保护企业网络和数据安全 谨防十大陋习

安全顾问时常会提出许多保护网络与数据安全的经验，但在安全领域里，有些点子不但没什么帮助，甚至会适得其反。本文总结出了十条“计算机安全陋习”，希望大家看看自己犯了其中哪些错误，有则改之，无则加冕。

　　陋习一、一旦发现安全漏洞就赶紧购买新软件试图补救，过于依赖和相信安全软件产品而缺乏自己动手和分析的能力

　　现在信息安全领域有个很流行但实际上很危险的思想，即相信所有问题都会有相应的工具来对付，只要我们手上有了防病毒软件、防垃圾软件、防火墙、补丁管理程序、VPN、PKI、IPS、IDS等等工具，我们就百毒不侵，就有十足的安全感。

　　问题是，工具只有到了会用的人手上才能真正发挥作用。“工具只能辅助你而不能取代你，它不会帮你完成所有工作。” Unisys的安全顾问John Pironti说。“请记住，我们至少比计算机聪明50%，计算机只知道‘是’或/和‘否’，但我们还知道‘也许是’。一个工具能发挥出多大的作用是由很多方面决定的。”

　　就拿入侵检测(IDS)和入侵防御系统(IPS)来说，并不是你从厂商那里买来，它就能直接发挥很好的作用。你首先得手把手教它该如何检测入侵，而且一旦跑起来后，你还得经常查看它的运行记录，查找所有出现过的攻击模式。有些IT人员虽然很好地完成了对IDS和IPS的配置工作，但还是为入侵者留下了可以利用的漏洞，原因就在于他们没有对工具记录中的大量报告进行足够的分析。

　　“主要问题是没有明确规定‘查看记录到底属于谁的工作范畴?’” SystemExperts公司的安全顾问Mark Mellis说，“这些产品产生了太多的记录，人们只有在磁盘被占满后才会想到看一看，然后很多数据就被丢弃了。”

　　这就犯了大错了。仔细查看记录(甚至只要很快扫一遍)你就能知道系统运行的状况和正在发生哪些攻击，这样就能将这些攻击纳入系统所能防御的范围。这是个不断调整的过程。

　　过于依赖工具有可能导致矫枉过正，举个例子：如果你为垃圾邮件所困扰，那么显然你会考虑购买一款更强力的垃圾邮件过滤器，但如果过滤器的规则太过严格的话，可能真正有用的邮件如工作邮件也会受到牵连惨遭过滤。

　　用户经常由于类似的原因而关闭桌面防火墙功能，如果在下载应用程序或者MP3音乐时不停地弹出警告信息，用户总有会烦的一天。从中得出的教训是，要想保证数据安全并非只要装上一大堆安全软件就够了，“安全不是用钱买来的，而是用你的实际行动做出来的。” Mellis说。

　　正确做法：经常检查软件产生的记录，如果你觉得数据量太大处理不过来，那么可以考虑购买安全信息管理系统(SIM)。

　　陋习二、忽视人为因素

　　安全不但是个技术问题更是个行为问题，一旦你接受了这样一个事实后，就会开始理解建立和强制施行安全策略的重要性。

　　“现在大家谈论的焦点是什么?是网络欺诈!” Burton Group的安全分析专家Eric Maiwald说，“网络欺诈实际上属于社会工程学的范畴，是关于如何诱骗别人做自己希望他们做的事，比如诱骗别人把个人私密信息交到自己手上。有什么软件产品能阻止这类事情的发生?很少，这是个意识问题。”

　　公司的安全策略则是技术和员工行为的结合。策略的建立需要全体人员的共同努力。当然，有些策略可以依靠技术来解决(比如利用域管理和其他配置来限制计算机的功能)，而其他则纯粹是个人行为问题(比如不要把密码写在纸条上)，两者都很重要。

　　正确做法：如果公司里还没有安全策略，赶快建立一个，确保公司所有人都弄懂了并认真执行。

　陋习三、办事风格鲁莽，做重大改变之前欠细致考虑

　　在我们较近的一次安全战略部署调查中发现，约有43%的受访者表示他们的公司没有部署任何安全策略。IBM的企业安全战略部门主管Stuart McIrvine认为他知道问题出在哪里，“他们采取的是先吃一堑，再长一智的消极做法，出了问题才做相应补救。他们缺少一套完整的风险管理策略。” McIrvine领导着一个八人小组对IBM的众多产品线进行安全策略方面的监督。

