惡意的泄漏機(jī)密，而是源自政策制定的不完整，沒(méi)有讓所有員工都了解這一政策，或者是沒(méi)有明確地規(guī)定違反政策所應(yīng)該采取的措施。你應(yīng)該讓所有的員工都了解這一政策并且明確規(guī)定違反這一政策的后果。

2) 開(kāi)展安全意識(shí)培訓(xùn)

我們無(wú)數(shù)次地看見(jiàn)這樣的事情，很多內(nèi)部員工在不知情的情況下受到網(wǎng)絡(luò)上其他人的攻擊，比如網(wǎng)絡(luò)釣魚(yú)等，由此導(dǎo)致了公司內(nèi)部數(shù)據(jù)的泄漏。比如一些員工喜歡瀏覽各種新聞網(wǎng)頁(yè)，或者使用即時(shí)消息工具聊天，他們都有可能成為受到攻擊的目標(biāo)。他們可能不了解密碼的設(shè)置需要注意些什么，不知道為什么不能打開(kāi)未知地址發(fā)來(lái)的郵件中的附件。你需要對(duì)公司員工進(jìn)行這方面的培訓(xùn)，指導(dǎo)他們正確使用公司的資源，保護(hù)公司的信息安全。

進(jìn)行專門的課程培訓(xùn)，讓這些培訓(xùn)在輕松的環(huán)境下進(jìn)行。結(jié)合實(shí)際情況介紹一些安全常識(shí)。比如，向他們介紹在使用即時(shí)通信工具的時(shí)候應(yīng)該注意些什么。或者當(dāng)你在做郵件日志記錄的時(shí)候往往需要按照一定的規(guī)范進(jìn)行，這時(shí)候告訴員工們你都做了些什么樣的工作，以及為什么要這樣做。通過(guò)一些現(xiàn)實(shí)的例子來(lái)告訴他們?cè)诰o急情況下應(yīng)該怎么辦。讓員工們理解為什么要求定期更換自己的密碼，為什么不能把自己的密碼寫(xiě)在便箋紙上。

整理出一套常見(jiàn)的問(wèn)題解答，同時(shí)采取其他一些獎(jiǎng)勵(lì)措施，讓員工們時(shí)刻保持對(duì)信息安全的興趣，長(zhǎng)此以往，能讓員工們?cè)谌粘５墓ぷ髦叙B(yǎng)成良好的遵守安全政策的習(xí)慣。這是我們的真正目標(biāo)。

目前有很多進(jìn)行專門安全意識(shí)培訓(xùn)的公司，他們往往可以提供一些免費(fèi)的資料，介紹了他們可以提供的培訓(xùn)的內(nèi)容。另外還有一些安全手冊(cè)一類的海報(bào)或者小卡片，可以隨意貼在辦公桌前，營(yíng)造一個(gè)能時(shí)刻提醒員工信息安全重要性的環(huán)境。

3) 經(jīng)常開(kāi)展信息安全自我評(píng)估

你最近一次檢查防火墻和入侵防御系統(tǒng)（IPS）的補(bǔ)丁和更新是否完成是在什么時(shí)候？

大多數(shù)的入侵防御系統(tǒng)都可以自動(dòng)更新，但是至少你要檢查系統(tǒng)地這項(xiàng)功能是被激活的。你是否檢查了是否存在入侵網(wǎng)絡(luò)的無(wú)線設(shè)備？每天有多少筆記本電腦會(huì)進(jìn)出于公司？這些移動(dòng)設(shè)備是否都使用了防火墻是否更新了病毒庫(kù)？等等。

