《不花钱解决网络安全问题》摘记
这一系列文章是阅读《Secure Your Network for Free: Using NMAP, WIRESHARK, SNORT, NESSUS, and MRTG》时的摘要记录,并非原文翻译,仅供学习者参考。如果对部分技术内容的细节感兴趣,可以查阅原书或其他相关技术讨论文章。
第八章 安全是持续进行的过程
除了配置必要的安全设备,并定期进行检测,处理潜在隐患。维护一个安全的计算环境是应对层出不穷的新威胁的必要工作。
补丁管理
广义上的补丁管理可以理解为“试一切软件可控制的保持更新”。其中,对于系统补丁,虽然通常意义上不会是系统的功能减少,但因为其可能改变了之前的默认管理逻辑和安全策略,因此更新后可能造成某些原来可以使用的软件无法继续使用或需要重新配置。通常,补丁管理需要可以规律的检查各个相关软件的补丁情况,对于补丁也需要根据其重要程度进行分级。
- 重要级:解决严重脆弱性隐患和问题的补丁。
- 高优先级:解决较常规情况稍严重的脆弱性隐患和问题的补丁。需要提前于常规更新周期部署的补丁。通常需要在一周内完成更新。
- 中优先级:解决常规脆弱性问题的补丁。在常规补丁更新周期内(通常为一个月)完成部署即可。
- 低优先级:解决较常规情况更弱的脆弱性隐患和问题的补丁。可以晚于常规更新周期部署的补丁。
- 可忽略级:对当前系统软硬件不适用的补丁,可以不更新。
补丁管理的重要环节之一是“更新测试”。只有通过测试,确认更新不会对当前软硬件的运行产生严重影响,才可执行。当更新无法通过测试时,需要明确原因,评估更新和不更新的后果,妥善设计解决方案。需要注意,测试流程和测试内容本身也需要进行规律的调整,以适应软硬件的变化。
网络基础设备补丁
网络基础设备包含组成网络、接入网络和使用网络的所有设备。通常情况下,对于网络基础设备的更新都要尽量及时。由于网络设备对整个网络的运行稳定有着重要意义,在进行更新时应该更为谨慎,以确保不会影响网络的正常运行。
操作系统补丁
操作系统补丁可能改变系统中已运行的程序所依赖的某些底层逻辑或安全策略,因此需要在进行前确认各应用程序在系统补丁安装后是否可正常运行。
应用程序补丁
通常情况下,一个应用程序的补丁更新不会影响其他程序的运行,但有些应用之间也存在依赖关系,应当谨慎梳理。通常情况下,只有当前版本无法满足功能需要,或存在必须修复的重大问题时,才需要安装补丁和更新。
变动管理
变动管理比补丁管理的范围更广,指的对于系统内任何软硬件的变动进行管理。变动管理的目的在于掌握系统内的所有变动,以避免产生风险。
- 变动可能k造成的系统瘫痪。
- 文档不规范和缺失可能使问题解决更加困难,使问题的影响恶化。
变动管理的策略
变动管理的策略通常需要包含如下因素:
- 变动评估:
- 不进行变动可能带来的风险。
- 进行变动可能对当前系统/服务造成的负面影响。
- 受影响的系统/服务的重要程度。
- 其他非技术方面的考虑。例如系统故障造成的用户体验下降,对企业口碑的影响等。
- 变动规划:规划变动执行的时间、步骤等内容。
- 变动文档:
- 记录变动评估结果。
- 记录变动规划方案。
- 记录测试结果。
- 记录应急方案。
- 相关联系人。
- 记录与变动相关的管理人员和技术人员的认可,例如授权执行变动,知晓变动后果等。
反病毒方案
部署必要的反病毒系统并及时更新。制定日常工作规范,周期性的、及时的审阅检测结果,排除风险。
反间谍软件方案
部署必要的反间谍软件系统并及时更新。制定日常工作规范,对发现的间谍软件进行及时的风险评估和损失评估,并及时进行处理。有些反病毒系统也兼具了反间谍软件的功能。
入侵检测系统或入侵防御系统
对于 IDS/IPS,同样需要保证入侵行为特征库的及时更新。特别需要注意的是,当系统发生某些变动时,需要系统行为不会被 IDS/IPS 判断为非法并阻断,这也是对系统变动,例如安装补丁和更新,进行测试的关键内容之一。
脆弱性扫描
相对于脆弱性扫描仅利用已知知识被动检测系统存在的风险设置,渗透测试采用积极的方法测试系统是否存在被攻击的风险。二者均需要规律的执行,并及时更新。脆弱性管理的周期通常包含:
- 初始扫描。
- 确认扫描结果。
- 处理明确的问题。
- 再次扫描:在处理完扫描发现的问题后再次进行扫描是十分重要的,然而这一步骤经常被忽略。
参与人员在脆弱性扫描过程中承担的角色和责任需要明确,并通过文档进行记录。
渗透测试
渗透性测试针对的问题与脆弱性扫描相似,但通常由第三方执行,以实现对系统风险更客观、更全面的评估。进行渗透测试通常需要进行如下准备工作:
- 获得高级管理人员的支持。
- 明确测试需求。
安全策略评估
为了适应技术的发展以及系统使用需求,需要规律的对安全管理的策略、标准、流程、规范进行评估和更新。
物理安全
物理安全是系统安全的基础,需要保证系统的关键设备在物理上得到很好的管理,不会被非授权用户接触。
CERT 团队
CERT(Computer Emergency Response Team),计算机应急响应团队,是专门处理系统和网络重大技术问题的专业团队。也是建立完善的网络安全保障机制,解决由软硬件检测到的各种网络问题的最关键保障。加入以下的邮件列表可以及时获取需要关注的重大安全风险信息:
邮件列表 | 地址 | 说明 |
---|
Bugtraq | www.securityfocus.com/archive/1/description | 强管理,较少垃圾信息 | Microsoft Technical Security Notification Services | www.microsoft.com/technet/security/bulletin/notify.mspx | 微软产品相关 | Full Disclosure | https://lists.grok.org.uk/mailman/listinfo/full-disclosure | 弱管理,及时但可能存在垃圾信息 | Security Basics | www.securityfocus.com/archive/105/description | 网络安全相关 | Firewall Wizards | https://honor.trusecure.com/mailman/listinfo/firewall-wizards | 防火墙相关 |
|