　　而数据安全问题不断加重的原因在于大家普遍认为这一直都只是个IT相关的问题，而在这方面技术专家一直被认为起着较关键的作用，结果就是跨部门的安全规范的施行(如人力资源部、法规与培训部)就成了别人的工作。受过培训的技术专家的任务就是要用技术来解决安全问题。

　　不过还好，如果企业有一套风险管理策略的话是可以填补各种IT规范之间的缝隙的。Symantec全球服务事业部的开发主管Chris Wysopal认为很多系统管理员在推出新安全措施之前缺少足够的安全评估和测试，却理所当然地就坚持认为“难道我做的这些事情还破坏了公司的网络安全不成?” 举个例子，为系统设置缺省密码就有可能导致对其他系统未经授权的非法访问。

　　一些非常重要的安全问题也可以采用综合手段来解决。“通过更改Cisco路由器的访问控制列表我就能解决很多Windows的问题。” Mellis说。

　　企业风险管理策略可以为相关人等提供一份关于轻重缓急的优先级列表。如果你是一个在线零售商，而你的系统里有五台核心服务器每天能产生一千七百万美元的收入，那比起普通员工的计算机，在这五台服务器上肯定要做更多的安全保护工作。数字安全系统公司的总裁Sanford Sherizen建议在做任何大的系统加强和软硬件环境变化前需要进行细致的安全影响调查。

　　正确做法：组建一个覆盖公司各个部门的综合小组，决定企业内部哪些是在安全方面需要注意的危险区域。

　　陋习四、安全管理过于苛刻死板，以安全的名义扮演扼杀者的角色

　　信息安全管理员较爱干的事可能就是先摇摇头再大声说“这样不行!”。一些IT部门长久以来形成了一种不好的名声，就是以安全管理的名义对什么能做什么不能做持较终“一票决定权”。

　　但长此以往这样下去是有害的。“负责安全的人员会倾向于否定其他人的想法，当然主要是从安全管理的角度来看。” Eric Maiwald说，“如果安全管理人员总是用没有时间来搪塞，长期下来其他人可能就会觉得或多或少受到了排斥。”

　　芝加哥安全咨询公司Neohapsis的首席执行管Kelly Hansen认为总说“不行”只是懒人推卸责任的借口而已。“很多时候他们说不行只是担心万一出问题自己要承担后果而已，他们觉得有可能会出问题，但是又没有时间去调查，相比之下仅仅说一声‘不行’则要简单多了。长此以往，其他人就会觉得安全管理员并没有起到任何帮助和推动公司业务的作用，而实际上却坏了很多事。” Hansen说。

　　Hansen所工作的一个信息安全部门则推行着一套“只说可以”的制度。设想这样一个场景，如果一位业务主管想在某个敏感的区域安装一个无线接入点的话，他来征求安全管理员的意见，这位管理员很可能会回答说“我明白你的需求，这主意不错，不过对这件事我总结了一份风险概要，你能不能看一下，然后在上面签个字?” 如果业务主管看了后觉得确实有问题的话，他很可能就会征求并较终采纳安全管理员的建议。这种做法就能让双方在解决问题时积极配合。

　　实际上，公司的安全措施应扮演业务推动者而不是扼杀者的角色。“应该这么看：有了安全措施，什么是你以前做不了而现在可以做的事?它又是怎样去推动公司业务的发展的?” Maiwald说。

　　正确做法：引入一套变化管理系统(CMS)可以有效地解决推动新业务，同时对安全进行维护的矛盾。

　　陋习五、对内对外不设置或不细分访问权

　　现在很多企业网络缺少有效的访问权控制，只要你有了一个可以进入的用户名和密码，企业所有的机密都将暴露在你眼前。如果你是企业的业务合作伙伴而你只

　　需要访问企业的某个特定的网站，你很可能会发现自己手中的数字护照简直像隐身衣一样可以让你畅通无阻。

　　如果企业内部系统或网络没有一套访问控制和授权机制，那简直就和坐在火山口上一样危险。“如果被攻击者侵入了，或者内部出现了心怀叵测之人，那就彻底玩完了。” Wysopal说道。“在企业内部网络实施访问控制或对关键网络进行适当的隔离，就不会像现在这样离危险只有一步之遥了。”

