多平台网络所面临的安全挑战
让运行不同的系统具备互操作性是很艰巨的任务,正因为如此,对多平台网络的关注已经从安全问题转移到如何实现互操作上。跨平台共享的能力成为目标,而对于共享的任何安全限制变得不再重要,甚至被遗忘。
大多数IT人员都只对某种特定的系统(Windows、UNIX、Mainframe等)熟悉,而管理层人员也不太懂技术,即使某个人具备管理不同平台的一般知识,这也并不意味着他懂得所有安全问题。安全是专门的领域,你不仅需要能够配置和管理你的网络中不同类型系统的IT人员,你还需要能够保护这些不同类型系统安全的人员,这包括在一般概念和供应商专门培训方面具备良好基础,这使你能够使用特定操作系统的内置安全机制,并知道什么时候有必要求助于第三方解决。
能力通常部分取决于习惯性行为。如果一个人必须记住不同类型设备的不同步骤和程序,那么混淆和错误配置的风险也会提高,这可能导致网络容易受到攻击。这也是为什么在多平台网络最好部署不同的工作人员管理不同类型的系统的原因。但在当前的经济形势下,大家都主张“少花钱多办事”,很多公司不愿意花钱聘请更多人员。
整理网络
在很多IT环境,并没有真正的计划,网络只是顺其自然的发展,根据系统需求以杂牌拼凑的方式购买和部署新系统。保护网络的第一步是清楚知道你有哪些东西,所以需要整理网络硬件和软件清单。现在网络上有很多工具可以帮助你发现和整理构成网络的组件,而关键是要使用能够支持你的网络中存在的所有操作系统的工具。
最经常被忽略的平台(安全问题也常被忽视)包括那些用户和(没有永久连接到网络)上运行的平台,以及在虚拟机上运行的平台。计算机A可能将Windows作为其主要操作系统,但如果该计算机同时在其虚拟机运行,我们就必须将虚拟操作系统作为网络中的另一台机器,并部署相应的保护措施。同样的,很多Linux和用户也可能在虚拟环境运行Windows操作系统以使用某些不能在其他系统运行的Windows应用程序。你可能还有很多可以启动不同操作系统的机器,尤其是在开发或者测试环境。
完整的清单必须包括在网络中运行的所有硬件和所有软件,即使它并不是全部时间都在网络中。
升级或更新
没有哪座城堡是无坚不摧的,平台也是如此,任何可以连接到的系统都为聪明的提供了一个可以破坏网络的渠道。
常见的错误就是假设非Windows系统总是“安全的”,但却并非如此,例如在去年夏天就在大多数版本的Linux系统中发现严重的内核漏洞,攻击者可以利用该漏洞完全控制计算机。
尽管普遍认为Mac系统不容易受到攻击,而在今年五月公司发布了用以修复 X和Safari的67个系统漏洞的修复补丁,并且还不包括重要的Java漏洞补丁。
事实上,Mac安全专家Dai Zovi表示,当攻击者开始花时间和精力来攻击OS X的时候(也就是当Mac系统成为主流操作系统的时候),Mac系统也会向windows系统一样漏洞百出,Mac系统可能更加容易被攻击者攻击。
这里并不是在抨击非windows操作系统,只是纠正IT人员的旧观念,认为只有windows系统需要定期更新,及时更新UNIX/Linux和Mac系统的修复补丁也是同样重要的。
另一个重要的考虑因素就是,在大多数情况下,新版本的操作系统比完全修复的较旧版本的系统更加安全,例如,和Vista系统包括很多安全机制,如UAC、保护模式IE、Bitlocker驱动加密等,这些是XP没有的。OS X的最新版本---Snow Leopard,与其之前系统不同,拥有内置恶意软件检测(尽快它还不是很强大),另外还使用更强的校验和(checksum)来防止内存崩溃攻击。最新发布的OpenSUSE支持TPM(可信任平台)技术。在很多情况下,及时升级到最新版本的操作系统绝对可以帮助你提供安全性。
手机操作系统也是同样的道理,例如,新的就包含更好的安全功能,例如支持复杂密码(字母、数字和符号字符)以及远程擦出数据的能力,这是原来的iPhone没有的功能。
注意:
iPhone仍然是环境的安全困扰,它只能部署几个有效的Exchange安全政策,另外安装在所有iPhone中的iTune也带来安全风险。
基础知识
同样的基础安全概念同时适用于异构和同构网络,不管你使用什么平台,都应该:
· 利用良好的/威胁管理和检测防御系统来保护网络外围
· 使用防和防恶意软件(包括非windows系统)以及保持定义更新
· 部署安全审计和监督来检测企图攻击
· 关闭不必要的服务来强化系统
· 关闭未使用端口
· 限制对系统的物理访问
· 限制管理访问权和根权限,仅限真正需要管理权限的人员使用,在UNIX系统,限制根权限可以保护终端系统
· 部署文件级权限,在UNIX系统,将文件系统分区和对不常变化的文件使用只读分区,并使用访问权限控制列表ACL来进行更复杂的权限管理
· 在UNIX系统,使用chroot和ulimit接口来限制文件系统的访问程序
· 强制执行高强度密码政策
· 在高度安全环境,要求双因素验证
· 在UNIX系统,使用安全壳用于远程命令行访问
· 使用加密:保护驱动上的文件,保护网络传输的数据,防止未经授权访问操作系统
· 部署公钥基础设置来发布数字证书
雇佣外部安全审计员
第三方安全审计可以很有效的评估任何复杂网络中的安全部署,并提出建议,对于异构网络则更加重要。那些专门的安全审计公司有专业的评估各种不同类型系统的人员,并且熟知新漏洞和新解决方案,他们可以进行渗透测试来评估你的系统的漏洞情况,有效地帮助提高系统安全性。
综述
多平台网络给我们带来很多安全挑战,人员必须学会如何应对这些挑战,因为这种网络已经越来越普遍。最重要的是要记住,安全是一个过程,而不是产品。如果你的IT部门人员充足,可以部署不同的人员来关注和管理不同系统,这样整个网络会更加安全。而如果人手不足,可以考虑借助“外力”来帮助你评估系统的安全漏洞,并及时解决安全问题