從實(shí)際運(yùn)作的層面來看,IT安全問題圍繞三個(gè)基本事實(shí):其一,IT系統(tǒng)不可能絕對(duì)可靠地識(shí)別用戶的身份。其二,授權(quán)用戶可能會(huì)被利用;其三,如果黑客獲得了對(duì)主機(jī)的訪問權(quán),那么該主機(jī)就可能被闖入。后者,即為主機(jī)加固安全,是極其重要的一道防線。
方面,主機(jī)等高價(jià)值目標(biāo)往往吸引的是黑客中的高手;另一方面,如果保存在主機(jī)上的數(shù)據(jù)越重要,用戶對(duì)它的安全投入就越大,正所謂是“魔高一尺,道高一丈”的較量。
在過去的幾年間,現(xiàn)實(shí)世界的一些犯罪組織一直在積極招攬黑客,從事針對(duì)某些目標(biāo)的犯罪活動(dòng),比如最近黑客試圖從住友銀行的英國(guó)分行盜竊約2億英鎊。此類犯罪活動(dòng)結(jié)合了對(duì)IT系統(tǒng)獲得物理訪問權(quán)和黑客行為,這意味著單單在主機(jī)和因特網(wǎng)之間設(shè)置性能可靠的防火墻已不足以保護(hù)你的數(shù)據(jù)。
如今,黑客完全有可能透過防火墻將黑客工具裝入網(wǎng)絡(luò)發(fā)動(dòng)內(nèi)部進(jìn)攻。由于眾多黑客工具在網(wǎng)上能夠免費(fèi)獲得,加上USB存儲(chǔ)設(shè)備隨手可得,只要閑置的USB端口能夠?qū)嶋H訪問公共場(chǎng)所(比如接待處),就有可能利用網(wǎng)絡(luò)上的任何PC發(fā)動(dòng)攻擊。為此,你要開始考慮對(duì)主機(jī)進(jìn)行加固,以防直接從網(wǎng)絡(luò)內(nèi)部發(fā)動(dòng)的攻擊。
斷開網(wǎng)絡(luò)連接
要加強(qiáng)主機(jī)安全,最明顯的一個(gè)辦法就是,把主機(jī)與不需要連接的部分?jǐn)嚅_。如果黑客無法碰到主機(jī),非法闖入也就無從談起。
關(guān)閉端口
提高主機(jī)安全的第二個(gè)辦法就是,真正使用主機(jī)內(nèi)置的安全特性。比如,默認(rèn)配置的Windows服務(wù)器允許任何用戶完全可以訪問任何目錄下的任何文件。對(duì)這種配置進(jìn)行修改非常容易,但取很少有網(wǎng)絡(luò)管理員去修改。如果用戶對(duì)某個(gè)文件沒有擁有權(quán),就不應(yīng)該享有自動(dòng)訪問該文件的權(quán)限。如果你改了配置,那么即便黑客闖入了某個(gè)賬戶,他也未必能夠訪問該主機(jī)上的所有文件。
另外,對(duì)外開的端口越少,黑客用來危及系統(tǒng)安全的辦法也就越少。進(jìn)入Windows MMC管理器禁用不需要的服務(wù),主機(jī)上運(yùn)行的進(jìn)程越少,意味著黑客可以利用的潛在故障以及安全漏洞就越少。
限制訪問
你可以采取的另一個(gè)措施就是切斷主機(jī)驗(yàn)證和應(yīng)用管理的聯(lián)系。擁有管理主機(jī)的權(quán)限,并不意味著有權(quán)可以管理其他功能,比如主機(jī)運(yùn)行的數(shù)據(jù)庫(kù)引擎或者其他應(yīng)用。這可能會(huì)給需要全局管理權(quán)限的用戶帶來不便,但它卻使非法闖入數(shù)據(jù)庫(kù)的難度加大了一倍,因?yàn)楹诳捅仨毠テ苾蓚(gè)用戶身份和口令。同樣,你可以把其他管理任務(wù)授權(quán)給特定的用戶組,但不授予主機(jī)(或者網(wǎng)絡(luò))的全局管理權(quán)限。比如說,你可以允許用戶管理打印機(jī),但不授予控制打印機(jī)的主機(jī)的全部管理權(quán)限。你還可以禁止沒要求加班的員工下班后登錄主機(jī)。其實(shí),大多數(shù)操作系統(tǒng)都內(nèi)置了所有這些特性,你根本用不著投入資金,需要的只是學(xué)習(xí)并使用這些特性。
加強(qiáng)保護(hù)
視主機(jī)操作系統(tǒng)和運(yùn)行的網(wǎng)絡(luò)環(huán)境而定,你可以要求使用令牌或者生物識(shí)別技術(shù)進(jìn)行驗(yàn)證,用于管理員對(duì)任何主機(jī)進(jìn)行訪問,你還可以限制管理員只能訪問安全區(qū)域的某個(gè)子網(wǎng)。這樣,如果管理員想添加一個(gè)新用戶,就必須在特定的安全區(qū)域,通過特定子網(wǎng)上的PC來進(jìn)行添加,還必須提供用戶名、口令、采用生物識(shí)別技術(shù)的身份以及令牌碼。
改變操作系統(tǒng)
不過,如果你需要更高的安全級(jí)別,恐怕就得采用專門技術(shù)了。不要單單把Windows作為服務(wù)器的操作系統(tǒng)。Windows是一款非常流行的服務(wù)器操作系統(tǒng),但每個(gè)黑客都知道,就潛在回報(bào)而言,花時(shí)間查找Windows操作系統(tǒng)的安全漏洞,遠(yuǎn)比花同樣時(shí)間闖入某個(gè)版本的Unix大得多。即使你買不起所選擇的某個(gè)Unix版本的源代碼許可證,Unix較之Windows也有一個(gè)優(yōu)點(diǎn):你可以重新構(gòu)建內(nèi)核,只包含主機(jī)中真正需要的那些部分。相比之下,Windows在這方面的內(nèi)核隨帶了大量的代碼,你沒法刪除,也沒法全部關(guān)閉。
再者,人們?cè)赨nix的安全配置方面有著二十年的豐富經(jīng)驗(yàn)。另外,Unix隨帶編程人員編寫小的系統(tǒng)應(yīng)用軟件所需的各種工具,比如用于刪除未授權(quán)進(jìn)程(通常可以在基于Unix的防火墻上找到),或者是改動(dòng)系統(tǒng)驗(yàn)證進(jìn)程,以便查看允許某用戶登錄到主機(jī)之前,是否物理上進(jìn)入了公司大樓。
所以這些特性都需要簡(jiǎn)化代碼,而Unix非常適合這項(xiàng)工作。但普通公司的在職人員不可能擁有相應(yīng)的技能和經(jīng)驗(yàn)來從事這項(xiàng)工作,很多情況下就需要外包來實(shí)現(xiàn)主機(jī)的安全加固。遺憾的是,你還要為此權(quán)衡外包的風(fēng)險(xiǎn)。