　　那些现在已经完成或正在部署无线局域网的公司，问题尤其严重。其中很多根本没有对无线接入点进行配置以限制只许公司员工进入，于是只要任何人处在无线信号覆盖到的区域他就能轻松进入公司网络。“只要把笔记本带到纽约的金融区或市中心，你就能发现大量不设防的无线接入点。” Mellis说道。

　　为员工和访问者分配不同的访问权限使其能完成各自的工作，是相当重要的，安全管理员应该也值得为此付出相应的时间和劳动。而且别忘了系统管理员也不能例外，同样不能赋予系统管理员不该有的访问权。

　　正确做法：要重视访问权控制，对用户身份进行集中管理，并采取一些切实有效的安全措施，比如对登录系统失败的行为进行记录，把关闭所有不需要的网络服务作为一种习惯保持下去，任何人离开公司后就应该马上收回其访问权。

　　陋习六、对所有数据一视同仁

　　大型的网络攻击和对信息进行选择性窃取是不一样的。访问权控制和网络隔离只是对未授权数据访问进行防护的方法之一。

　　“不对数据进行分类会导致公司很多重要数据的泄漏。” 一家安全咨询公司的CEO Bill Burk说，“相比较，政府就精于此道：从一级机密、机密、内部数据，一直到向大众公开的信息，分类详尽清晰。”

　　数据分类不但适用于存在计算机中的数字文件，同样也适用于打印出来的文本文件。“一份明年的市场战略计划不应该随便出现在某人的桌面上。” Burk说。

　　正确做法：对数据按重要程度进行划分，并采取相应的保护措施。

　陋习七、频繁备份所有数据却不检查数据正确性

　　自9・11恐怖袭击以来，各企业投入了大量的资金用于建立热备份站点，将企业数据镜像到另外一个物理位置，这样不管是由于发生物理灾难或是出现黑客攻击而导致主数据中心失效，备份站点同样能支持企业的运作。

　　“但是，太多的IT人员在建立这些镜像备份站点时引入了安全隐患而自己却毫不知情。” Pironti说道。一般来说镜像过程在每个晚上自动完成，所有数据，不管好的坏的有用的没用的，通通一股脑儿镜像起来，但却不进行任何数据完整性和正确性的检查。

　　这种做法可能产生很严重的后果。如果攻击恰好发生在备份正在进行的时候，那么攻击就有可能被引向备份站点。

　　“我确实亲身经历过这种事情。” Pironti说，“攻击者在几个星期前就把攻击代码埋在企业数据中，一旦你在备份站点上使用已受到感染的镜像数据，攻击就开始了，也就是说，站点A先遭到攻击，一旦你启动备份站点B后，同样的攻击马上就会发生在B身上。”

　　正确做法：所有数据在被从站点A传到站点B之前都应该首先被扫描，进行数据完整性和正确性检查。在建立热备份站点时应该考虑使用不同的软硬件平台，这样如果病毒和特洛伊木马专门攻击你的主平台的话，那备份站点就有可能逃过一劫。

　　陋习八、极少进行全局安全审查和防火墙穿透试验，即使有也只是在内部进行

　　在搭建IT设施和升级操作系统与应用程序时，网络结构有可能变得面目全非。“由于升级和补丁发生的频繁性和IT工作的重要性，你不能隔两年才来做一次全局安全审查。” Burk说道，“审查至少每年必须进行一次，而漏洞分析和防火墙穿透试验则应该更频繁一些，也许每个季度就应该进行一次。”

　　安全专家认为，投在安全方面的预算至少还应该包括雇佣第三方团体来进行这些审查和测试的费用。“一个常见的错误是我们经常会说‘这小伙子擅长这个，就让他自己检查自己的工作吧’”Landoll说，“你的工作不应该由你自己来检查。如果我的木屋是由某个木匠搭建的，我会让其他木匠来检查他做得到底好不好。”

