我們時刻都面臨著網絡安全問題，每天都要防止惡意郵件的入侵，還要擔心系統遭受zero-day病毒的攻擊。除了來自外部的攻擊以外，還要考慮各種各樣來自內部的威脅，比如把感染了病毒的筆記本電腦拿到防火墻內部來使用。

面對如此壓力，我們應該采取什么樣的舉措才能讓2007年成為安全的一年？我們要防止重蹈過去的覆轍，不能把時間浪費在處理病毒泛濫帶來的可怕后果上，不能再使用大量的時間進行頭疼的系統清理。現在讓我來介紹一下我認為的應該采取的一些措施。

在這里我不會深入介紹近來在網絡安全領域中的一些概念，比如“unified threat management”或者“network admission control”，這是因為我們的焦點是七種措施而不是向大家推薦七種工具。比如，我認為加密解密的應用是一項重要的舉措，而不是把它當作一種工具來進行介紹。我只是介紹這種措施，相信大家針對各自不同的情況可以找到適合自己的相應工具。事實上目前這樣的工具，無論是商業工具還是開源工具都很多。

下面是我所列出的七項舉措，按照重要的程度進行排列。
1) 制定實施企業安全政策
2) 開展安全意識培訓
3) 經常開展信息安全自我評估
4) 進行有規律的公司自我評估
5) 在全公司范圍能應用加密解密技術
6) 估計、保護、管理和跟蹤所有公司資產
7) 考察和測試公司業務連續性和應急規劃

上面列出的這些舉措并不是全部，還有很多其他舉措我沒有列舉出來。我只列舉了上面七項措施是因為對它們的實施可以涵蓋了對大部分的風險的解除，如果你一一實施了這七項措施，那么很快就能看見自己的系統在網絡中安全性的提高。

下面對這七項舉措進行詳細地說明。

1) 制定實施企業安全政策

如果你的公司目前還沒有任何安全政策，那么現在是時候制定一部了。目前有很多非常好的安全政策模式可以直接拿來使用，大多數這樣的模式都是免費的，部分會收取很少的費用。這些模式中我最喜歡的是COBIT模式和ISO

27001/17799模式。前者是應用于電子商務領域的PCI模式，后者則是一個已經相當成熟的國際標準模式。這些模式都可以作為一個很好的開端，只要當你開始使用這些模式，但是很快你就會發現自己需要對它們進行具體化，擴充或者修改。這是為了讓公司中任何一個人都可以理解這些政策。一般而言，公司中的大部分都不是信息安全方面的專家，因此需要制定一套通俗易懂的政策，這些政策要考慮到公司中每一個部門的具體情況，而且要讓所有人都可以理解和執行。例如，如果是對于IT公司來說，把標準模式具體化，需要你的CIO來協助制定一套網絡安全政策。

如果覺得這些標準的模式對于你而言太紛繁復雜了，那么可以考慮從公司已有的安全政策開始。但是有一個原則，那就是這個政策必須覆蓋所有可能的行為，哪怕剛開始的時候這些政策總共只有一頁紙的內容，那么作為大綱它也必須包含基本的規則，讓所有的行為都有所依據。基本的規則需要包括類似于權限控制，密碼管理，災備恢復等等。舉個例子，你必須有一條政策來說明在突然事故中如何備份商業數據和客戶私人數據，如何為系統建立鏡像等等。

制定了安全政策之后還需要做哪些工作呢？你還需要同政策的執行者一起考慮這樣的問題，就是如果有人違反了這些政策該怎么辦？違反安全政策的行為是惡意的嗎？例如，政策中規定數據庫中數據是只允許察看的，如果有一個員工違反了這個政策，把數據庫中的記載雇員情況的數據拷貝出來，并且張貼在公共網站上。如果遇到這樣的問題，你該怎么辦？事實上類似這樣事件的發生，并不一定是源于惡意的泄漏機密，而是源自政策制定的不完整，沒有讓所有員工都了解這一政策，或者是沒有明確地規定違反政策所應該采取的措施。你應該讓所有的員工都了解這一政策并且明確規定違反這一政策的后果。

2) 開展安全意識培訓

我們無數次地看見這樣的事情，很多內部員工在不知情的情況下受到網絡上其他人的攻擊，比如網絡釣魚等，由此導致了公司內部數據的泄漏。比如一些員工喜歡瀏覽各種新聞網頁，或者使用即時消息工具聊天，他們都有可能成為受到攻擊的目標。他們可能不了解密碼的設置需要注意些什么，不知道為什么不能打開未知地址發來的郵件中的附件。你需要對公司員工進行這方面的培訓，指導他們正確使用公司的資源，保護公司的信息安全。

