經(jīng)常聽人說安全是一次旅行，而不是目的地。確實是這樣，因為在管理網(wǎng)絡(luò)資產(chǎn)安全時，你總是要領(lǐng)先你的對手(想要竊取、修改和破壞你的數(shù)據(jù)的網(wǎng)絡(luò)罪犯和不滿員工等)一步。你不能停留在一個地方太久，因為你的對手總是會不斷嘗試新技術(shù)來攻入你的網(wǎng)絡(luò)并獲取數(shù)據(jù)。在很多情況下，攻擊者甚至與網(wǎng)絡(luò)泄漏沒有直接關(guān)系，因為最具破壞性的攻擊通常是由有授權(quán)的內(nèi)部人員發(fā)起的。

好人和壞人總是爭先恐后，有時候他們在你前面，有時候你又在他們前面。可能更準(zhǔn)確地說，安全是一場競賽，與扳手腕比賽類似。然而，盡管安全是一場永遠(yuǎn)不會結(jié)束的旅行，你需要了解并充分利用沿途的檢查站，這些能夠幫助你改善企業(yè)的整體安全狀態(tài)，并且能夠在任何時間點評估你的安全狀態(tài)。在評估安全性后，你可以作出一些調(diào)整來改變安全配置。

正是出于這些考慮，本文為大家提供了改善安全的八個技巧：

1、優(yōu)化物理安全

安全行業(yè)有句老話：如果壞人可以獲取計算機(jī)的物理控制，那就完蛋了。一旦他們拿到物理控制權(quán)，他們就可以使用各種工具來訪問磁盤甚至是內(nèi)存的數(shù)據(jù)，當(dāng)然，他們還可以訪問“p0wnd”計算機(jī)移出和移入的任何信息。所以說，在考慮部署其他安全方法之前，物理安全是首先要考慮的。

物理安全包括：

進(jìn)入電腦機(jī)房的密鑰、智能卡或者生物識別門控技術(shù)

對電腦機(jī)房進(jìn)出情況的視頻記錄

對電腦機(jī)房進(jìn)出情況的日志記錄和報告

在電腦機(jī)房的入口和出口部署保安或者其他觀察員

在防止攻擊者攻入你的系統(tǒng)方面，物理安全能發(fā)揮很大作用。但是物理安全只是第一步，我們都非常清楚，如果計算機(jī)連接到網(wǎng)絡(luò)，壞人不需要物理訪問就能進(jìn)行破壞活動。

2、使用基于主機(jī)的防火墻

網(wǎng)絡(luò)防火墻似乎受到極大關(guān)注，網(wǎng)絡(luò)防火墻確實有優(yōu)點，但是很多人似乎夸大了它的保護(hù)能力。事實上，現(xiàn)在市面上大多數(shù)防火墻只能提供很小的安全保障，原因之一在于大多數(shù)最嚴(yán)重的攻擊往往來自于網(wǎng)絡(luò)內(nèi)部，所以網(wǎng)絡(luò)防火墻阻止外部用戶訪問內(nèi)部網(wǎng)資源的功能似乎沒有多大作用。

相比之下，基于主機(jī)的防火墻就能夠保護(hù)企業(yè)資產(chǎn)阻止所有攻擊者，無論時內(nèi)部還是外部攻擊者。此外，高級主機(jī)防火墻還可以配置為只允許計算機(jī)向用戶提供的特定服務(wù)的入站連接。這些基于主機(jī)的防火墻(例如具有AdvancedSecurity的Windows防火墻)甚至可以要求用戶或者機(jī)器再網(wǎng)絡(luò)層進(jìn)行身份驗證，這樣的話，沒有通過驗證或者沒有授權(quán)的用戶就不能進(jìn)入應(yīng)用程序?qū)�，�?yīng)用程序?qū)訒r大多數(shù)漏洞存在的地方，也是所有數(shù)據(jù)存儲的地方。

3、將你的網(wǎng)絡(luò)劃分為安全區(qū)

