網(wǎng)絡(luò)管理員常犯19大愚蠢錯誤(二)
8.沒有正確配置路由器�,從而禁止不必要的流量
惡意軟件的一種很流行的破壞方式就是在服務(wù)器上安裝后門或命令腳本。而防止黑客利用后門或命令腳本進(jìn)行破壞的方法之一就是使用訪問空盒子列表對網(wǎng)絡(luò)進(jìn)行劃分����。這樣就可以防止服務(wù)器向非法的方向發(fā)送數(shù)據(jù)。例如,郵件服務(wù)器只能發(fā)送郵件流�����,而不是SSH流����。除此以外,另一種方法就是將路由器用于缺省拒絕出口過濾��,阻止所有出站流量��,除非你想要留下某些有用信息�����。
“只有2%的企業(yè)這樣做了。我感到困惑的是為什么這樣一項簡單的工作其余98%的企業(yè)沒有做����,” Tippett說��。
9.不清楚重要數(shù)據(jù)信息的存儲位置�����,沒有嚴(yán)格遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)
大多數(shù)企業(yè)網(wǎng)絡(luò)管理人員認(rèn)為����,他們確切地知道關(guān)鍵數(shù)據(jù)的存儲位置,比如信用卡信息�����、社會安全號碼或其它個人身份識別信息����,并且對這些存儲關(guān)鍵信息的服務(wù)器采用了最高級別的安全措施。但是��,顯示情況卻是這些數(shù)據(jù)還有可能存儲在網(wǎng)絡(luò)上的其它地方,比如備份網(wǎng)站或軟件開發(fā)部�����。
正是這些次要的��、非關(guān)鍵服務(wù)器才更容易受到攻擊���,從而導(dǎo)致核心數(shù)據(jù)被竊,給企業(yè)帶來嚴(yán)重的災(zāi)難���。查找所有關(guān)鍵數(shù)據(jù)存儲位置的一個簡單方法就是執(zhí)行網(wǎng)絡(luò)發(fā)現(xiàn)過程�������!拔覀兺ǔ诰W(wǎng)絡(luò)上安裝一個探測器����,這樣我們就能看到關(guān)鍵數(shù)據(jù)從哪里出來的����,并且要用到哪里去,” Tippett說�����。
所謂的PCI DSS 實施包括對銀行信用卡/借記卡不同品牌12項非常嚴(yán)格的安全標(biāo)準(zhǔn)審查�,審查其使用環(huán)境與信息安全問題的政策和程序,從而有效地保護持卡人的個人信息�������!暗蠖鄶(shù)企業(yè)網(wǎng)絡(luò)管理人員沒有遵守PCI標(biāo)準(zhǔn)���������! Tippett說。有時��,雖然網(wǎng)絡(luò)管理人員對他們所知道的信用卡數(shù)據(jù)存儲服務(wù)器執(zhí)行了PCI標(biāo)準(zhǔn)���,但是����,在托管這些重要數(shù)據(jù)的其它未知服務(wù)器上卻沒有采取任何措施。
根據(jù)Verizon Business的報告����,98%的網(wǎng)絡(luò)犯案記錄都涉及到信用卡數(shù)據(jù),但是���,只有19%的企業(yè)遵循PCI標(biāo)準(zhǔn)���!帮@而易見的�����,遵循PCI標(biāo)準(zhǔn)真的很有效��,” Tippett說���。
10.沒有一個全面的備份/災(zāi)難恢復(fù)計劃
并不是做備份有多么困難。問題是很多時候你會因為忙亂而忘記了他們��。因為大多數(shù)的系統(tǒng)管理員往往一天下來都忙得頭昏腦漲,而備份看起 來是件浪費時間���,毫無意義的工作——直到你真正需要它們之前�����。
顯然��,你需要備份企業(yè)的重要數(shù)據(jù)����。我不是暗示大多數(shù)管理員們沒有適當(dāng)?shù)膫浞莶呗�����。但是這些備份策略中�����,有很多策略十年來從未改變過���。 你按照規(guī)定的時間間隔�����,用磁帶備份了指定的重要文件���,然后你就把它拋在腦后了���。你沒有考慮過評估與校正備份策略,甚至你都沒有定期測 試備份磁帶�����,以確認(rèn)你的數(shù)據(jù)的確被正確備份下來了���。直到某一天你不得不這么做(磁帶系統(tǒng)毀壞了�����,甚至更慘——你遭遇了一次災(zāi)難性的數(shù) 據(jù)損失,現(xiàn)在你不得不使用備份來恢復(fù))
至于災(zāi)難恢復(fù)��,擁有一個完善考慮過的災(zāi)難恢復(fù)計劃往往更糟����。也許,在你的抽屜里就躺著一份寫好的商務(wù)持續(xù)性計劃���,但是它真的是最新的 嗎�?它的確考慮到了你的所有設(shè)備和人員嗎?所有重要的人員都了解該計劃嗎��?(舉個例子���,也許在計劃完成之后�,又有新人被提升到了關(guān)鍵 的位置上��。)這個計劃已經(jīng)覆蓋了所有的重要因素嗎��?包括如何盡可能迅速的發(fā)現(xiàn)問題����,如何提醒相關(guān)人員,如何隔離被影響的系統(tǒng)����,以及如 何修復(fù)和恢復(fù)生產(chǎn)?
