經(jīng)常聽人說安全是一次旅行，而不是目的地。確實(shí)是這樣，因?yàn)樵诠芾砭W(wǎng)絡(luò)資產(chǎn)安全時(shí)，你總是要領(lǐng)先你的對(duì)手(想要竊取、修改和破壞你的數(shù)據(jù)的網(wǎng)絡(luò)罪犯和不滿員工等)一步。你不能停留在一個(gè)地方太久，因?yàn)槟愕膶?duì)手總是會(huì)不斷嘗試新技術(shù)來攻入你的網(wǎng)絡(luò)并獲取數(shù)據(jù)。在很多情況下，攻擊者甚至與網(wǎng)絡(luò)泄漏沒有直接關(guān)系，因?yàn)樽罹咂茐男缘墓敉ǔＪ怯捎惺跈?quán)的內(nèi)部人員發(fā)起的。

好人和壞人總是爭(zhēng)先恐后，有時(shí)候他們?cè)谀闱懊妫袝r(shí)候你又在他們前面。可能更準(zhǔn)確地說，安全是一場(chǎng)競(jìng)賽，與扳手腕比賽類似。然而，盡管安全是一場(chǎng)永遠(yuǎn)不會(huì)結(jié)束的旅行，你需要了解并充分利用沿途的檢查站，這些能夠幫助你改善企業(yè)的整體安全狀態(tài)，并且能夠在任何時(shí)間點(diǎn)評(píng)估你的安全狀態(tài)。在評(píng)估安全性后，你可以作出一些調(diào)整來改變安全配置。

正是出于這些考慮，本文為大家提供了改善安全的八個(gè)技巧：

1、優(yōu)化物理安全

安全行業(yè)有句老話：如果壞人可以獲取計(jì)算機(jī)的物理控制，那就完蛋了。一旦他們拿到物理控制權(quán)，他們就可以使用各種工具來訪問磁盤甚至是內(nèi)存的數(shù)據(jù)，當(dāng)然，他們還可以訪問“p0wnd”計(jì)算機(jī)移出和移入的任何信息。所以說，在考慮部署其他安全方法之前，物理安全是首先要考慮的。

物理安全包括：

進(jìn)入電腦機(jī)房的密鑰、智能卡或者生物識(shí)別門控技術(shù)

對(duì)電腦機(jī)房進(jìn)出情況的視頻記錄

對(duì)電腦機(jī)房進(jìn)出情況的日志記錄和報(bào)告

在電腦機(jī)房的入口和出口部署保安或者其他觀察員

在防止攻擊者攻入你的系統(tǒng)方面，物理安全能發(fā)揮很大作用。但是物理安全只是第一步，我們都非常清楚，如果計(jì)算機(jī)連接到網(wǎng)絡(luò)，壞人不需要物理訪問就能進(jìn)行破壞活動(dòng)。

2、使用基于主機(jī)的防火墻

網(wǎng)絡(luò)防火墻似乎受到極大關(guān)注，網(wǎng)絡(luò)防火墻確實(shí)有優(yōu)點(diǎn)，但是很多人似乎夸大了它的保護(hù)能力。事實(shí)上，現(xiàn)在市面上大多數(shù)防火墻只能提供很小的安全保障，原因之一在于大多數(shù)最嚴(yán)重的攻擊往往來自于網(wǎng)絡(luò)內(nèi)部，所以網(wǎng)絡(luò)防火墻阻止外部用戶訪問內(nèi)部網(wǎng)資源的功能似乎沒有多大作用。

相比之下，基于主機(jī)的防火墻就能夠保護(hù)企業(yè)資產(chǎn)阻止所有攻擊者，無論時(shí)內(nèi)部還是外部攻擊者。此外，高級(jí)主機(jī)防火墻還可以配置為只允許計(jì)算機(jī)向用戶提供的特定服務(wù)的入站連接。這些基于主機(jī)的防火墻(例如具有Advanced Security的Windows防火墻)甚至可以要求用戶或者機(jī)器再網(wǎng)絡(luò)層進(jìn)行身份驗(yàn)證，這樣的話，沒有通過驗(yàn)證或者沒有授權(quán)的用戶就不能進(jìn)入應(yīng)用程序?qū)樱瑧?yīng)用程序?qū)訒r(shí)大多數(shù)漏洞存在的地方，也是所有數(shù)據(jù)存儲(chǔ)的地方。

3、將你的網(wǎng)絡(luò)劃分為安全區(qū)

