IT安全策略汇总

IT安全策略汇总TT安全技术专题之“IT安全策略汇总”第2页共35页IT安全策略汇总手册随着2010年的结束，新的攻击类型已经突破了今天传统的防御措施，这给我们敲响了警钟。因为疏忽，谷歌、Adobe和Gawker在安全方面都打了盹，也都因此付出了代价。在2011年，其他企业也将会犯同样的错误，请不要让您的公司成为其中之一。本文将从三个方面为您提供详细的安全策略，包括：网络安全策略，防范攻击安全策略和系统平台安全策略。网络安全策略随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互联网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。由此带来的基于网络连接的安全问题也日益突出，如何确保你的网络安全呢？如何通过部署深度防御来规划安全的网络通过WLAN测试验证网络的安全性与连接性从路由器入手改善网络的安全性Web安全策略：使用云安全服务防范攻击安全策略随着互联网黑客技术的飞速发展，网络世界的安全性不断受到挑战。对于黑客自身来说，要闯入大部分人的电脑实在是太容易了。如果你要上网，就免不了遇到黑客。所以必须知己知彼，才能在网上保持安全。那么如何避免漏洞被利用带来的攻击呢？TT安全技术专题之“IT安全策略汇总”第3页共35页创建Java安全框架避免Java漏洞被利用企业该如何防范攻击者利用多个零日攻击？Stuxnet蠕虫攻击方法简介企业如何避免遭受零日攻击或未知恶意程序攻击？蜜罐技术：如何跟踪攻击者的活动？（上）蜜罐技术：如何跟踪攻击者的活动？（下）系统平台安全策略网络操作系统是网络的心脏和灵魂，网络安全性在很大程度上取决于网络操作系统平台的安全性。在网络环境中，网络的安全可信性依赖于网络中各计算机系统的安全可信性，而计算机系统的安全性又依赖于网络操作系统平台的安全性。因此，若没有网络操作系统平台的安全性，就没有各计算机系统的安全性，从而就不可能有网络系统的安全性。系统平台安全在解决网络安全上起着基础性、关键性的作用。Linux服务器系统最佳安全实践WindowsServer2008用户权限管理简介TT安全技术专题之“IT安全策略汇总”第4页共35页如何通过部署深度防御来规划安全的网络深度防御(Defense-in-depth)描述的是利用一系列防御机制来保护计算机网络的理念，这一系列防御机制的组织结构方式是：如果其中某一机制无法正常运行，会有另外一个可正常运行的机制替代它。本文侧重描述一个实用的利用现有技术来部署深度防御的例子，以及探索怎样将它们结合起来，从而构建一个全面、有效的企业网络安全体系。环境为了阐述怎样部署深度防御，我们先来考虑下面的一个普通企业信息技术体系方案。许多企业都选择使用第三方作为基础设施托管商，他们这样做是有一些原因的。通过同外部托管商合作，企业可以使传统范围和权力模式（也称为空间出租，colocation）都限制在托管商那里的一个非常安全的平台中，同时还可以自己对系统进行管理，或者从提供商那里购买功能更强大的托管服务，包括网络、系统和安全服务。这种平台通常是为托管一个企业的公共访问系统而设计的，服务范围从企业用户的邮件或文件传输，到企业的电子商务平台。无论采取配置或托管部署方法，安全性都是这种平台设计中的重要组成部分。典型的为这种平台设计安全体系的方法是从网络开始的，为了便于讨论，我们假设企业将其电子商务平台托管在该工作环境中，该电子商务平台（为了讨论的方面，我们对其进行了高度的简化）包括Web层，它扮演的是各种交易的购物车或是支付途径的角色，这反过来又是通过中间设备（应用服务器）和数据库层来支持的。这种设计需要每个层面都在自己专门网络中进行管理，即虚拟局域网（VLANs），这通常是通过使用类似防火墙一样的过滤设备分割层面来实现的，即将Web服务器设置在低安全接口处，而把中间设备和数据库层设置在高安全接口处，中间设备和数据库层不能从公共网络直接访问。