经常听人说安全是一次旅行,而不是目的地。确实是这样,因为在管理网络资产安全时,你总是要领先你的对手(想要窃取、修改和破坏你的数据的网络罪犯和不满员工等)一步。你不能停留在一个地方太久,因为你的对手总是会不断尝试新技术来攻入你的网络并获取数据。在很多情况下,攻击者甚至与网络泄漏没有直接关系,因为最具破坏性的攻击通常是由有授权的内部人员发起的。
好人和坏人总是争先恐后,有时候他们在你前面,有时候你又在他们前面。可能更准确地说,安全是一场竞赛,与扳手腕比赛类似。然而,尽管安全是一场永远不会结束的旅行,你需要了解并充分利用沿途的检查站,这些能够帮助你改善企业的整体安全状态,并且能够在任何时间点评估你的安全状态。在评估安全性后,你可以作出一些调整来改变安全配置。
正是出于这些考虑,本文为大家提供了改善安全的八个技巧:
1、优化物理安全
安全行业有句老话:如果坏人可以获取计算机的物理控制,那就完蛋了。一旦他们拿到物理控制权,他们就可以使用各种工具来访问磁盘甚至是内存的数据,当然,他们还可以访问“p0wnd”计算机移出和移入的任何信息。所以说,在考虑部署其他安全方法之前,物理安全是首先要考虑的。
物理安全包括:
• 进入电脑机房的密钥、智能卡或者生物识别门控技术
• 对电脑机房进出情况的视频记录
• 对电脑机房进出情况的日志记录和报告
• 在电脑机房的入口和出口部署保安或者其他观察员
在防止攻击者攻入你的系统方面,物理安全能发挥很大作用。但是物理安全只是第一步,我们都非常清楚,如果计算机连接到网络,坏人不需要物理访问就能进行破坏活动。
2、使用基于主机的防火墙
网络防火墙似乎受到极大关注,网络防火墙确实有优点,但是很多人似乎夸大了它的保护能力。事实上,现在市面上大多数防火墙只能提供很小的安全保障,原因之一在于大多数最严重的攻击往往来自于网络内部,所以网络防火墙阻止外部用户访问内部网资源的功能似乎没有多大作用。
相比之下,基于主机的防火墙就能够保护企业资产阻止所有攻击者,无论时内部还是外部攻击者。此外,高级主机防火墙还可以配置为只允许计算机向用户提供的特定服务的入站连接。这些基于主机的防火墙(例如具有Advanced Security的Windows防火墙)甚至可以要求用户或者机器再网络层进行身份验证,这样的话,没有通过验证或者没有授权的用户就不能进入应用程序层,应用程序层时大多数漏洞存在的地方,也是所有数据存储的地方。
3、将你的网络划分为安全区
在涉及安全分区方面来看,前端web防火墙与数据库防火墙有所不同。托管公共可用文件的文件服务器与托管机密营销计划的SharePoint服务器也不相同。出战SMTP中继与反向web代理服务器不同,因为它们位于不同的安全区。
你应该将你的资源划分到不同的安全区,然后在这些区之间创建物理或者逻辑分区。如果你想要使用物理分区,你应该要确保分配到不同区域的资源有防火墙或者其他网络访问控制设备来分隔。如果你想要使用逻辑安全分区,你可以利用IPsec和服务器以及域名隔离来创建安全区之间的虚拟分区。
创建安全区可以让你集中安全力量,来保护最重要的资产。分配给较低安全区的不太重要的资产同样也受到了保护,但是你花在较低安全区的时间和精力相对要少得多,因为泄漏的成本比较高安全区的资产的成本要低得多。