一、内网安全系统遵循七大原则
一个内网安全系统的安全不仅仅要靠先进的技术,而且要依赖于严格、合理的 管理,“三分技术、七分管理”就是强调了管理的重要性。
网络安全管理是指在安全策略的指导下进行的一系列管理活动。其中,管理的任务、目标、对象、原则、程序和方法是管理策略的内容。安全管理活动包括制定计划、建立机构、落实措施、开展培训、检查效果和实施改进等。进行内网安全管理活动时,我们要严格遵循一些原则。
(1)一把手负责原则。信息安全事关大局,涉及部门全局,需要第一把手负责才能统一大家的认识、组织有效队伍,调动必要的资源和经费,落实个部门间的协调。只有第一把手真正具有责任心,成为信息安全的明白人,关心和支持业务部门的工作,信息安全的管理工作才能真正落到实处。
(2)动态发展原则。信息网络安全状况不是静止不变的,随着对手攻击能力的提高、自己对信息内网安全认识水平的深化,必须对以前的安全政策有所检讨,对安全措施有所加强。
(3)风险评估原则。由于信息内网安全是动态发展的,因此安全也不是绝对的。虽然不能做到绝对安全,但是可以追求和实现在承担一定风险下的适度安全。
(4)规范标准原则。信息系统的规划、设计、实现、运行要有安全规范要求,根据本机构或本部门的安全要求制定相应的内网安全政策。安全政策中要根据需要选择采用必要的安全功能,选用必要的内网安全设备。
(5)预防为主原则。在信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度。
(6)立足国内原则。安全技术和设备首先要立足国内,不能未经许可,未能消化改造直接应用境外的安全保密技术和设备。
(7)综合保障原则。信息安全保障需要从人管理和技术多种因素,以及预警、保护、检测、反应、恢复和反击等多个环节上采用多种技术来加以综合实施。
二、实现抗攻击能力系统保护内网安全
在计算机的早期时代,Macintosh系统是攻击的目标。作为Lockheed公司年轻的内网安全工程师,我日常内网安全评估中所做的第一件事就是,确保在Macintosh系统中装载了反病毒软件。时间和市场份额可以成为敌人。
Windows的另一个变化是集成了便于使用的IP栈。甚至一直到Windows3.1,IP栈还是一个附加选项,很容易修改。我记得有不少讨论反复考虑微软栈的效率,很多人选择用另外的栈来代替它。就正面评论而言,Windows好的一面——Windows的大多数版本——就是你不用花钱就能找到很多好办法来加固你的计算机。为此我们看看下列问题:
·有防火墙吗?
·防火墙开着并且配置得当吗?
·有未知的或不必要的服务在运行吗?
·补丁更新了吗?
·做了基本的内网安全设置吗?
我花了些时间研究第三个问题,系统里面正在运行的东西可能会使你大吃一惊。许多Web站点致力于识别各种服务,并帮助你弄清楚它们是否可以删除。在第8章“Microsoft Windows”的“8.4最初的安全检查”一节,我们将介绍这些Web资源。通过添加一些查找病毒和间谍软件的第三方程序,我们可以提高终端的基本安全程度,从而显著增强终端抗攻击的能力。
非Windows终端。不适用Windows的设备就是非Windows终端。我知道你在想什么:“这覆盖了很大的范围。”不过,我们将限制一下这个有点宽泛的范围,即我们讨论的是传统意义上人工驱动的计算机(如台式机、笔记本和服务器)。我们不打算包括其他系统,因为正如本节已经讨论过的一样,它们的也可以用其他方法归类。
因此为了便于讨论,非Windows终端终端包括UNIX的所有变形:BSD、XENIX、IRIX、HP-UX、AIX、Solaris和Linux。我同意,它们并非都是AT&T的后代,但是即使不是所有UNIX系统,它们中大多数都已经用于几乎每一种环境中。还记得网络驱动的配电盘吗,它就在于运行Linux和一个称为Apache的Web服务器。和Windows一样,如果配置得当,这类终端也有不错的抗攻击能力。它们有内置的防火墙和大量的工具,能够充分改善自身计算机内网安全状况。 |