在涉及安全分區(qū)方面來看，前端web防火墻與數(shù)據(jù)庫(kù)防火墻有所不同。托管公共可用文件的文件服務(wù)器與托管機(jī)密營(yíng)銷計(jì)劃的SharePoint服務(wù)器也不相同。出戰(zhàn)SMTP中繼與反向web代理服務(wù)器不同，因?yàn)樗鼈兾挥诓煌陌踩珔^(qū)。

你應(yīng)該將你的資源劃分到不同的安全區(qū)，然后在這些區(qū)之間創(chuàng)建物理或者邏輯分區(qū)。如果你想要使用物理分區(qū)，你應(yīng)該要確保分配到不同區(qū)域的資源有防火墻或者其他網(wǎng)絡(luò)訪問控制設(shè)備來分隔。如果你想要使用邏輯安全分區(qū)，你可以利用IPsec和服務(wù)器以及域名隔離來創(chuàng)建安全區(qū)之間的虛擬分區(qū)。

創(chuàng)建安全區(qū)可以讓你集中安全力量，來保護(hù)最重要的資產(chǎn)。分配給較低安全區(qū)的不太重要的資產(chǎn)同樣也受到了保護(hù)，但是你花在較低安全區(qū)的時(shí)間和精力相對(duì)要少得多，因?yàn)樾孤┑某杀颈容^高安全區(qū)的資產(chǎn)的成本要低得多。

4、對(duì)所有資產(chǎn)執(zhí)行最小特權(quán)

最小權(quán)限原則是指用戶和管理員只能訪問他們的工作需要的資源和控制。用戶只能訪問他們工作需要訪問的網(wǎng)站，他們只能使用工作需要使用的應(yīng)用程序，而管理員只能進(jìn)行符合他們權(quán)限的配置更改。

最近這段時(shí)間，最小權(quán)限的整個(gè)原則似乎已經(jīng)改變了，但是最小權(quán)限的價(jià)值和有效性并沒有改變。對(duì)于每個(gè)特權(quán)級(jí)別，如果用戶或管理員擁有比其需要的更高權(quán)限，就增加了泄漏的風(fēng)險(xiǎn)。用戶要使用ipad連接到企業(yè)資產(chǎn)，并不是好主意，我們經(jīng)常遷就用戶的需求，而不是考慮他們必須的東西。

對(duì)于管理員而言，這個(gè)問題更加重要，因?yàn)樗麄兘?jīng)常具有完整權(quán)限來進(jìn)行任何操作。Exchange管理員、數(shù)據(jù)庫(kù)管理員、SharePoint管理員、CRM管理員和其他服務(wù)管理員都應(yīng)該具有符合他們管理角色的訪問控制權(quán)限。現(xiàn)代應(yīng)用程序允許你將適當(dāng)?shù)臋?quán)限分配給不同層次的管理員，可以利用這個(gè)功能來分配權(quán)限。

對(duì)于最終用戶而言，為他們提供工作需要的服務(wù)和數(shù)據(jù)訪問權(quán)限，防止他們?cè)L問其他資產(chǎn)。這同樣適用于應(yīng)用程序。如果應(yīng)用程序沒有位于批準(zhǔn)名單上，那么使用自動(dòng)化的方法來防止應(yīng)用程序安裝。

5、加密所有信息

使用BitLocker進(jìn)行全磁盤加密可以很好的保護(hù)你的關(guān)鍵信息，甚至還可以幫助你防止物理泄漏。例如，如果有人從你的服務(wù)器機(jī)房竊取了一臺(tái)服務(wù)器，攻擊者會(huì)將驅(qū)動(dòng)裝再服務(wù)器上，讀取文件系統(tǒng)，也就是所謂的離線攻擊。好消息是使用BitLocker加密磁盤可以防止離線攻擊。

但是整個(gè)磁盤加密不再僅限于內(nèi)置硬盤驅(qū)動(dòng)。在Windows7和Windows Server 2008 R2中，你可以在USB密鑰、USB驅(qū)動(dòng)和其他類型的可移動(dòng)媒介上使用磁盤加密。制定政策要求存儲(chǔ)了公司數(shù)據(jù)的可移動(dòng)媒介必須使用BitLocker加密。

連接到用戶智能手機(jī)的可移動(dòng)媒介也應(yīng)該被加密。政策應(yīng)該要求對(duì)智能手機(jī)操作系統(tǒng)的使用必須支持microSD卡加密，如果公司數(shù)據(jù)將存儲(chǔ)在上面。存儲(chǔ)在手機(jī)內(nèi)置內(nèi)存的數(shù)據(jù)也應(yīng)該被加密，用戶應(yīng)該使用可以進(jìn)行遠(yuǎn)程清除的手機(jī)，以防丟失和被盜的情況。

6、更新、更新、更新!