MITRE 是由美國(guó)國(guó)土安全部資助的一個(gè)項(xiàng)目，用來(lái)繼續(xù)發(fā)展CVE系統(tǒng)（the Common Vulnerabilities and Exposures）。這個(gè)系統(tǒng)已經(jīng)有八年歷史了，它已經(jīng)被接受為跟蹤計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備缺陷的國(guó)際標(biāo)準(zhǔn)。可以以CVE的條款為依據(jù)，看看在你的所有機(jī)器中有多少至少包含一條CVE？有關(guān)CVE的詳細(xì)信息可以在美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的網(wǎng)站上找到。NIST擁有一系列實(shí)用的指導(dǎo)系統(tǒng)安裝配置的條款，這些條款叫做STIGs，它們都被美國(guó)很多聯(lián)邦政府大量采用。

我們可以好好利用已有的這些資源。美國(guó)國(guó)防信息系統(tǒng)局（DISA）提供了面向公眾的直接對(duì)STIGs的訪問(wèn)，在DISA的網(wǎng)站上可以注冊(cè)加入“STIG-News”郵件列表，這樣隨時(shí)能得到有關(guān)STIGs的最新信息。

你現(xiàn)在就可以開(kāi)始研究一下STIG中有關(guān)windows服務(wù)器中的內(nèi)容，檢查一下是否能夠?qū)δ愕姆?wù)器提供一些原來(lái)你沒(méi)有考慮到的配置建議。當(dāng)然，類似的服務(wù)器設(shè)置指導(dǎo)或者條款還有很多，事實(shí)上他們中間的任何一個(gè)都能夠給你足夠的幫助。

使用上面說(shuō)到的這些條款來(lái)對(duì)自己的系統(tǒng)進(jìn)行一下安全評(píng)估，你可以多少找到一些目前系統(tǒng)中存在的安全漏洞。記錄下這些漏洞，并且制定一個(gè)可行的計(jì)劃和步驟來(lái)彌補(bǔ)這些漏洞，增強(qiáng)網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)安全是一個(gè)過(guò)程而不是一個(gè)產(chǎn)品。因此需要不斷地通過(guò)自我評(píng)估發(fā)現(xiàn)問(wèn)題，在不斷地解決問(wèn)題的過(guò)程中實(shí)現(xiàn)網(wǎng)絡(luò)的安全。

4) 進(jìn)行有規(guī)律的公司自我評(píng)估

現(xiàn)在公司中的各級(jí)主管，CEO，CFO和CIO們都承受著巨大的壓力。一方面因?yàn)樗麄冃枰芾碓絹?lái)越多的員工，需要保護(hù)系統(tǒng)的安全和信息的安全。同時(shí)他們還需要負(fù)責(zé)進(jìn)行IT規(guī)章（IT

compliance）中要求的各方面記錄，以應(yīng)付審核。現(xiàn)在很多公司針對(duì)這一問(wèn)題請(qǐng)專門的顧問(wèn)公司來(lái)協(xié)助解決。但是這些專門的顧問(wèn)公司也不會(huì)承諾他們的工作一定可以通過(guò)審核。在這個(gè)問(wèn)題上倒是沒(méi)有必要浪費(fèi)額外的花銷去請(qǐng)顧問(wèn)公司。

無(wú)論公司是否正在進(jìn)行某個(gè)IT規(guī)章的審核，這些公司都應(yīng)該先自己進(jìn)行一下自我評(píng)估，熟悉那些影響公司日常組織工作的規(guī)范。這些規(guī)范包括銀行界使用的GLBA，健康和保險(xiǎn)業(yè)使用的HIPAA，還有電子商務(wù)上使用的PCI等等。美國(guó)不同的州可能有自己不同的規(guī)范。比如在加利福尼亞州，如果某個(gè)系統(tǒng)被黑客攻破，那么被攻擊的公司必須把這些信息發(fā)布到他們的網(wǎng)站上。同時(shí)還規(guī)定，如果某些用戶的數(shù)據(jù)信息被身份不明的人訪問(wèn)了，那么這些數(shù)據(jù)的管理者必須將此事通知數(shù)據(jù)信息的持有人，比如說(shuō)用戶的姓名，賬號(hào)，駕照號(hào)碼，賬戶信息等。如果是美國(guó)聯(lián)邦政府所屬的機(jī)構(gòu)，則必須遵守13231號(hào)總統(tǒng)令（Executive Order 13231）。該規(guī)范要求這些機(jī)構(gòu)保證信息系統(tǒng)暢通，包括應(yīng)急通信能力以及相關(guān)物理設(shè)備配置等。

