用非常好的方法使用安全软件

今天的企业越来越倾向于把安全看作是企业应对外界灾难的能力，就如同对待自然灾害，人员失误一样来看待恶意攻击。 
 

企业在安全上的投入已经到达了历史上从来没有的程度，而且企业还在不断加大投入的力度，以确保投资人的信心，并满足标准和法律的要求。

但是保护系统安全性不仅仅是购买防火墙、反病毒软 件和登陆技术那么简单。

“好的IT安全性应该更多的是好的管理。按时安装补丁程序比安装昂贵的、新的安全设备要重要的多。” Bart Vansevenant表示。他是安全服务供应厂商Ubize的欧洲安全策略总监。

“安全的环境通常有好的文件记录，定期地为系统打补丁，对于服务器的详细的监控和控制，好的安全性应该成为文化的一部分。”

这对于管理安全策略是非常重要的，因为没有一个动态维护和强有力的策略，你在安全技术上所做的大量投入都将被浪费掉。

策略是任何安全流程中的定义部分。它清晰地阐明什么是需要做的，并指出对于企业来说什么是最重要的，它还包含了很多需要传递的、最重要的安全信息。

策略定义了企业的文化，并且对于企业能否达到法律要求起到至关重要的作用。

非常好的方法策略

绝大部分企业都起码有一些文件性的策略，也许包含了一些范围权限的问题，这些问题可能是同企业运作关系最为明显和紧密的。在一些领域（特别是人力资源）通常都有设计良好的工作流程，但是很多领域内的策略都执行不力。

这通常与IT有关，这是个快速变化的世界，软件和硬件技术日新月异，让人很难追踪最新的技术并运用它们，而且与此同时，还要能够服务于用户和公司。

但是你应该如何着手解决这个问题呢？对于绝大部分企业来说，安全需求是要取决于商业需求的。

“为了制订一个恰当的安全策略，企业应该清楚地认识到哪些内容是需要保护的，以及它们是从哪里来的。” Rainbow Technologies的销售及市场副总裁Gary Clarke表示。

“明确企业内部的哪些人需要访问某种类型的信息是执行安全策略的关键。谁应该被允许访问，应该允许多长时间，在怎样的环境下进行？”

“通过回答这些问题，公司可以把安全策略明确化，并清楚了解自己的特定需求，一旦全公司都能够认可并理解安全策略，就可以使用相应的技术来保护敏感的信息。”

对于那些缺少专家或者时间来自己制订策略的公司来说，可以通过互联网获得策略的形式，而且这样做通常只需要付很少的费用，甚至可能是完全免费的。

问题在于策略只是对于购买的日期来说是有效的。而购买者必须对它保持升级。这些策略的另外一个缺点是你会很难根据自己的需求对它们进行调整和修改。

“保护信息并确保符合最优方法的标准已经成为良好商业管理中越来越重要的部分。”Jason Creasey表示。他是信息安全论坛（Information Security Forum）的资深项目经理。“企业需要对于什么是信息安全的非常好的方法做出清晰的定义。”

Information Security Forum公布了一系列非常好的方法，它非常好，而且是完全免费的。

“该标准提供了一套框架，它来源于我们成员企业的工作和实践经验。” Creasey表示。

“它能够帮助企业评估自己的安全状况和执行状况，还能够增加安全意识，检查行业标准/规章的符合程度，并帮助保持商业信誉。”

另一个更为实用的方法是聘请外部咨询企业帮助进行策略的制订（或者至少让他们帮助检查企业内部制订的策略）。这会为所有的问题提供另一个角度，而且更有效的使用管理时间。

升级策略的工作也可以交给第三方的力量来完成，这就让IT部门能够集中精力加大执行力度。

无线安全防护非常好的方法

无线局域网技术在很多公司都已经变得常见，无线局域网是企业局域网的一种快速、方便而且便宜的补充的有效手段，它能够提供移动性和灵活性，并且通过提高对网络资源的访问提高了生产效率。

但是，无线网络同时也可能是IT安全性的一个重大隐患，造成网络对外部世界的开放，因此给系统和数据带来危险。

希望或者已经采用了无线局域网的公司必须确保已经针对无线局域网可能带来的潜在危险制订好了策略和管理制度，这些不仅仅是需要写在文件上，还需要落实到行动中。

3Com的国际无线和安全经理Angelo Lamme列举了以下建议以确保无线网络的安全性，并帮助管理无线网络：

把接入点放在合适的地方。原则是：在你的网络配置中，要确保把接入点连接在防火墙之外。

使用Mac地址来控制访问：使用基于Mac地址进行访问控制，只允许已登记的机器访问网络。

由于可能存在‘欺诈’，Mac地址过滤能够给那些未经授权的用户制造障碍。

管理你的无线网络ID：所有的无线局域网都有一个服务区标识符（SSID）或者网络名称。立刻修改掉它，把它改成某一串由数字和字母随意组成的复杂组合。如果你的公司能够处理管理工作，定期修改SSID。

打开加密：有线等效加密（WEP，Wired Equivalent Privacy）是802.11b标准的无线安全加密协议。激活它，并且立即更改Wep key ，不使用缺省的Wep key是公认的安全方法，不过它仅仅能够对恶意用户造成一点障碍，所以你的态度应该是：使用它，但不要依赖它。

整合有线网络和无线网络的策略：无线网络安全性不是一个完全独立的问题，需要完全不同的程序和协议。对于有线网络和无线网络安全性使用一整套完整安全策略能够保证不会出现一致性的问题。