可能你已經(jīng)知道這一點(diǎn)，但是提高企業(yè)整體安全狀態(tài)的最有效的方法之一就是保持應(yīng)用程序和安全更新的更新。雖然很多管理員會(huì)抱怨微軟產(chǎn)品經(jīng)常需要更新，事實(shí)上，微軟比其他供應(yīng)商更具安全意識(shí)，因?yàn)樗麄兎浅Ｗ⒅剀浖拢绻闶褂玫能浖墓?yīng)商很少更新，不要認(rèn)為這樣很安全。安全更新其實(shí)是供應(yīng)商對(duì)其軟件安全問題關(guān)注程度的反映。

更新應(yīng)該盡可能快地完成，因?yàn)橐坏┌踩a(bǔ)丁被發(fā)現(xiàn)，攻擊者和黑客就已經(jīng)知道漏洞，并會(huì)試圖在補(bǔ)丁發(fā)布和用戶安裝補(bǔ)丁的時(shí)間內(nèi)利用它們。這也就是“零日”期間，這也是漏洞最容易被利用的時(shí)間。如果你使用自動(dòng)更新，那么漏洞利用期就會(huì)小得多。

然而，很多公司需要先對(duì)安全更新進(jìn)行測(cè)試，因?yàn)樗麄冇泻芏鄻I(yè)務(wù)應(yīng)用程序可能會(huì)受到每次安全更新的影響，所以他們需要提前測(cè)試兼容性問題。在這種情況下，你可以通過部署外圍設(shè)備(例如Microsoft威脅管理網(wǎng)管2010,專門用于阻止已知微軟漏洞)，這樣就可以縮短關(guān)鍵漏洞利用時(shí)期。

7、使用安全身份驗(yàn)證機(jī)制

密碼破解技術(shù)的不斷發(fā)展使短密碼很容易被發(fā)現(xiàn)，先進(jìn)的破解技術(shù)甚至能夠破解強(qiáng)度高的密碼。如果你必須使用帳戶和密碼來作用你唯一的身份驗(yàn)證機(jī)制，那么必須要求所有密碼必須使15個(gè)或更多字符組成，包括大寫、小寫、數(shù)字和非字母數(shù)字字符。使用對(duì)于用戶有意義的復(fù)雜密碼(通常簡(jiǎn)稱為“密碼短語”)可以讓用戶更好地記住密碼。但是在越來越移動(dòng)化的世界，還有另一個(gè)問題。雖然記住長(zhǎng)密碼短語很容易，但是將這么長(zhǎng)的密碼輸入智能手機(jī)或者其他設(shè)備非常麻煩。

更好的方法就是雙因素身份驗(yàn)證，這要求用戶使用某種設(shè)備(例如智能卡或者令牌)以及密碼(在2FA空間有時(shí)也被稱為PIN)。當(dāng)使用雙因素身份驗(yàn)證時(shí)，即使密碼被破解了，仍然意義不大，除非攻擊者拿到了設(shè)備本身。對(duì)于更安全的部署，應(yīng)該添加額外的因素，例如語音識(shí)別、面部識(shí)別、指紋或者視網(wǎng)膜識(shí)別。

8、Secure Against Data Leakage

隨著云計(jì)算對(duì)我們的生活帶來越來越大的影響，基于網(wǎng)絡(luò)的安全將開始對(duì)你的安全設(shè)計(jì)和購(gòu)買具有更小的影響，因?yàn)榘踩珜⑿枰c數(shù)據(jù)更加靠近。這也是數(shù)據(jù)泄漏保護(hù)的用武之地。你可以對(duì)信息進(jìn)行嚴(yán)格訪問控制，所以只有授權(quán)用戶能夠訪問信息。但是然后呢?授權(quán)用戶可以怎樣使用這個(gè)信息?可以將信息傳給未授權(quán)用戶嗎?用戶可以打印出來或者郵寄給別人嗎?用戶對(duì)其進(jìn)行修改并放回存儲(chǔ)庫(kù)，而該信息應(yīng)該設(shè)置為只讀?

考慮一下如何保護(hù)授權(quán)用戶對(duì)數(shù)據(jù)的操作。如果你在使用微軟Office和SharePoint和Exchange，你可以利用微軟權(quán)限管理服務(wù)來制定政策，控制用戶對(duì)信息的操作。

總結(jié)

本文中，我們?yōu)榇蠹姨峁┝颂岣哒w安全狀態(tài)的八個(gè)技巧。你可能已經(jīng)知道所有技巧，或者部分技巧，但沒有部署全部安全技巧和方法。這些方法都是很容易部署的，請(qǐng)安排一些時(shí)間來學(xué)習(xí)這些技巧。