我们时刻都面临着网络安全问题,每天都要防止恶意邮件的入侵,还要担心系统遭受zero-day病毒的攻击。除了来自外部的攻击以外,还要考虑各种各样来自内部的威胁,比如把感染了病毒的笔记本电脑拿到防火墙内部来使用。
面对如此压力,我们应该采取什么样的举措才能让2007年成为安全的一年?我们要防止重蹈过去的覆辙,不能把时间浪费在处理病毒泛滥带来的可怕后果上,不能再使用大量的时间进行头疼的系统清理。现在让我来介绍一下我认为的应该采取的一些措施。
在这里我不会深入介绍近来在网络安全领域中的一些概念,比如“unified threat management”或者“network admission control”,这是因为我们的焦点是七种措施而不是向大家推荐七种工具。比如,我认为加密解密的应用是一项重要的举措,而不是把它当作一种工具来进行介绍。我只是介绍这种措施,相信大家针对各自不同的情况可以找到适合自己的相应工具。事实上目前这样的工具,无论是商业工具还是开源工具都很多。
下面是我所列出的七项举措,按照重要的程度进行排列。
1) 制定实施企业安全政策
2) 开展安全意识培训
3) 经常开展信息安全自我评估
4) 进行有规律的公司自我评估
5) 在全公司范围能应用加密解密技术
6) 估计、保护、管理和跟踪所有公司资产
7) 考察和测试公司业务连续性和应急规划
上面列出的这些举措并不是全部,还有很多其他举措我没有列举出来。我只列举了上面七项措施是因为对它们的实施可以涵盖了对大部分的风险的解除,如果你一一实施了这七项措施,那么很快就能看见自己的系统在网络中安全性的提高。
下面对这七项举措进行详细地说明。
1) 制定实施企业安全政策
如果你的公司目前还没有任何安全政策,那么现在是时候制定一部了。目前有很多非常好的安全政策模式可以直接拿来使用,大多数这样的模式都是免费的,部分会收取很少的费用。这些模式中我最喜欢的是COBIT模式和ISO27001/17799模式。前者是应用于电子商务领域的PCI模式,后者则是一个已经相当成熟的国际标准模式。这些模式都可以作为一个很好的开端,只要当你开始使用这些模式,但是很快你就会发现自己需要对它们进行具体化,扩充或者修改。这是为了让公司中任何一个人都可以理解这些政策。一般而言,公司中的大部分都不是信息安全方面的专家,因此需要制定一套通俗易懂的政策,这些政策要考虑到公司中每一个部门的具体情况,而且要让所有人都可以理解和执行。例如,如果是对于IT公司来说,把标准模式具体化,需要你的CIO来协助制定一套网络安全政策。
如果觉得这些标准的模式对于你而言太纷繁复杂了,那么可以考虑从公司已有的安全政策开始。但是有一个原则,那就是这个政策必须覆盖所有可能的行为,哪怕刚开始的时候这些政策总共只有一页纸的内容,那么作为大纲它也必须包含基本的规则,让所有的行为都有所依据。基本的规则需要包括类似于权限控制,密码管理,灾备恢复等等。举个例子,你必须有一条政策来说明在突然事故中如何备份商业数据和客户私人数据,如何为系统建立镜像等等。
制定了安全政策之后还需要做哪些工作呢?你还需要同政策的执行者一起考虑这样的问题,就是如果有人违反了这些政策该怎么办?违反安全政策的行为是恶意的吗?例如,政策中规定数据库中数据是只允许察看的,如果有一个员工违反了这个政策,把数据库中的记载雇员情况的数据拷贝出来,并且张贴在公共网站上。如果遇到这样的问题,你该怎么办?事实上类似这样事件的发生,并不一定是源于恶意的泄漏机密,而是源自政策制定的不完整,没有让所有员工都了解这一政策,或者是没有明确地规定违反政策所应该采取的措施。你应该让所有的员工都了解这一政策并且明确规定违反这一政策的后果。
2) 开展安全意识培训