11. 忽視警報信號
UPS已經(jīng)顯示了一周的警報�,提醒你是時候更換這老古董了。郵件服務(wù)器突然每天都會重起好幾次�。用戶投訴他們的網(wǎng)頁連接會突然神秘中斷幾 分鐘而后再恢復(fù)正常。不過所有的一切似乎都還在正常運轉(zhuǎn)��,所以你稍稍推遲了檢查問題的時間……直到某一天,你剛上班�����,網(wǎng)絡(luò)就癱瘓了�����。
正如對待我們自己的身體健康狀況一樣����,你應(yīng)當(dāng)及早留心網(wǎng)絡(luò)故障的早期危險信號,并在問題變得嚴(yán)重之前及早將它揪出來��。
12.從不記錄變動情況
當(dāng)你對服務(wù)器的設(shè)置作過變動之后��,應(yīng)當(dāng)花點時間把它記錄下來����。當(dāng)物理損壞的災(zāi)難發(fā)生時��,或者你的操作系統(tǒng)損壞以致你不得不從頭開始重 做系統(tǒng)時��,你會很高興你事先做了這個工作��。甚至有時候,情況根本沒剛才說的發(fā)生災(zāi)難這么糟——你只是剛剛對服務(wù)器的設(shè)置作了變更��,但 是看起來它并沒按照你的預(yù)期方式進(jìn)行工作�����,而不巧的是此時你卻又忘記了原來的設(shè)置是什么�����。
的確�����,做記錄花了你一點時間�����。但是就像備份一樣���,它值得你花這些時間���。
13.從不在LOG記錄上浪費空間
節(jié)省磁盤空間的一個方法是放棄使用LOG記錄功能,或者設(shè)置你的LOG記錄文件每增長到一個很小的數(shù)值后就覆蓋舊文件。但是實際問題是磁盤 空間其實相對便宜�,但是相對于沒有了LOG文件后,你抓耳撓腮去查找問題所在并試圖解決問題所花費的數(shù)小時而言�,無論是從金錢還是你所遭 受的挫折,所節(jié)省的空間都實在沒有多大價值���。
某些軟件默認(rèn)狀態(tài)下��,沒有自動打開他們的LOG記錄功能�����。但是如果你想在問題出現(xiàn)后的眾多悲痛中解救自己的話�����,記住這個原理:“任何可以 被記錄的東西都應(yīng)該被記錄下來”�。
14.不及時安裝重要的更新
“這不會發(fā)生在我身上”的樂觀綜合癥導(dǎo)致了許多網(wǎng)絡(luò)的垮臺�����。的確�����,某些更新和補丁有時會打斷重要的應(yīng)用軟件�,導(dǎo)致連接故障,或者干脆 癱瘓操作系統(tǒng)����。因此你應(yīng)該在部署之前徹底的測試這些升級程序,以避免上述現(xiàn)象的發(fā)生���。但是一旦確認(rèn)這些更新或補丁安全后��,你應(yīng)當(dāng)盡可 能快地安裝它們�����。
想想Nimda以及其他主要病毒���、蠕蟲對系統(tǒng)造成的巨大損害吧,雖然針對它們的補丁早已被放了出來����。
15.推遲升級以節(jié)約時間和金錢
升級你的操作系統(tǒng)以及特殊應(yīng)用軟件可能既費時又費錢。但是推遲升級太久費用可能會更加昂貴��,特別是對安全而言����。有2個原因:
新軟件通常內(nèi)置更好的安全機制�。與以前相比�,現(xiàn)在對安全代碼的關(guān)注明顯高多了。