不要允许部门自己建立网络：无线局域网已经简单到任何非技术背景的员工都可以为自己的部门架设无线路由器或者接入点。他们这样做的时候通常不会仔细考虑安全性的问题。定期对网络使用入侵监测工具进行扫描能够帮助你找到这些这些可能成为黑客入口点的私建网络。创建一个策略：在没有得到系统管理员正式批准和配置之前，不允许任何人建立无线局域网。
教育的非常好的方法

传统的策略宣传方式是向新员工发放员工手册，然后要求他们执行手册上的内容。可是事实上很少有人会花时间去认真阅读那些厚厚的手册，而且手册上的内容也很少更新。

Baltimore Technologies的首席顾问，Ian White表示，公司必须重视教育自己的员工，并且要注意同他们沟通关于安全策略的问题，这样做会比简单地要求员工遵守制度效果更好。

“对于企业来说，最有效、最省钱的安全方法是使用一些安全信息来提高员工和客户的安全意识。”他表示。

用户普遍的安全意识水平哪怕是提高了一小点，也会导致行为上很大的不同，也就可能让潜在的黑客无从下手。

缺少对安全策略的理解不仅仅发生在底层员工之中，这种情况也出现在高层中。IT部门总是不断地试图向所有人解释安全策略。

“首席执行官可能会在无意中引起最重大的安全问题。” Clarke表示。“因为他们通常都对系统的所有数据和功能都有不受限制的访问权力，而且她/他很有可能最不懂得安全控制的意义。”

“想想看，公司的高级管理人员很可能会觉得很难记住新密码。所以他们不可避免地会选择一些安全性比较差的密码，或者更糟糕的是他们可能把密码记录在便签纸上，而那些便签纸非常有可能被未经授权的用户发现。”

这对于IT部门来说是个问题，IT部门很多时候都会发现自己处在一种不被接受的境地，而违背安全策略的恰恰是授予IT部门权力的高级管理层。

这又回到了为什么需要一个操作策略这个问题上，而且操作策略必须清晰地表明商业和工作效率同安全的关系。

这样，你才能够同管理层讨论预算，而不仅仅是遵守规则。

“首席执行官们关心的焦点不是安全性，他们所关心的是如何为他们的投资人获得最大的利益。” Clarke表示。

“这意味着企业在安全问题上的高额预算可能会缩减，因为他们可能会认为他们在安全问题上做的已经够多的了，没有出现什么危险，而新的建议方案似乎太过超前了。”

“只有当病毒造成网络瘫痪达数日之久后，他们才会问为什么安全性这么糟糕。”

有的时候企业纯粹是因为财务的原因而不愿意在安全上进行投资，但是，这样的企业往往是低估了浪费掉的管理时间所造成的成本，也忽略了由于计算机系统问题造成公众信誉下降的风险。

而且，对于违反规则的处罚一直是企业面临的一个问题，很多时候企业对于为自己服务的员工的管理不够。企业有了起草周密的策略，还需要减少违反规则的情况发生，这样才能真正地发挥策略的作用。

让密码起作用

从最简单的角度说，密码是用户设定的一串字符，用以想他们希望访问的计算机系统证明他们身份、授权、访问权利等。它们仍然是所有计算机系统的核心。

但是选择一个“不可能被猜测出来”的密码仅仅是开始。管理密码的水平也能够决定它的效用。下面是一些关于密码管理的非常好的方法供参考：

用户的密码永远都不应该被写出来。一旦它们被写在纸上或者文件里，泄密就可能让其他的安全措施形同虚设。对于黑客来说，一个丢失的密码不仅仅意味的是个人的密码，它还意味着可能进入某个系统或者获得某种服务。

关键角色的密码（比如系统管理员或者网络管理员）应该被复制下来，然后存放在防火的安全位置，并且要有两个人管理，以便于能够在紧急情况下，让被授权的人以该身份访问系统。

密码必须定期更换，而且新密码应该由用户自己设定。虽然很多帐户的初始密码通常都是由IT部门设定的，但是用户应该在拿到密码之后就立即更改密码，并且对密码保密。

密码的变更必须是强制性的，如果有必要，应该为密码设置有效期，超过了这个有效期，用户的密码就不再被系统接受，如果用户再用旧的密码登陆系统，就会向系统控制台发出安全警报。

任何敏感的系统都不应该允许某个“用户”在长达两个星期之久的时间里，一直尝试用不同的字母/数字组合来进行登陆。在一个设定的时间之后，或者在某个设定的次数之后，该用户名就应该被锁死。
对付病毒

反病毒技术最大的问题之一就是，同很多其他的安全技术不同，你不能够在同一台机器上使用多个反病毒软件。

反病毒软件为了寻找和清除病毒所使用的侵入和探听技术经常会被误认为是病毒行径，所以在同一台机器上运行多个反病毒软件常常会导致反病毒A把反病毒B误认为是病毒，反之亦然。

对于这个问题的答案是在整个IT架构的不同部分使用不同品牌的反病毒产品，以确保反病毒的力量涉及到了文件服务器、应用服务器、邮件网关、桌面电脑、笔记本电脑等等，在不同的位置使用不同品牌既能够避免出现反病毒软件之间相互误会的情况。

不过即便是这样，如果反病毒软件不能够按时升级更新，一切也都是白费。现在的新病毒的涌现速度是如此之快，很多大型反病毒厂商每天都会发布新的def文件（ def文件是一个关于已知病毒的数据库，以及帮助进行启发式扫描的行为信息）。

必须建立一些机制以保证所有平台上的反病毒软件都能够按时进行升级。

绝大部分厂商都提供企业管理工具，该工具能够在登陆时在后台自动地分发def文件、软件升级文件和补丁，它还能够帮助系统管理员集中管理所有使用该反病毒软件的用户配置。

转载地址：http://www.net130.com/CMS/Pub/special/special_vpn/104952.htm