保證你的公司符合一定規(guī)范的第一步是記錄下為了保護(hù)數(shù)據(jù)所做的所有工作。這樣才能夠證明你已經(jīng)遵循了必要的規(guī)范，使用了適當(dāng)?shù)墓ぞ?，采取了正確的措施來(lái)對(duì)數(shù)據(jù)安全性進(jìn)行了有效的保護(hù)。在經(jīng)過(guò)一段時(shí)間對(duì)照各種規(guī)范進(jìn)行有規(guī)律的自我檢查和評(píng)估之后，你就能發(fā)現(xiàn)暴露出的可以產(chǎn)生惡意攻擊的問(wèn)題已經(jīng)很少了。如果在這樣的情況下，你的網(wǎng)絡(luò)還是被黑客入侵導(dǎo)致數(shù)據(jù)丟失，至少這時(shí)你已經(jīng)做了所有可以做的事情，并且已經(jīng)把數(shù)據(jù)丟失可能造成的損失降低了最小的程度了。

5) 在全公司范圍能應(yīng)用加密解密技術(shù)

在二次大戰(zhàn)的時(shí)候有一句流行語(yǔ):“口風(fēng)不緊船艦沉”。如果我們觀察一下所有的ID盜竊事件就能發(fā)現(xiàn)，發(fā)生這種事情大部分都是針對(duì)沒(méi)有進(jìn)行加密保護(hù)的系統(tǒng)。以電子商務(wù)網(wǎng)站為例，它之所以能夠被攻擊，不僅僅因?yàn)橄到y(tǒng)本身具有一些公共的漏洞和缺陷，同時(shí)也因?yàn)殡娮由虅?wù)公司沒(méi)有認(rèn)識(shí)到數(shù)據(jù)加密的重要性。說(shuō)到數(shù)據(jù)加密，簡(jiǎn)單通過(guò)SSL保護(hù)會(huì)話數(shù)據(jù)是遠(yuǎn)遠(yuǎn)不夠的。

一般的電子商務(wù)網(wǎng)站的數(shù)據(jù)庫(kù)服務(wù)器是最招黑客們喜歡的。他們可以把用戶的數(shù)據(jù)偷出來(lái)在黑市上銷售，目前這是一個(gè)很大的市場(chǎng)。

首先要做的是檢查一下系統(tǒng)中所有可能的數(shù)據(jù)流通通道，包括即時(shí)消息傳遞，文件拷貝，電子郵件，在線會(huì)議系統(tǒng)。同時(shí)檢查所有數(shù)據(jù)處理的過(guò)程，包括數(shù)據(jù)創(chuàng)建，更改，刪除和恢復(fù)。另外我們需要考慮用戶的數(shù)據(jù)是怎么保存和保護(hù)的？?jī)H僅靠數(shù)據(jù)備份是不夠的。

根據(jù)上面的問(wèn)題，我們需要建立一套VPN，保證網(wǎng)絡(luò)外部與網(wǎng)絡(luò)內(nèi)部的通信是通過(guò)一條加密管道的。另外在數(shù)據(jù)的保存上，可以加密所有的數(shù)據(jù)，從整個(gè)硬盤加密到電子郵件加密或者文件加密，當(dāng)前存在很多現(xiàn)成的工具可以完成這些工作。

使用加密的方式保護(hù)數(shù)據(jù)不是一項(xiàng)輕松的工作，需要考慮密鑰的存儲(chǔ)和訪問(wèn)等問(wèn)題。比如某個(gè)用戶的密鑰和口令丟失了，那么系統(tǒng)必須可以為用戶頒發(fā)新的密鑰和口令，而且需要將使用原來(lái)密鑰加密的數(shù)據(jù)解密，然后使用新的密鑰加密。