進行專門的課程培訓，讓這些培訓在輕松的環境下進行。結合實際情況介紹一些安全常識。比如，向他們介紹在使用即時通信工具的時候應該注意些什么。或者當你在做郵件日志記錄的時候往往需要按照一定的規范進行，這時候告訴員工們你都做了些什么樣的工作，以及為什么要這樣做。通過一些現實的例子來告訴他們在緊急情況下應該怎么辦。讓員工們理解為什么要求定期更換自己的密碼，為什么不能把自己的密碼寫在便箋紙上。

整理出一套常見的問題解答，同時采取其他一些獎勵措施，讓員工們時刻保持對信息安全的興趣，長此以往，能讓員工們在日常的工作中養成良好的遵守安全政策的習慣。這是我們的真正目標。

目前有很多進行專門安全意識培訓的公司，他們往往可以提供一些免費的資料，介紹了他們可以提供的培訓的內容。另外還有一些安全手冊一類的海報或者小卡片，可以隨意貼在辦公桌前，營造一個能時刻提醒員工信息安全重要性的環境。

3) 經常開展信息安全自我評估

你最近一次檢查防火墻和入侵防御系統（IPS）的補丁和更新是否完成是在什么時候？

大多數的入侵防御系統都可以自動更新，但是至少你要檢查系統地這項功能是被激活的。你是否檢查了是否存在入侵網絡的無線設備？每天有多少筆記本電腦會進出于公司？這些移動設備是否都使用了防火墻是否更新了病毒庫？等等。

MITRE 是由美國國土安全部資助的一個項目，用來繼續發展CVE系統（the Common Vulnerabilities and Exposures）。這個系統已經有八年歷史了，它已經被接受為跟蹤計算機和網絡設備缺陷的國際標準。可以以CVE的條款為依據，看看在你的所有機器中有多少至少包含一條CVE？有關CVE的詳細信息可以在美國國家標準與技術研究院（NIST）的網站上找到。NIST擁有一系列實用的指導系統安裝配置的條款，這些條款叫做STIGs，它們都被美國很多聯邦政府大量采用。

我們可以好好利用已有的這些資源。美國國防信息系統局（DISA）提供了面向公眾的直接對STIGs的訪問，在DISA的網站上可以注冊加入“STIG-News”郵件列表，這樣隨時能得到有關STIGs的最新信息。

你現在就可以開始研究一下STIG中有關windows服務器中的內容，檢查一下是否能夠對你的服務器提供一些原來你沒有考慮到的配置建議。當然，類似的服務器設置指導或者條款還有很多，事實上他們中間的任何一個都能夠給你足夠的幫助。

使用上面說到的這些條款來對自己的系統進行一下安全評估，你可以多少找到一些目前系統中存在的安全漏洞。記錄下這些漏洞，并且制定一個可行的計劃和步驟來彌補這些漏洞，增強網絡的安全性。網絡安全是一個過程而不是一個產品。因此需要不斷地通過自我評估發現問題，在不斷地解決問題的過程中實現網絡的安全。

4) 進行有規律的公司自我評估

現在公司中的各級主管，CEO，CFO和CIO們都承受著巨大的壓力。一方面因為他們需要管理越來越多的員工，需要保護系統的安全和信息的安全。同時他們還需要負責進行IT規章（IT

compliance）中要求的各方面記錄，以應付審核。現在很多公司針對這一問題請專門的顧問公司來協助解決。但是這些專門的顧問公司也不會承諾他們的工作一定可以通過審核。在這個問題上倒是沒有必要浪費額外的花銷去請顧問公司。

無論公司是否正在進行某個IT規章的審核，這些公司都應該先自己進行一下自我評估，熟悉那些影響公司日常組織工作的規范。這些規范包括銀行界使用的GLBA，健康和保險業使用的HIPAA，還有電子商務上使用的PCI等等。美國不同的州可能有自己不同的規范。比如在加利福尼亞州，如果某個系統被黑客攻破，那么被攻擊的公司必須把這些信息發布到他們的網站上。同時還規定，如果某些用戶的數據信息被身份不明的人訪問了，那么這些數據的管理者必須將此事通知數據信息的持有人，比如說用戶的姓名，賬號，駕照號碼，賬戶信息等。如果是美國聯邦政府所屬的機構，則必須遵守13231號總統令（Executive Order 13231）。該規范要求這些機構保證信息系統暢通，包括應急通信能力以及相關物理設備配置等。