在有些设计方案中，中间设备和数据库层在同样的防火墙接口处，但是在不同VLAN，这种情况下，两个层面之间就不存在网络流量过滤，除非通过开关强制执行。在这种情况下防火墙可能主要也只是起到对互联网的防御作用。而我们要做的是：利用现有的安全技术，以这种环境平台为基础，实施一个深度防御战略。实用深度防御TT安全技术专题之“IT安全策略汇总”第5页共35页我采取一种“厨房水槽”方式来实施如上所述的环境的安全保障工作，用这种方式，每一部分能够独立于其它部分单独实施，并且能随每个企业的特定具体要求而定。深度防御刚开始可能面临的难题是由提供商所提供的网络基础设施中的企业平台外部强制引起的。这种技术组件负责保护平台不受分布式拒绝服务（DDoS）攻击，而DDoS攻击缓解技术通常由两部分组成：第一部分负责通过监控正常传输流中存在的异样来检测攻击，第二部分负责通过已知的传输行为方式来缓解这种攻击（例如威胁管理系统，即TMS）。DDoS保护是通过近乎即时传输分流来实现的，这种分流采用从核心路由设备到DDoS清理中心（TMS）的边界网关协议（BGP）。最有效的DDoS攻击缓解方法是通过提供商的基础设备（上游）来实现的，因此链接饱和与增加带宽花费的风险就降低了。虽然防火墙在防御某些网络威胁时是有效的，但在一些端口对互联网HTTP（80//TCP）和HTTPS（443/TCP）开放的托管平台里，防火墙的效果就降低了。在这种平台环境中，再加入一个网络应用防火墙（WAF）以形成一个增强的防火墙体系，这是一个不错的想法。WAF主要为保护平台免受一些特定应用型攻击服务，如跨站点脚本（XSS）、结构化查询语言（SQL）注入和参数的篡改。这些设备通常是在托管平台内沿防火墙到核心网关之间的途径配置的，在那里，WAF起一个桥接设备的作用，具有阻止与已知应用层的攻击媒介相匹配的攻击的能力，同时，它也可以在硬件故障时使打开命令不能执行，这样可以保证传输继续流到网络服务器处。一些WAF供应商还提供数据库监控和保护功能，能够处理针对数据库的威胁，保护是通过代理实施，并安装在托管数据库实例的服务器上的。由于WAFs通常侧重于来自应用层的攻击，它们在阻止类似网络蠕虫这样的以网络为中心的攻击时，效率是有限的。WAF可以用来与入侵防御系统（IPS）配合，这种方式的侧重点是利用基于签名的网络层缓解措施，从而弥补这方面的不足。这些设备可以作为能够与内嵌防火墙集成的模块，在那里即使威胁离开防火墙也能被阻止。当我们越靠近服务器平台，对深度防御来说，防止恶意威胁与文件系统监控就变得至关重要。这可以通过主流杀毒反恶意软件产品和内容完整性监控系统（CIMS）的结合使用来实现，从而实时跟踪并对文件系统的变化发出警报。将所有这一系列捆绑起来就形成了一个集中的日志管理系统，除了具有传统的服务器日志功能之外，它还可以储存来自每个安全组件的工作记录。日志管理系统（LMS）除了可以为从各个安全组件查询记录数据提供灵活的搜索界面之外，还可以在预先设定的事件过滤器上产生TT安全技术专题之“IT安全策略汇总”第6页共35页实时警报。另外，一系列以日志管理为基础的产品，称为安全信息和事件管理（SIEM）系统，也可以被用在日志管理系统（LMS）上，SIEM通过提供智能威胁分析和威胁缓解功能而扩展了LMS的功能。组合正如你所看到的，从提供商的基础设备DDoS攻击缓解开始，到防火墙和IPS技术对网络的保护，到WAF对应用层的保护，再到CIMS对文件系统完整性的保护，最后到LMS起到储存来自各个安全组件和服务器组件日志信息的作用，我们已经确定了一种具体的、可用于保护企业托管平台每个组件的安全技术。通过实施深度防御，或者只实施其中的部分组件（如LMS），你的企业将逐步进入一个灵活的、可以提供实时安全威胁监控的安全平台。