網(wǎng)絡(luò)管理員常犯19大愚蠢錯(cuò)誤(二)
8.沒(méi)有正確配置路由器�����,從而禁止不必要的流量
惡意軟件的一種很流行的破壞方式就是在服務(wù)器上安裝后門(mén)或命令腳本��。而防止黑客利用后門(mén)或命令腳本進(jìn)行破壞的方法之一就是使用訪問(wèn)空盒子列表對(duì)網(wǎng)絡(luò)進(jìn)行劃分��。這樣就可以防止服務(wù)器向非法的方向發(fā)送數(shù)據(jù)��。例如�����,郵件服務(wù)器只能發(fā)送郵件流����,而不是SSH流��。除此以外���,另一種方法就是將路由器用于缺省拒絕出口過(guò)濾�����,阻止所有出站流量��,除非你想要留下某些有用信息����。
“只有2%的企業(yè)這樣做了。我感到困惑的是為什么這樣一項(xiàng)簡(jiǎn)單的工作其余98%的企業(yè)沒(méi)有做�,” Tippett說(shuō)。
9.不清楚重要數(shù)據(jù)信息的存儲(chǔ)位置�,沒(méi)有嚴(yán)格遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)
大多數(shù)企業(yè)網(wǎng)絡(luò)管理人員認(rèn)為,他們確切地知道關(guān)鍵數(shù)據(jù)的存儲(chǔ)位置�,比如信用卡信息、社會(huì)安全號(hào)碼或其它個(gè)人身份識(shí)別信息�,并且對(duì)這些存儲(chǔ)關(guān)鍵信息的服務(wù)器采用了最高級(jí)別的安全措施。但是��,顯示情況卻是這些數(shù)據(jù)還有可能存儲(chǔ)在網(wǎng)絡(luò)上的其它地方�����,比如備份網(wǎng)站或軟件開(kāi)發(fā)部���。
正是這些次要的����、非關(guān)鍵服務(wù)器才更容易受到攻擊,從而導(dǎo)致核心數(shù)據(jù)被竊���,給企業(yè)帶來(lái)嚴(yán)重的災(zāi)難�����。查找所有關(guān)鍵數(shù)據(jù)存儲(chǔ)位置的一個(gè)簡(jiǎn)單方法就是執(zhí)行網(wǎng)絡(luò)發(fā)現(xiàn)過(guò)程�������!拔覀兺ǔ(huì)在網(wǎng)絡(luò)上安裝一個(gè)探測(cè)器�����,這樣我們就能看到關(guān)鍵數(shù)據(jù)從哪里出來(lái)的��,并且要用到哪里去,” Tippett說(shuō)�����。
所謂的PCI DSS 實(shí)施包括對(duì)銀行信用卡/借記卡不同品牌12項(xiàng)非常嚴(yán)格的安全標(biāo)準(zhǔn)審查�,審查其使用環(huán)境與信息安全問(wèn)題的政策和程序����,從而有效地保護(hù)持卡人的個(gè)人信息�������!暗蠖鄶(shù)企業(yè)網(wǎng)絡(luò)管理人員沒(méi)有遵守PCI標(biāo)準(zhǔn)����! Tippett說(shuō)�����。有時(shí)��,雖然網(wǎng)絡(luò)管理人員對(duì)他們所知道的信用卡數(shù)據(jù)存儲(chǔ)服務(wù)器執(zhí)行了PCI標(biāo)準(zhǔn)���,但是�����,在托管這些重要數(shù)據(jù)的其它未知服務(wù)器上卻沒(méi)有采取任何措施��。
根據(jù)Verizon Business的報(bào)告�����,98%的網(wǎng)絡(luò)犯案記錄都涉及到信用卡數(shù)據(jù)����,但是,只有19%的企業(yè)遵循PCI標(biāo)準(zhǔn)����。“顯而易見(jiàn)的����,遵循PCI標(biāo)準(zhǔn)真的很有效,” Tippett說(shuō)�。
10.沒(méi)有一個(gè)全面的備份/災(zāi)難恢復(fù)計(jì)劃
并不是做備份有多么困難。問(wèn)題是很多時(shí)候你會(huì)因?yàn)槊y而忘記了他們����。因?yàn)榇蠖鄶?shù)的系統(tǒng)管理員往往一天下來(lái)都忙得頭昏腦漲,而備份看起 來(lái)是件浪費(fèi)時(shí)間���,毫無(wú)意義的工作——直到你真正需要它們之前�。
顯然����,你需要備份企業(yè)的重要數(shù)據(jù)。我不是暗示大多數(shù)管理員們沒(méi)有適當(dāng)?shù)膫浞莶呗�����。但是這些備份策略中���,有很多策略十年來(lái)從未改變過(guò)�����。 你按照規(guī)定的時(shí)間間隔�����,用磁帶備份了指定的重要文件��,然后你就把它拋在腦后了���。你沒(méi)有考慮過(guò)評(píng)估與校正備份策略,甚至你都沒(méi)有定期測(cè) 試備份磁帶,以確認(rèn)你的數(shù)據(jù)的確被正確備份下來(lái)了��。直到某一天你不得不這么做(磁帶系統(tǒng)毀壞了���,甚至更慘——你遭遇了一次災(zāi)難性的數(shù) 據(jù)損失�,現(xiàn)在你不得不使用備份來(lái)恢復(fù))
至于災(zāi)難恢復(fù)�����,擁有一個(gè)完善考慮過(guò)的災(zāi)難恢復(fù)計(jì)劃往往更糟����。也許,在你的抽屜里就躺著一份寫(xiě)好的商務(wù)持續(xù)性計(jì)劃���,但是它真的是最新的 嗎����?它的確考慮到了你的所有設(shè)備和人員嗎�?所有重要的人員都了解該計(jì)劃嗎?(舉個(gè)例子��,也許在計(jì)劃完成之后��,又有新人被提升到了關(guān)鍵 的位置上。)這個(gè)計(jì)劃已經(jīng)覆蓋了所有的重要因素嗎�����?包括如何盡可能迅速的發(fā)現(xiàn)問(wèn)題����,如何提醒相關(guān)人員����,如何隔離被影響的系統(tǒng),以及如 何修復(fù)和恢復(fù)生產(chǎn)�?
