IT安全最佳实践集

IT安全最佳实践集TT安全技术专题之IT安全最佳实践集Page2of25IT安全最佳实践集“最佳实践”来自英文BestPractice。维基百科对最佳实践的定义是一个管理学概念，认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到最优，并减少出错的可能性。学习应用IT企业安全的最佳实践，其实就是借鉴别人成功的经验，让自己在保护企业安全方面少走弯路。在本手册中，将集合IT业内关于企业安全的最佳实践，并不断更新，以期在企业安全防护方面提供帮助。网络安全最佳实践网络安全最佳实践将包括网络安全的各个方面，从网络架构到具体的安全事件，目前本部分将涉及采用IPS的最佳实践、网络扫描和报告的最佳实践以及管理DNS的最佳实践。采用IPS的最佳实践网络扫描和报告的最佳实践管理DNS的最佳实践应用安全最佳实践应用安全最佳实践将包括如何最好地进行IT应用的防护，例如应用层防火墙选择与配置的最佳实践以及保护网络邮件数据安全的最佳实践等。应用层防火墙选择与配置的最佳实践网络邮件安全：保护数据的最佳实践企业博客开发的最佳实践TT安全技术专题之IT安全最佳实践集Page3of25系统安全最佳实践系统安全最佳实践将介绍保护Windows、linux等系统安全的最佳方式，例如在系统上对加密密钥进行管理的一些最佳实践。加密密钥管理的一些最佳实践身份识别管理最佳实践移动计算和远程访问越来越多，再加上无线网络的飞速增长，以及对应用程序访问需求增长，网络被未授权访问的几率显著增加，身份管理带来的问题越来越严重。本部分将集合进行身份识别管理的最佳实践。企业实施单点登录的最佳实践安全管理最佳实践在IT安全业界有一种说法，叫作三份技术，七分管理。IT安全管理的重要性由此可见一斑。本部分的安全管理最佳实践将帮助您获得安全管理的最优成绩。法规遵从的最佳实践合并过程中制定法规的最佳实践TT安全技术专题之IT安全最佳实践集Page4of25采用IPS的最佳实践问：我想要采用IPS。我应该遵守哪些顶级的最佳实践呢？答：采用入侵防御系统是个很棘手的问题。这些设备正在迅速成为很多公司安全架构的主要部分。第一次采用会是很恐怖的经历。你不仅是在网络路径中创建潜在的瓶颈和失败点，也是在增加设备，而这个设备可以有意地中断网络流量。这就足够任何网络工程师头疼的了。下是在企业中配置IPS的最佳实践：在“监控”模式下运行IPS，直到系统已经适当地调整过了。这样的配置行为更像是入侵检测系统，识别潜在问题，但是不阻止网络流量。把“阻止”模式规则的数量限制在最小量，做些细微的调整，减少假阳性阻止德可能性。考虑使用不能打开（fail-open）的设备，限制网络上设备故障的影响。在IPS的失误事件中，这就会允许所有的流量继续而不受中断，虽然配置的安全性降低了，但是可以保持网络的状态和运行，而这无疑是网络架构团队会赞赏的。。(作者：MikeChapple译者：TinaGuo来源：TechTarget中国)TT安全技术专题之IT安全最佳实践集Page5of25网络扫描和报告的最佳实践随着网络应用程序攻击现象越来越普遍，对网址漏洞检查工具的需求正日益增加。手动获取网址并检测常规攻击的时代已经一去不复返了。而自动测试工具得出的报告可以用于检查管理，开发者可以用来指导安全漏洞的修复。网络扫描已经成为测试路径的一部分，用于捕捉软件开发生命周期中的其它漏洞。并且自从网络安全已经成为支付卡行业数据安全标准（PaymentCardIndustryDataSecurityStandard，PCIDSS）等行业要求的一部分，漏洞扫描不再是毫无实用之处，现在成为一种默认的指令。本文将讨论使用扫描工具和报告扫描结果的最佳方法，包括扫描的要素、扫描的内容，以及扫描结果的说明。一个成功的扫描程序应当包含三个要素：定义扫描的范围和目的，选择合适的扫描工具并得出一份可读可用的报告。即使这个网址充满漏洞，你最不想要的是一份几百页无法理解的报告，没有人能读懂或领会。