供應(yīng)商一般在一定時間之后就會停止對老版本軟件的支持�。這意味著停止發(fā)布相應(yīng)的安全補丁,所以如果你還繼續(xù)運行老版本的軟件��,你將無 法抵御新的攻擊威脅���。
如果在你的企業(yè)內(nèi)升級全部系統(tǒng)并不可行���,那么分批進(jìn)行升級,首先升級最容易受到攻擊的系統(tǒng)�。
16.管理口令粗枝大葉
雖然多元認(rèn)證(智能卡、指紋認(rèn)證)等正變得日益流行��,絕大多數(shù)企業(yè)依舊在依靠用戶名和密碼來登錄網(wǎng)絡(luò)系統(tǒng)��。不良的口令策略以及粗枝大葉 的口令管理會成為安全系統(tǒng)最薄弱的一環(huán)�,讓惡意攻擊者無需多少技術(shù)即可侵入你的系統(tǒng)。
要求口令必須足夠長度���、足夠復(fù)雜(最好采用通行字短語)����,要求用戶定期更改口令�,不許使用重復(fù)的口令。通過Windows的組策略或第三方軟 件產(chǎn)品執(zhí)行口令策略���。確保用戶已經(jīng)進(jìn)行過口令保密性教育��,并事先警告他們社會學(xué)工程師用于探取他們口令的相關(guān)技術(shù)�����。
如果可能�����,實行一個除口令或PIN碼之外的二次認(rèn)證(你有什么或你是什么)����。
17.無時無刻試圖取悅所有人
網(wǎng)絡(luò)管理員的工作并不需要每個人都喜歡你�����。你常常需要設(shè)定并執(zhí)行人們不喜歡的規(guī)則����。要抵御“例外”的誘惑(比如——“喔���,看在你的份 上,我們會設(shè)置防火墻��,讓你可以使用即時通信軟件”)
你的工作只是確保用戶可以正常工作——除此以外沒有別的�����。
18.從來不關(guān)心任何人
正如在網(wǎng)絡(luò)的安全性和完整性處于危險時你要堅守陣地一樣��,聆聽管理層和用戶們的需求也同樣重要���。找出他們完成工作所需的支持���,并在你 的職責(zé)范圍內(nèi)盡可能的讓他們的工作變得更容易(你的職責(zé)就是確保一個安全可靠的網(wǎng)絡(luò))。
不要忽略網(wǎng)絡(luò)首先存在的理由:為了人們可以共享文件與設(shè)備��,發(fā)送和接收郵件�����,訪問Internet��,等等。如果你讓這些都變得分外困難�����,他們 可能會尋找方法繞過你的保密措施�����,這也許會引發(fā)更厲害的安全威脅�。
19.不教別人做你的工作��,以此確保自己的不可或缺
這是一個企業(yè)界的普遍誤解���,而不僅僅是在IT界�����。你認(rèn)為���,如果你是唯一知道郵件服務(wù)器如何設(shè)置的人,是唯一知道所有交換機所在的人��,你的工作就變得安全了�����。這也是許多系統(tǒng)管理員不肯記錄網(wǎng)絡(luò)設(shè)置與變化的另一個原因。
悲哀的現(xiàn)實是:沒有人是不可或缺的���。如果你因為某種原因離開了���,公司會繼續(xù)運作。你的保密措施可能會對你的繼任者造成很大的困難��,但 是最后他或她還是會解決的�。
而在你工作的這段時間內(nèi),如果你不訓(xùn)練他人來接手你的工作�,你可能會將自己鎖定在當(dāng)前的工作崗位上,難以得到升遷……甚至難以獲得一次休假����。