11. 忽視警報(bào)信號(hào)
UPS已經(jīng)顯示了一周的警報(bào),提醒你是時(shí)候更換這老古董了�����。郵件服務(wù)器突然每天都會(huì)重起好幾次��。用戶投訴他們的網(wǎng)頁(yè)連接會(huì)突然神秘中斷幾 分鐘而后再恢復(fù)正常����。不過(guò)所有的一切似乎都還在正常運(yùn)轉(zhuǎn),所以你稍稍推遲了檢查問(wèn)題的時(shí)間……直到某一天�,你剛上班��,網(wǎng)絡(luò)就癱瘓了����。
正如對(duì)待我們自己的身體健康狀況一樣����,你應(yīng)當(dāng)及早留心網(wǎng)絡(luò)故障的早期危險(xiǎn)信號(hào),并在問(wèn)題變得嚴(yán)重之前及早將它揪出來(lái)����。
12.從不記錄變動(dòng)情況
當(dāng)你對(duì)服務(wù)器的設(shè)置作過(guò)變動(dòng)之后,應(yīng)當(dāng)花點(diǎn)時(shí)間把它記錄下來(lái)����。當(dāng)物理?yè)p壞的災(zāi)難發(fā)生時(shí),或者你的操作系統(tǒng)損壞以致你不得不從頭開(kāi)始重 做系統(tǒng)時(shí)�����,你會(huì)很高興你事先做了這個(gè)工作�。甚至有時(shí)候,情況根本沒(méi)剛才說(shuō)的發(fā)生災(zāi)難這么糟——你只是剛剛對(duì)服務(wù)器的設(shè)置作了變更��,但 是看起來(lái)它并沒(méi)按照你的預(yù)期方式進(jìn)行工作��,而不巧的是此時(shí)你卻又忘記了原來(lái)的設(shè)置是什么。
的確����,做記錄花了你一點(diǎn)時(shí)間。但是就像備份一樣�����,它值得你花這些時(shí)間�����。
13.從不在LOG記錄上浪費(fèi)空間
節(jié)省磁盤(pán)空間的一個(gè)方法是放棄使用LOG記錄功能�����,或者設(shè)置你的LOG記錄文件每增長(zhǎng)到一個(gè)很小的數(shù)值后就覆蓋舊文件��。但是實(shí)際問(wèn)題是磁盤(pán) 空間其實(shí)相對(duì)便宜�,但是相對(duì)于沒(méi)有了LOG文件后�����,你抓耳撓腮去查找問(wèn)題所在并試圖解決問(wèn)題所花費(fèi)的數(shù)小時(shí)而言���,無(wú)論是從金錢(qián)還是你所遭 受的挫折���,所節(jié)省的空間都實(shí)在沒(méi)有多大價(jià)值�。
某些軟件默認(rèn)狀態(tài)下�,沒(méi)有自動(dòng)打開(kāi)他們的LOG記錄功能。但是如果你想在問(wèn)題出現(xiàn)后的眾多悲痛中解救自己的話��,記住這個(gè)原理:“任何可以 被記錄的東西都應(yīng)該被記錄下來(lái)”��。
14.不及時(shí)安裝重要的更新
“這不會(huì)發(fā)生在我身上”的樂(lè)觀綜合癥導(dǎo)致了許多網(wǎng)絡(luò)的垮臺(tái)�。的確,某些更新和補(bǔ)丁有時(shí)會(huì)打斷重要的應(yīng)用軟件���,導(dǎo)致連接故障���,或者干脆 癱瘓操作系統(tǒng)。因此你應(yīng)該在部署之前徹底的測(cè)試這些升級(jí)程序�����,以避免上述現(xiàn)象的發(fā)生�����。但是一旦確認(rèn)這些更新或補(bǔ)丁安全后,你應(yīng)當(dāng)盡可 能快地安裝它們����。
想想Nimda以及其他主要病毒、蠕蟲(chóng)對(duì)系統(tǒng)造成的巨大損害吧���,雖然針對(duì)它們的補(bǔ)丁早已被放了出來(lái)����。
15.推遲升級(jí)以節(jié)約時(shí)間和金錢(qián)
升級(jí)你的操作系統(tǒng)以及特殊應(yīng)用軟件可能既費(fèi)時(shí)又費(fèi)錢(qián)����。但是推遲升級(jí)太久費(fèi)用可能會(huì)更加昂貴����,特別是對(duì)安全而言。有2個(gè)原因:
新軟件通常內(nèi)置更好的安全機(jī)制���。與以前相比�����,現(xiàn)在對(duì)安全代碼的關(guān)注明顯高多了�����。
供應(yīng)商一般在一定時(shí)間之后就會(huì)停止對(duì)老版本軟件的支持��。這意味著停止發(fā)布相應(yīng)的安全補(bǔ)丁����,所以如果你還繼續(xù)運(yùn)行老版本的軟件,你將無(wú) 法抵御新的攻擊威脅�。
如果在你的企業(yè)內(nèi)升級(jí)全部系統(tǒng)并不可行,那么分批進(jìn)行升級(jí)��,首先升級(jí)最容易受到攻擊的系統(tǒng)��。
16.管理口令粗枝大葉
雖然多元認(rèn)證(智能卡�����、指紋認(rèn)證)等正變得日益流行�,絕大多數(shù)企業(yè)依舊在依靠用戶名和密碼來(lái)登錄網(wǎng)絡(luò)系統(tǒng)。不良的口令策略以及粗枝大葉 的口令管理會(huì)成為安全系統(tǒng)最薄弱的一環(huán)��,讓惡意攻擊者無(wú)需多少技術(shù)即可侵入你的系統(tǒng)�。
要求口令必須足夠長(zhǎng)度、足夠復(fù)雜(最好采用通行字短語(yǔ)),要求用戶定期更改口令��,不許使用重復(fù)的口令��。通過(guò)Windows的組策略或第三方軟 件產(chǎn)品執(zhí)行口令策略����。確保用戶已經(jīng)進(jìn)行過(guò)口令保密性教育,并事先警告他們社會(huì)學(xué)工程師用于探取他們口令的相關(guān)技術(shù)����。
如果可能,實(shí)行一個(gè)除口令或PIN碼之外的二次認(rèn)證(你有什么或你是什么)��。
17.無(wú)時(shí)無(wú)刻試圖取悅所有人
網(wǎng)絡(luò)管理員的工作并不需要每個(gè)人都喜歡你����。你常常需要設(shè)定并執(zhí)行人們不喜歡的規(guī)則�。要抵御“例外”的誘惑(比如——“喔,看在你的份 上�����,我們會(huì)設(shè)置防火墻����,讓你可以使用即時(shí)通信軟件”)
你的工作只是確保用戶可以正常工作——除此以外沒(méi)有別的���。
18.從來(lái)不關(guān)心任何人
正如在網(wǎng)絡(luò)的安全性和完整性處于危險(xiǎn)時(shí)你要堅(jiān)守陣地一樣,聆聽(tīng)管理層和用戶們的需求也同樣重要��。找出他們完成工作所需的支持����,并在你 的職責(zé)范圍內(nèi)盡可能的讓他們的工作變得更容易(你的職責(zé)就是確保一個(gè)安全可靠的網(wǎng)絡(luò))。
不要忽略網(wǎng)絡(luò)首先存在的理由:為了人們可以共享文件與設(shè)備�,發(fā)送和接收郵件,訪問(wèn)Internet�,等等。如果你讓這些都變得分外困難��,他們 可能會(huì)尋找方法繞過(guò)你的保密措施�,這也許會(huì)引發(fā)更厲害的安全威脅。
19.不教別人做你的工作���,以此確保自己的不可或缺
這是一個(gè)企業(yè)界的普遍誤解��,而不僅僅是在IT界����。你認(rèn)為,如果你是唯一知道郵件服務(wù)器如何設(shè)置的人����,是唯一知道所有交換機(jī)所在的人,你的工作就變得安全了���。這也是許多系統(tǒng)管理員不肯記錄網(wǎng)絡(luò)設(shè)置與變化的另一個(gè)原因����。
悲哀的現(xiàn)實(shí)是:沒(méi)有人是不可或缺的�。如果你因?yàn)槟撤N原因離開(kāi)了,公司會(huì)繼續(xù)運(yùn)作�����。你的保密措施可能會(huì)對(duì)你的繼任者造成很大的困難�,但 是最后他或她還是會(huì)解決的。
而在你工作的這段時(shí)間內(nèi)���,如果你不訓(xùn)練他人來(lái)接手你的工作,你可能會(huì)將自己鎖定在當(dāng)前的工作崗位上�����,難以得到升遷……甚至難以獲得一次休假。