扫描报告的正确表述极为重要，这样开发者就可以在网址进入系统暴露在毫无防御措施的环境中之前采取正确的行动。网址扫描的必要性首先，定义扫描的范围和目的。是否应该遵从政府规划或诸如外设组件互连标准（PCI）之类的行业指导，还是确定特殊问题的起因？是否应该对事件或攻击做出回应，还是作为软件开发生命周期的一部分，企业要例行公事地在生存周期内加固站点？如果扫描是为了遵从法规，那么它的功能仅仅集中在调整要求上。比如，PCI6.5版要求测试开放网应用程序安全项目(OWASP)列出的十大漏洞。这是一个非常卓越的起始点，它几乎涵盖了网络黑客攻击的绝大部分。TT安全技术专题之IT安全最佳实践集Page6of25但是，如果测试是公司软件开发生命周期的一个常规部分，运行主要扫描程序不失为一个好主意。理想状态下，企业的扫描要围绕IT安全策略。一些策略可能会采用用于高风险交易网址的双因素鉴定技术或OWASP没有列出但应该测试的密码策略。切记：虽然法规遵从受到审计员和调整者的欢迎，但是安全远不止需要核对漏洞列表。选择一个网址扫描工具接下来，选择合适的工具。最理想的选择是这样一种工具：易于使用和启动、与网络相兼容、不会降低网络性能（配置较差的扫描工具就会降低网络性能）以及得出可用的报告。扫描工具应该同时能够模拟真正的攻击情景，而不仅仅扫描开发者自己所想象出来的攻击情景。毕竟，当今网络黑客越来越复杂，从蛮力攻击登录界面到跨站脚本攻击(XSS)，现今已经发展为异步JavaScript和XML（Ajax）攻击与Web2.0技术。市场上一些比较好的工具有：WatchFireCorp公司的AppScan，Hewlett-PackardCo.'sSPIDynamicsgroup的WebInspect7.0，AcunetixLtd.公司的WebVulnerabilityScannerEnterprise，以及CenzicInc公司的HailstormEnterpriseApplicationRiskController(ARC)。每一种工具拥有不同的优点和弱点。一些在检测JavaScript中的漏洞方面比较突出，一些在防止SQL和XSS插入攻击方面比较突出，而另一些在Ajaxexploits方面比较突出。由于大多数使用Ajax和Web2.0的网址都是由多种编程语言编写而成的。如果费用在预算之中的话，使用两种扫描工具并比较其结果不失为一个好方法。除了商业扫描工具，也有一些免费的扫描工具，比如Nikto、N-StalkerWebApplicationScanner和BurpSuite。这些工具也可以和商业工具结合使用。比起颇受争议的商业工具而言，尽管没有商业产品的所有功能，但它们更为实用，而且不仅仅只有测试功能。TT安全技术专题之IT安全最佳实践集Page7of25扫描测试应当在软件测试阶段进行，即开发之后，生产之前。这样在正式应用之前就有时间来鉴定和解决安全漏洞。测试应当在隔离的网段上进行，来阻止扫描工具“攻击”网址以外某个公司的网络。当然，扫描工具应当在独立环境下运行——不与压力测试、性能测试或者其它测试同时运行，同时不能在高峰时段运行，可以在午夜或者是周末进行。测试者应当可以扫描到未经认可的工作站和服务器，并且通过合适的改变控制程序来记录其在IT部门的运行情况。如果一个扫描工具减慢了网速，那么至少网络团队人员会知道原因，并且不会对一个假想的攻击产生恐惧。此外，不能单单依赖扫描工具。被发现的漏洞都应改经过首动测试。这就意味着测试者应该试图使用基于漏洞的搜索进入网址，但这个漏洞与存储在扫描工具中的版本不同。像Metasploit之类的工具箱提供了测试者可以使用的存储搜索。当新的功能添加到网页上时，仅仅需要重新设定扫描指令。如果你正在配置一个新的带有新代码的网络应用程序，应当对其进行扫描。但是如果市场需要改变标志或网页的颜色，或是在主页中重新安排图形，则无须扫描。这些改变几乎不会将新的漏洞带入网址。