我们无数次地看见这样的事情,很多内部员工在不知情的情况下受到网络上其他人的攻击,比如网络钓鱼等,由此导致了公司内部数据的泄漏。比如一些员工喜欢浏览各种新闻网页,或者使用即时消息工具聊天,他们都有可能成为受到攻击的目标。他们可能不了解密码的设置需要注意些什么,不知道为什么不能打开未知地址发来的邮件中的附件。你需要对公司员工进行这方面的培训,指导他们正确使用公司的资源,保护公司的信息安全。
进行专门的课程培训,让这些培训在轻松的环境下进行。结合实际情况介绍一些安全常识。比如,向他们介绍在使用即时通信工具的时候应该注意些什么。或者当你在做邮件日志记录的时候往往需要按照一定的规范进行,这时候告诉员工们你都做了些什么样的工作,以及为什么要这样做。通过一些现实的例子来告诉他们在紧急情况下应该怎么办。让员工们理解为什么要求定期更换自己的密码,为什么不能把自己的密码写在便笺纸上。
整理出一套常见的问题解答,同时采取其他一些奖励措施,让员工们时刻保持对信息安全的兴趣,长此以往,能让员工们在日常的工作中养成良好的遵守安全政策的习惯。这是我们的真正目标。
目前有很多进行专门安全意识培训的公司,他们往往可以提供一些免费的资料,介绍了他们可以提供的培训的内容。另外还有一些安全手册一类的海报或者小卡片,可以随意贴在办公桌前,营造一个能时刻提醒员工信息安全重要性的环境。
3) 经常开展信息安全自我评估
你最近一次检查防火墙和入侵防御系统(IPS)的补丁和更新是否完成是在什么时候?
大多数的入侵防御系统都可以自动更新,但是至少你要检查系统地这项功能是被激活的。你是否检查了是否存在入侵网络的无线设备?每天有多少笔记本电脑会进出于公司?这些移动设备是否都使用了防火墙是否更新了病毒库?等等。
MITRE 是由美国国土安全部资助的一个项目,用来继续发展CVE系统(the Common Vulnerabilities and Exposures)。这个系统已经有八年历史了,它已经被接受为跟踪计算机和网络设备缺陷的国际标准。可以以CVE的条款为依据,看看在你的所有机器中有多少至少包含一条CVE?有关CVE的详细信息可以在美国国家标准与技术研究院(NIST)的网站上找到。NIST拥有一系列实用的指导系统安装配置的条款,这些条款叫做STIGs,它们都被美国很多联邦政府大量采用。
我们可以好好利用已有的这些资源。美国国防信息系统局(DISA)提供了面向公众的直接对STIGs的访问,在DISA的网站上可以注册加入“STIG-News”邮件列表,这样随时能得到有关STIGs的最新信息。
你现在就可以开始研究一下STIG中有关windows服务器中的内容,检查一下是否能够对你的服务器提供一些原来你没有考虑到的配置建议。当然,类似的服务器设置指导或者条款还有很多,事实上他们中间的任何一个都能够给你足够的帮助。
使用上面说到的这些条款来对自己的系统进行一下安全评估,你可以多少找到一些目前系统中存在的安全漏洞。记录下这些漏洞,并且制定一个可行的计划和步骤来弥补这些漏洞,增强网络的安全性。网络安全是一个过程而不是一个产品。因此需要不断地通过自我评估发现问题,在不断地解决问题的过程中实现网络的安全。
4) 进行有规律的公司自我评估
现在公司中的各级主管,CEO,CFO和CIO们都承受着巨大的压力。一方面因为他们需要管理越来越多的员工,需要保护系统的安全和信息的安全。同时他们还需要负责进行IT规章(ITcompliance)中要求的各方面记录,以应付审核。现在很多公司针对这一问题请专门的顾问公司来协助解决。但是这些专门的顾问公司也不会承诺他们的工作一定可以通过审核。在这个问题上倒是没有必要浪费额外的花销去请顾问公司。