保證你的公司符合一定規范的第一步是記錄下為了保護數據所做的所有工作。這樣才能夠證明你已經遵循了必要的規范，使用了適當的工具，采取了正確的措施來對數據安全性進行了有效的保護。在經過一段時間對照各種規范進行有規律的自我檢查和評估之后，你就能發現暴露出的可以產生惡意攻擊的問題已經很少了。如果在這樣的情況下，你的網絡還是被黑客入侵導致數據丟失，至少這時你已經做了所有可以做的事情，并且已經把數據丟失可能造成的損失降低了最小的程度了。

5) 在全公司范圍能應用加密解密技術

在二次大戰的時候有一句流行語:“口風不緊船艦沉”。如果我們觀察一下所有的ID盜竊事件就能發現，發生這種事情大部分都是針對沒有進行加密保護的系統。以電子商務網站為例，它之所以能夠被攻擊，不僅僅因為系統本身具有一些公共的漏洞和缺陷，同時也因為電子商務公司沒有認識到數據加密的重要性。說到數據加密，簡單通過SSL保護會話數據是遠遠不夠的。

一般的電子商務網站的數據庫服務器是最招黑客們喜歡的。他們可以把用戶的數據偷出來在黑市上銷售，目前這是一個很大的市場。

首先要做的是檢查一下系統中所有可能的數據流通通道，包括即時消息傳遞，文件拷貝，電子郵件，在線會議系統。同時檢查所有數據處理的過程，包括數據創建，更改，刪除和恢復。另外我們需要考慮用戶的數據是怎么保存和保護的？僅僅靠數據備份是不夠的。

根據上面的問題，我們需要建立一套VPN，保證網絡外部與網絡內部的通信是通過一條加密管道的。另外在數據的保存上，可以加密所有的數據，從整個硬盤加密到電子郵件加密或者文件加密，當前存在很多現成的工具可以完成這些工作。

使用加密的方式保護數據不是一項輕松的工作，需要考慮密鑰的存儲和訪問等問題。比如某個用戶的密鑰和口令丟失了，那么系統必須可以為用戶頒發新的密鑰和口令，而且需要將使用原來密鑰加密的數據解密，然后使用新的密鑰加密。

你可能會發現你現在正在使用的系統就包括加密和解密的功能，你只需要簡單地在選項前面畫個勾就可以啟用這項功能。就像現在的筆記本一樣，如果筆記本丟失了，但是偷竊者沒有密碼或者密鑰，那么他不能獲取任何數據信息。如果有人竊聽VoIP的電話，事實上他聽不到任何有用的信息，因為在網絡上傳遞的數據都被加密了。

6) 估計、保護、管理和跟蹤公司中所有IT設備

你應該注意緊密跟蹤和檢查公司中所有的IT設備，包括VoIP電話系統、筆記本電腦、服務器和其他網絡設備。這些設備對于公司的價值可遠遠大于設備本身的價值。設想一下要是有人偷走了一臺公司的筆記本電腦，那么所損失的電腦上的數據需要花多大的代價才能彌補？或者萬一電腦上存放了公司的商業機密信息，造成的損失更是不可估量。

為公司的設備建立一個完整的清單，這個清單不但要列出所有的設備，更重要的是要列出這些設備的價值。比如一個文件服務器，他的價值不是簡單的3000美元，而是存放在它上面的代碼的價值，可能是20個人一年工作量的價值。

為所有的設備都建立起來這樣的價值清單之后，你就能夠很清楚地知道該如何更好地調配資源保護這些設備了。

7) 考察和測試公司業務連續性和應急規劃

公司業務的連續性就像是“讓燈一直亮著”，災備系統就像是說“當燈滅了的時候我們怎么辦？”，我們需要讓等持續亮著。

你需要經常性地測試一下，看公司業務的持續性怎么樣，災備計劃是不是能夠被很好地實施。這種測試最好每年都進行幾次，在非業務高峰的時候進行，比如周日晚上。

進行這樣的測試最好可以從一些常見問題的解決方案開始，讓員工們了解如果出現下面的情況該怎么辦。
a) 電源斷電
b) 路由器死機
c) 電話系統中斷
d) 互聯網中斷
e) 服務器掉線
f) 某一硬件設備故障
g) 某一應用程序崩潰
h) 網絡中出現可以被攻擊的漏洞
i) 空調故障
j) 自然災害
k) 流行感冒席卷全公司

=============================================

原文鏈接：http://www.networkworld.com/columnists/2007/011707miliefsky.html?t51hb

原文作者：Gary S. Miliefsky

原文來源：Network World