在涉及安全分區(qū)方面來看，前端web防火墻與數(shù)據(jù)庫防火墻有所不同。托管公共可用文件的文件服務(wù)器與托管機(jī)密營銷計劃的SharePoint服務(wù)器也不相同。出戰(zhàn)SMTP中繼與反向web代理服務(wù)器不同，因為它們位于不同的安全區(qū)。

你應(yīng)該將你的資源劃分到不同的安全區(qū)，然后在這些區(qū)之間創(chuàng)建物理或者邏輯分區(qū)。如果你想要使用物理分區(qū)，你應(yīng)該要確保分配到不同區(qū)域的資源有防火墻或者其他網(wǎng)絡(luò)訪問控制設(shè)備來分隔。如果你想要使用邏輯安全分區(qū)，你可以利用IPsec和服務(wù)器以及域名隔離來創(chuàng)建安全區(qū)之間的虛擬分區(qū)。

創(chuàng)建安全區(qū)可以讓你集中安全力量，來保護(hù)最重要的資產(chǎn)。分配給較低安全區(qū)的不太重要的資產(chǎn)同樣也受到了保護(hù)，但是你花在較低安全區(qū)的時間和精力相對要少得多，因為泄漏的成本比較高安全區(qū)的資產(chǎn)的成本要低得多。

4、對所有資產(chǎn)執(zhí)行最小特權(quán)

最小權(quán)限原則是指用戶和管理員只能訪問他們的工作需要的資源和控制。用戶只能訪問他們工作需要訪問的網(wǎng)站，他們只能使用工作需要使用的應(yīng)用程序，而管理員只能進(jìn)行符合他們權(quán)限的配置更改。

最近這段時間，最小權(quán)限的整個原則似乎已經(jīng)改變了，但是最小權(quán)限的價值和有效性并沒有改變。對于每個特權(quán)級別，如果用戶或管理員擁有比其需要的更高權(quán)限，就增加了泄漏的風(fēng)險。用戶要使用ipad連接到企業(yè)資產(chǎn)，并不是好主意，我們經(jīng)常遷就用戶的需求，而不是考慮他們必須的東西。

對于管理員而言，這個問題更加重要，因為他們經(jīng)常具有完整權(quán)限來進(jìn)行任何操作。Exchange管理員、數(shù)據(jù)庫管理員、SharePoint管理員、CRM管理員和其他服務(wù)管理員都應(yīng)該具有符合他們管理角色的訪問控制權(quán)限�，F(xiàn)代應(yīng)用程序允許你將適當(dāng)?shù)臋?quán)限分配給不同層次的管理員，可以利用這個功能來分配權(quán)限。

對于最終用戶而言，為他們提供工作需要的服務(wù)和數(shù)據(jù)訪問權(quán)限，防止他們訪問其他資產(chǎn)。這同樣適用于應(yīng)用程序。如果應(yīng)用程序沒有位于批準(zhǔn)名單上，那么使用自動化的方法來防止應(yīng)用程序安裝。

5、加密所有信息

使用BitLocker進(jìn)行全磁盤加密可以很好的保護(hù)你的關(guān)鍵信息，甚至還可以幫助你防止物理泄漏。例如，如果有人從你的服務(wù)器機(jī)房竊取了一臺服務(wù)器，攻擊者會將驅(qū)動裝再服務(wù)器上，讀取文件系統(tǒng)，也就是所謂的離線攻擊。好消息是使用BitLocker加密磁盤可以防止離線攻擊。

但是整個磁盤加密不再僅限于內(nèi)置硬盤驅(qū)動。在Windows7和WindowsServer2008R2中，你可以在USB密鑰、USB驅(qū)動和其他類型的可移動媒介上使用磁盤加密。制定政策要求存儲了公司數(shù)據(jù)的可移動媒介必須使用BitLocker加密。

連接到用戶智能手機(jī)的可移動媒介也應(yīng)該被加密。政策應(yīng)該要求對智能手機(jī)操作系統(tǒng)的使用必須支持microSD卡加密，如果公司數(shù)據(jù)將存儲在上面。存儲在手機(jī)內(nèi)置內(nèi)存的數(shù)據(jù)也應(yīng)該被加密，用戶應(yīng)該使用可以進(jìn)行遠(yuǎn)程清除的手機(jī)，以防丟失和被盜的情況。

6、更新、更新、更新!