网络扫描报告所包含的内容最后，在测试过所有网址，并发现漏洞之后，测试者需要得出一份可读的报告。扫描工具得出了报告，但是测试者应当考虑将其翻译为用户习惯的模式。当使用一种以上扫描工具时，不同的扫描工具会产生不同的报告格式；或者使用手动测试的自动扫描时，根本没有报告，因此，得出一份格式统一的单一报告的唯一方法是采用一种用户习惯的模式。报告应当以执行指令总结开头，该总结包括，没能检测到的五个最为严重的漏洞的表格。并且应当将这些漏洞按严重等级降序排列，同时指定一个风险水平，比如高、中或低。这些等级可以为程序开发者提供行动计划，决定优先修补哪个漏洞，如果风险很低，程序开发者就可以决定先暂不处理，待下一次发布时再进行修补。TT安全技术专题之IT安全最佳实践集Page8of25另一种实现报告具有可读性的方法是采用一系列彩色图标来代表风险等级。在高风险漏洞旁边的红色骷髅图可以引起人们的注意，即使是那些缺乏技术知识的经理也会留意到。执行指令总结之后，应当有序地列出所有的漏洞，并附有简单介绍，可能带来的威胁，以及摘录小部分令人厌恶的编码。尽量保持所有漏洞描述在一页纸上。如果开发者需要考虑更多的数据或编码，可以在另一份报告中提供。网络扫描程序成功的关键在于一处扫描到下一处扫描的连贯性。确保扫描范围、扫描工具和报告与你的行业和IT需求一致。改变参数带来的不连贯的后果，会使开发者忙于修补漏洞。此外，这对您的网络安全有害而无益。(作者：JoelDubin译者：李娜娜来源：TechTarget中国)TT安全技术专题之IT安全最佳实践集Page9of25管理DNS的最佳实践问：我们已知的管理DNS的最佳实践，有哪些是可以信任的呢？更具体地说，在普通的企业风险排行中，DNS安全应该处于什么位置？答：如果DanKaminsky关于如何破解DNS的研究显示了什么内容的话，那就是企业正处于暴露的状态中。但是安全专家需要理解减轻这种风险的做法很少。第一种做法是确保公司的DNS服务器采取了资源端口的随机选择。这样并不能完全解决KaminskyDNS攻击，但是它使得大幅减轻这种风险变得更困难（成本更高）。这也就是说DNS服务器必须要打补丁，或者公司应该更新到更强大的服务器架构。其中的一个可能是DNSSEC，这是没用联邦政府所采用的，但是它相当复杂。另外重要的是确保所有的上游ISP需要协同工作。即使公司的系统是良好的，处理这些危险的名称服务器（nameserver）的损失也是巨大的。DNS安全责任取决于安全团队的操作责任。现在很多安全团队都是影响的受者而不是施与者，这也就是说他们需要和公司的网络团队和作，他们可以实际采用一些修复措施。(作者：MikeRothman译者：TinaGuo来源：TechTarget中国)TT安全技术专题之IT安全最佳实践集Page10of25应用层防火墙选择与配置的最佳实践应用层防火墙已经成为那些对法规遵从感兴趣的人们谈论的热点话题。支付卡行业数据安全标准（PCIDSS）原来只推荐应用层防火墙作为最佳实践。该标准将要求公司要么安装这种防火墙，要么进行代码检查。今天，虽然多数机构多少拥有一些边界防火墙，可以保护网络不受恶意的因特网信息流的攻击，但是这些种类的防火墙并不能保护企业，使其免于受到穿越应用程序的威胁。据反恶意软件经销商Sophosplc和SymantecCorp.的报告称，最近，应用层防火墙已经出现，它是一种防御Web应用攻击的工具。Web应用程序攻击是一种最常见的入侵类型。传统的网络防火墙不能检测到应用攻击，原因是它们在合法应用程序的开放端口上才能起作用。虽然网络防火墙检查端口和packetheaders，但是，它们并不能核查应用程序和应用程序数据，它们可以在通过开放防火墙端口时，不知不觉地隐藏恶意活动。由于大多数Web信息流通过端口80或者端口443，而关闭这些端口是不现实的。PCIDSS也已经开始关注应用层防火墙。名声不太好的Section6.6涵盖了Web应用程序安全，号召公司对其应用