　　正确做法：要有好的安全审查和测试计划，并且尽量让其他专业人士来完成这些事情，而不是一切都自己来。

　陋习九、重视了网络的安全，却忽视了外来终端机的安全性

　　不管安全专家如何喋喋不休地建议大家在加强对外网络防御能力的同时也不能忽略那些“受信任”的外部用户的威胁性，可许多公司对此仍然缺乏相应的保护措施。

　　原因之一就是公司允许太多的临时用户或外部用户使用公司的网络资源。我们会为那些需要在家里办公或外出进行产品展示的员工提供SSL VPN以便连入公司内部，我们也会为访客或者设备维修人员提供无线接入。为方便起见我们还会为商业合作伙伴提供登录内部销售系统的密码，在提供这些接入方式时我们也许能用加密等方式来保障数据的传输安全，但问题是我们经常忘了检查这些外部机器本身是否足够安全。从外部连进来的机器也许本身没有恶意，但谁又知道它们是否老早就已经在其他地方感染了病毒了呢?

　　解决办法就是用户在接入网络之前必须接受相应的安全检查。“当你用VPN连进来时，首先将通过一段非信任区，在那里你的计算机要被扫描和验证是否安全，然后才会被允许访问内部资源。”

　　而且还应该对VPN进行配置以限制外部用户的权限。“你需要访问公司所有的资源吗?应不应该允许你在家里做开发?如果对公司来说软件是绝对机密的，那么从公司外部连入的用户就不应该有访问这些软件资源的权限。” Wysopal说道。

　　密码策略如果设计不好，也会有安全隐患。这是一个很微妙的“如何平衡”的问题，如果密码策略太严格了，比如要求你必须同时使用字符和数字，至少八位长度而且还得经常更换的话，那么用户很可能就会因为怕记不住而把密码写在纸条上;但如果密码策略太宽松了，那些简单的密码又很容易被猜出来。就看你如何找到平衡点了。

　　正确做法：除了有网络访问控制系统之外还应该部署外来用户安全检疫系统。

　　陋习十、对用户有太多要求，有些甚至是强迫性的

　　有时候过分要求安全反而会促使用户采取一些消极的手段来逃避。举个例子，员工早上来上班，首先，进入Windows需要密码，进入Novell服务器也需要密码，进入销售管理程序还需要密码，好不容易等输完所有密码进去了，还得忍受各种各样来自桌面防火墙、防垃圾邮件、防病毒软件的警告信息。

　　结果怎样呢?一旦用户登录以后，他们就再也不想退出了，即使是晚上下班回家也不退出，因为第二天来又要重复这个过程，这实在是太讨厌了。为了让桌面防火墙和防病毒程序能安静点，很多用户都选择把它们的安全级别设到较低。

　　因此，Unisys的顾问Pironti建议允许使用短而好记的密码。他举出银行的例子来证明这种策略是可行的。

　　“银行一直以来都很小心，不对用户做太多要求。” Pironti说，“看看PIN码，使用的是四位数字，数字安全领域的专家可能会觉得这远远不够保险，利用随机数字产生器很容易就能猜出来，而且用户很可能会选择用出生年月做密码。那银行为什么还决定这么做呢?因为它们考虑到绝大多数人的记性不会差到需要把四位数字写在纸上的地步。”

　　对银行来说，短密码带来的好处要胜过它的安全隐患。今天大家在使用ATM的时候都不会考虑太多的安全问题，因为大家都相信银行。

　　当然，解决安全中的复杂性，较好的方案就是采用统一用户身份管理系统，有了它，一张智能卡不但能开公司的门还能帮你登录计算机系统，不用密码，省了麻烦。但这种方案需要物理安全和数字安全的紧密配合，而一般这种系统都很昂贵。

　　正确做法：不要对用户要求太多，一套用户身份管理系统能帮你解决不少问题。

　　总结

　　上述这些陋习都是过程和行为的问题而不仅仅是技术问题。不是说技术不重要，但正确的安全观念在于你是否能意识到可能出现的问题，并是否了解到该如何进行安全保护。而且大家常常缺少大局观，弄不清楚或者意识不到某个部分的改变是否会对整体造成影响。我们只有在接受了“安全威胁总是会出现”这样一个事实后，才能总结出一些可靠的经验。