你可能會(huì)發(fā)現(xiàn)你現(xiàn)在正在使用的系統(tǒng)就包括加密和解密的功能，你只需要簡(jiǎn)單地在選項(xiàng)前面畫(huà)個(gè)勾就可以啟用這項(xiàng)功能。就像現(xiàn)在的筆記本一樣，如果筆記本丟失了，但是偷竊者沒(méi)有密碼或者密鑰，那么他不能獲取任何數(shù)據(jù)信息。如果有人竊聽(tīng)VoIP的電話，事實(shí)上他聽(tīng)不到任何有用的信息，因?yàn)樵诰W(wǎng)絡(luò)上傳遞的數(shù)據(jù)都被加密了。

6) 估計(jì)、保護(hù)、管理和跟蹤公司中所有IT設(shè)備

你應(yīng)該注意緊密跟蹤和檢查公司中所有的IT設(shè)備，包括VoIP電話系統(tǒng)、筆記本電腦、服務(wù)器和其他網(wǎng)絡(luò)設(shè)備。這些設(shè)備對(duì)于公司的價(jià)值可遠(yuǎn)遠(yuǎn)大于設(shè)備本身的價(jià)值。設(shè)想一下要是有人偷走了一臺(tái)公司的筆記本電腦，那么所損失的電腦上的數(shù)據(jù)需要花多大的代價(jià)才能彌補(bǔ)？或者萬(wàn)一電腦上存放了公司的商業(yè)機(jī)密信息，造成的損失更是不可估量。

為公司的設(shè)備建立一個(gè)完整的清單，這個(gè)清單不但要列出所有的設(shè)備，更重要的是要列出這些設(shè)備的價(jià)值。比如一個(gè)文件服務(wù)器，他的價(jià)值不是簡(jiǎn)單的3000美元，而是存放在它上面的代碼的價(jià)值，可能是20個(gè)人一年工作量的價(jià)值。

為所有的設(shè)備都建立起來(lái)這樣的價(jià)值清單之后，你就能夠很清楚地知道該如何更好地調(diào)配資源保護(hù)這些設(shè)備了。

7) 考察和測(cè)試公司業(yè)務(wù)連續(xù)性和應(yīng)急規(guī)劃

公司業(yè)務(wù)的連續(xù)性就像是“讓燈一直亮著”，災(zāi)備系統(tǒng)就像是說(shuō)“當(dāng)燈滅了的時(shí)候我們?cè)趺崔k？”，我們需要讓等持續(xù)亮著。

你需要經(jīng)常性地測(cè)試一下，看公司業(yè)務(wù)的持續(xù)性怎么樣，災(zāi)備計(jì)劃是不是能夠被很好地實(shí)施。這種測(cè)試最好每年都進(jìn)行幾次，在非業(yè)務(wù)高峰的時(shí)候進(jìn)行，比如周日晚上。

進(jìn)行這樣的測(cè)試最好可以從一些常見(jiàn)問(wèn)題的解決方案開(kāi)始，讓員工們了解如果出現(xiàn)下面的情況該怎么辦。
a) 電源斷電
b) 路由器死機(jī)
c) 電話系統(tǒng)中斷
d) 互聯(lián)網(wǎng)中斷
e) 服務(wù)器掉線
f) 某一硬件設(shè)備故障
g) 某一應(yīng)用程序崩潰
h) 網(wǎng)絡(luò)中出現(xiàn)可以被攻擊的漏洞
i) 空調(diào)故障
j) 自然災(zāi)害
k) 流行感冒席卷全公司

=============================================

原文鏈接：http://www.networkworld.com/columnists/2007/011707miliefsky.html?t51hb

原文作者：Gary S. Miliefsky

原文來(lái)源：Network World