夯實網絡安全基礎 堅守三大原則
責編:penggao |2015-06-11 10:28:46我們都知道:如果某人徹夜開著車庫門,那他裝了再好的家庭安防系統都沒用;車鑰匙插著,車窗開著,那再貴的汽車報警器也幫不了你。下面我們列出能夠反映安全管理基礎的3個問題。你的答案將幫你夯實網絡安全基礎。
網絡安全沒必要十分昂貴,也不需要太過復雜。是的,有很多極好的產品、服務和咨詢顧問供你選擇,備戰黑客、內部威脅、數據泄露和惡意軟件也不應該成為一家公司首要考慮的問題。如果沒找準培育網絡安全的土壤,新奇的技術并不能幫你什么。關于網絡安全,我們來談談一些人們極少問到的問題吧。或許就是因為這些問題都太基本,因此才沒被認真考慮吧。
原則一:網絡安全策略是最新的嗎?
創建全面安全策略的過程有可能是一場噩夢。無窮無盡的相關利益方開會,想方設法協調IT和生產線管理,在核準過于寬泛的策略和指定海量細節以致策略最終難以實現之間來回打轉。這還不算完,還得頂著要讓員工和不耐煩的經理們盡量方便的巨大壓力把策略制訂得盡可能寬松。
就像追購時髦新款智能手機卻在第二天發現比它酷一倍的更新換代產品,安全策略真正完工的時候基本也就離過時不遠了。
應用已退出現役,應用訪問端口卻依然開放。IT部門尚未確認,新用例就已部署。新預置應用上線,部分生產部門卻與云服務提供商簽訂影子合同。以上這些事例都包含在安全策略里了嗎?盡管可能比較痛苦,安全策略依然必須保持最新狀態,不僅要有常規審查制度,還要有在安全配置發生改變之前積極修正安全策略的機制。
原則二:安全配置改變是由安全策略驅動的嗎?
同樣地,各種領域都有安全相關的配置改變被應用到全網的情況。像是思科或穩捷網絡出品的防火墻和入侵檢測/預防系統(IDPS)是一個領域;AlgoSec或Firemon出品的變更管理系統是另一個。
不過,網絡安全所占的比重還是比單純的防火墻要大一些。公司需要對像Oracle或微軟Exchange這樣的服務器進行策略配置;Firebase或Okta身份識別系統、網絡路由器和Wifi接入點、虛擬專用網服務器(VPN)、云應用,當然,還有本地文件和應用程序服務器,都是需要進行策略配置的。
除了為適應新員工或項目所做的常規增刪改動,安全設置的任何改變都應該是策略驅動的。但凡一個應用上線、下線,或進入網絡中另一個安全區域,要做的第一步都應該是將之記錄進安全策略中,并檢查是否沖突或矛盾。然后,只有在對策略的改變被充分理解并通過的情況下,管理員才可以對防火墻、訪問控制列表、虛擬局域網(VLAN)配置及其他配置做出調整。
原則三:有人監管嗎?
防火墻、路由器、應用服務器,這些設備上安全設置的意外誤配置有可能會造成巨大的損失,尤其是誤配置引入了非預期的安全漏洞的情況下。萬一誤配置并不是意外呢?我可不是有意中傷你的IT員工,有經驗的管理員在網絡上開個后門并不難。沒人能承擔這樣的后果。
如上文提及的,最好的解決方案之一,就是自動化。如果不能手動修改安全參數,甚至不能直接觸及安全設置,想要犯錯或危及網絡防御就相當難了。不過,提升了管理權限的惡意用戶還是能夠搞破壞的。
我們需要的是:對硬件、軟件和安全配置的所有改變進行記錄的日志,并且此日志不能被擁有修改網絡權限的管理員訪問,具有防篡改特性。總之,我們不能讓人隨便修改或刪除日志。另一個有效方法是設置上層管理警報,只要安全權限發生非授權改變,上層管理人員就能及時做出響應。這種情況下,保證信息透明度是最好的策略。