无论公司是否正在进行某个IT规章的审核,这些公司都应该先自己进行一下自我评估,熟悉那些影响公司日常组织工作的规范。这些规范包括银行界使用的GLBA,健康和保险业使用的HIPAA,还有电子商务上使用的PCI等等。美国不同的州可能有自己不同的规范。比如在加利福尼亚州,如果某个系统被黑客攻破,那么被攻击的公司必须把这些信息发布到他们的网站上。同时还规定,如果某些用户的数据信息被身份不明的人访问了,那么这些数据的管理者必须将此事通知数据信息的持有人,比如说用户的姓名,账号,驾照号码,账户信息等。如果是美国联邦政府所属的机构,则必须遵守13231号总统令(Executive Order 13231)。该规范要求这些机构保证信息系统畅通,包括应急通信能力以及相关物理设备配置等。
保证你的公司符合一定规范的第一步是记录下为了保护数据所做的所有工作。这样才能够证明你已经遵循了必要的规范,使用了适当的工具,采取了正确的措施来对数据安全性进行了有效的保护。在经过一段时间对照各种规范进行有规律的自我检查和评估之后,你就能发现暴露出的可以产生恶意攻击的问题已经很少了。如果在这样的情况下,你的网络还是被黑客入侵导致数据丢失,至少这时你已经做了所有可以做的事情,并且已经把数据丢失可能造成的损失降低了最小的程度了。
5) 在全公司范围能应用加密解密技术
在二次大战的时候有一句流行语:“口风不紧船舰沉”。如果我们观察一下所有的ID盗窃事件就能发现,发生这种事情大部分都是针对没有进行加密保护的系统。以电子商务网站为例,它之所以能够被攻击,不仅仅因为系统本身具有一些公共的漏洞和缺陷,同时也因为电子商务公司没有认识到数据加密的重要性。说到数据加密,简单通过SSL保护会话数据是远远不够的。
一般的电子商务网站的数据库服务器是最招黑客们喜欢的。他们可以把用户的数据偷出来在黑市上销售,目前这是一个很大的市场。
首先要做的是检查一下系统中所有可能的数据流通通道,包括即时消息传递,文件拷贝,电子邮件,在线会议系统。同时检查所有数据处理的过程,包括数据创建,更改,删除和恢复。另外我们需要考虑用户的数据是怎么保存和保护的?仅仅靠数据备份是不够的。
根据上面的问题,我们需要建立一套VPN,保证网络外部与网络内部的通信是通过一条加密管道的。另外在数据的保存上,可以加密所有的数据,从整个硬盘加密到电子邮件加密或者文件加密,当前存在很多现成的工具可以完成这些工作。
使用加密的方式保护数据不是一项轻松的工作,需要考虑密钥的存储和访问等问题。比如某个用户的密钥和口令丢失了,那么系统必须可以为用户颁发新的密钥和口令,而且需要将使用原来密钥加密的数据解密,然后使用新的密钥加密。
你可能会发现你现在正在使用的系统就包括加密和解密的功能,你只需要简单地在选项前面画个勾就可以启用这项功能。就像现在的笔记本一样,如果笔记本丢失了,但是偷窃者没有密码或者密钥,那么他不能获取任何数据信息。如果有人窃听VoIP的电话,事实上他听不到任何有用的信息,因为在网络上传递的数据都被加密了。
6) 估计、保护、管理和跟踪公司中所有IT设备
你应该注意紧密跟踪和检查公司中所有的IT设备,包括VoIP电话系统、笔记本电脑、服务器和其他网络设备。这些设备对于公司的价值可远远大于设备本身的价值。设想一下要是有人偷走了一台公司的笔记本电脑,那么所损失的电脑上的数据需要花多大的代价才能弥补?或者万一电脑上存放了公司的商业机密信息,造成的损失更是不可估量。
为公司的设备建立一个完整的清单,这个清单不但要列出所有的设备,更重要的是要列出这些设备的价值。比如一个文件服务器,他的价值不是简单的3000美元,而是存放在它上面的代码的价值,可能是20个人一年工作量的价值。
为所有的设备都建立起来这样的价值清单之后,你就能够很清楚地知道该如何更好地调配资源保护这些设备了。