(作者：AnandSastry译者：Sean来源：TechTarget中国)TT安全技术专题之“IT安全策略汇总”第7页共35页通过WLAN测试验证网络的安全性与连接性由于802.11n技术所实现的速度和可靠性，许多公司正开始使用带宽更大的无线LAN来支持新的移动服务。但是这个变化需要进行更复杂和更可靠的WLAN测试，以验证网络的安全性、连接性和性能。公司可以不再需要使用耗费人力的工具来检查信号强度、服务器可访问性和Wi-Fi漏洞。测试在地理位置上分散的整个企业网络的成百上千的接入端（AP）和无数的客户端需要使用更高效的自动化工具和方法。在许多早期的Wi-Fi部署中，安全性意味着检查整个建筑物或园区，监听陌生信号，以便发现未授权的恶意AP。这不仅极为低效，而且经常会“阻碍”许多识别错误的AP，也会忽视其他的一些威胁，如配置错误和操作不当的客户端。使用具有无线入侵防御系统的AP进行全天监控随着Wi-Fi越来越流行，许多AP经过更新后能够监听频道内或频道外的流氓信号。另外专门的WirelessIntrusionPreventionSystems(WIPS)，也可用于全天监控无线攻击或违规行为，以及响应临时阻挡和发现嫌疑的流氓信号。然而，这两个方法已经开始融合到一起。许多企业AP现在能够在需要时变成专职WIPS探测器，而且有几个AP供应商也提供了专用的WIPS设备。现在争论的重点越来越不在于扫描的频率，24/7是依赖无线的企业必须要求实现的。相反，合理的安全任务和符合规范要求则占据了核心地位。集中的WLAN评估工具保证了规范性为了符合像PCIDSS或FederalInformationSecurityManagementAct(FISMA)这样的规范，组织必须证明安全控制的有效性，并记录嫌疑违反规范的情况。现在，许多商业TT安全技术专题之“IT安全策略汇总”第8页共35页WIPS和一些WLAN管理器能够根据流行的行业规范产生封闭的规范报告，但是仍然需要持续地评估这些安全性控制和政策。许多公司都雇佣第三方审计人员到现场执行评估；例如，要在一个商店中验证PCIDSS规范。然而，在进行这个审计之前，我们最好先测试一些有问题的地方，然后在它们暴露之前修复这些问题。理想情况下，这些自我评估应该定期进行，而且不会消耗太多的员工时间，不需要太多的现场调查费用。这正是集中评估工具发挥作用的地方。例如，AirTightNetworks使用基于云的WIPS与上述探测器通信来实现每季度的PCI扫描和修复服务。这些探测器会监听邻近的流量，并探测CardholderDataEnvironments(CDEs)的无线漏洞，从而产生PCIDSS1.2规范所要求的月扫描报告（至少）。对于那些已经部署了WIPS的公司而言，像MotorolaAirDefense提供的无线漏洞评估模块等插件能够将部署的探测器变成远程测试引擎，它们能够周期性地连接AP，探测暴露的端口和URL，并生成记录结果的报告。自动的远程安全性扫描，不管是由本身的WIPS执行，或者是云服务实现，都能够实现廉价的常规自我评估。然而，它们并不能替代不定期的人工现场渗透测试。非自动化WLAN测试——渗透测试查找可能淹没客户端、AP和WLAN管理器的盲点、错误和新攻击是WLAN测试的重要组成部分。然而，这种无线测试还没有实现完全的自动化。例如，MDK3是一个命令行工具，它可用于猜测隐藏的SSID和MACACL，寻找客户端的认证漏洞，并发送802.11Beacon、Deauth和TKIPMICDoS攻击。审计人员可以使用MDK3方便地在不同的位置发起这些渗透测试，如办公室内部和外部。然而，诸如MDK3等工具绝不应该在工作时间内对生产环境WLAN执行测试，因为生产使用需要人工指引和结果解释。TT安全技术专题之“IT安全策略汇总”第9页共35页集中的渗透测试工具经常可用于发现影响WLAN安全性的较上层的系统漏洞。例如，Metasploit脚本能够尝试许多不同的有线和无线LAN应用程序。如果要对一个大型网络执行更高效的Metas