可能你已經(jīng)知道這一點，但是提高企業(yè)整體安全狀態(tài)的最有效的方法之一就是保持應(yīng)用程序和安全更新的更新。雖然很多管理員會抱怨微軟產(chǎn)品經(jīng)常需要更新，事實上，微軟比其他供應(yīng)商更具安全意識，因為他們非常注重軟件更新，如果你使用的軟件的供應(yīng)商很少更新，不要認(rèn)為這樣很安全。安全更新其實是供應(yīng)商對其軟件安全問題關(guān)注程度的反映。

更新應(yīng)該盡可能快地完成，因為一旦安全補丁被發(fā)現(xiàn)，攻擊者和黑客就已經(jīng)知道漏洞，并會試圖在補丁發(fā)布和用戶安裝補丁的時間內(nèi)利用它們。這也就是“零日”期間，這也是漏洞最容易被利用的時間。如果你使用自動更新，那么漏洞利用期就會小得多。

然而，很多公司需要先對安全更新進(jìn)行測試，因為他們有很多業(yè)務(wù)應(yīng)用程序可能會受到每次安全更新的影響，所以他們需要提前測試兼容性問題。在這種情況下，你可以通過部署外圍設(shè)備(例如Microsoft威脅管理網(wǎng)管2010,專門用于阻止已知微軟漏洞)，這樣就可以縮短關(guān)鍵漏洞利用時期。

7、使用安全身份驗證機(jī)制

密碼破解技術(shù)的不斷發(fā)展使短密碼很容易被發(fā)現(xiàn)，先進(jìn)的破解技術(shù)甚至能夠破解強(qiáng)度高的密碼。如果你必須使用帳戶和密碼來作用你唯一的身份驗證機(jī)制，那么必須要求所有密碼必須使15個或更多字符組成，包括大寫、小寫、數(shù)字和非字母數(shù)字字符。使用對于用戶有意義的復(fù)雜密碼(通常簡稱為“密碼短語”)可以讓用戶更好地記住密碼。但是在越來越移動化的世界，還有另一個問題。雖然記住長密碼短語很容易，但是將這么長的密碼輸入智能手機(jī)或者其他設(shè)備非常麻煩。

更好的方法就是雙因素身份驗證，這要求用戶使用某種設(shè)備(例如智能卡或者令牌)以及密碼(在2FA空間有時也被稱為PIN)。當(dāng)使用雙因素身份驗證時，即使密碼被破解了，仍然意義不大，除非攻擊者拿到了設(shè)備本身。對于更安全的部署，應(yīng)該添加額外的因素，例如語音識別、面部識別、指紋或者視網(wǎng)膜識別。

8、SecureAgainstDataLeakage

隨著云計算對我們的生活帶來越來越大的影響，基于網(wǎng)絡(luò)的安全將開始對你的安全設(shè)計和購買具有更小的影響，因為安全將需要與數(shù)據(jù)更加靠近。這也是數(shù)據(jù)泄漏保護(hù)的用武之地。你可以對信息進(jìn)行嚴(yán)格訪問控制，所以只有授權(quán)用戶能夠訪問信息。但是然后呢?授權(quán)用戶可以怎樣使用這個信息?可以將信息傳給未授權(quán)用戶嗎?用戶可以打印出來或者郵寄給別人嗎?用戶對其進(jìn)行修改并放回存儲庫，而該信息應(yīng)該設(shè)置為只讀?

考慮一下如何保護(hù)授權(quán)用戶對數(shù)據(jù)的操作。如果你在使用微軟Office和SharePoint和Exchange，你可以利用微軟權(quán)限管理服務(wù)來制定政策，控制用戶對信息的操作。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０