從實際運作的層面來看,IT安全問題圍繞三個基本事實:其一,IT系統不可能絕對可靠地識別用戶的身份。其二,授權用戶可能會被利用;其三,如果黑客獲得了對主機的訪問權,那麼該主機就可能被闖入。後者,即為主機加固安全,是極其重要的一道防線。
方面,主機等高價值目標往往吸引的是黑客中的高手;另一方面,如果保存在主機上的數據越重要,用戶對它的安全投入就越大,正所謂是“魔高一尺,道高一丈”的較量。
在過去的幾年間,現實世界的一些犯罪組織一直在積極招攬黑客,從事針對某些目標的犯罪活動,比如最近黑客試圖從住友銀行的英國分行盜竊約2億英鎊。此類犯罪活動結合了對IT系統獲得物理訪問權和黑客行為,這意味著單單在主機和因特網之間設置性能可靠的防火牆已不足以保護你的數據。
如今,黑客完全有可能透過防火牆將黑客工具裝入網絡發動內部進攻。由於眾多黑客工具在網上能夠免費獲得,加上USB存儲設備隨手可得,只要閒置的USB端口能夠實際訪問公共場所(比如接待處),就有可能利用網絡上的任何PC發動攻擊。為此,你要開始考慮對主機進行加固,以防直接從網絡內部發動的攻擊。
斷開網絡連接
要加強主機安全,最明顯的一個辦法就是,把主機與不需要連接的部分斷開。如果黑客無法碰到主機,非法闖入也就無從談起。
關閉端口
提高主機安全的第二個辦法就是,真正使用主機內置的安全特性。比如,默認配置的Windows服務器允許任何用戶完全可以訪問任何目錄下的任何文件。對這種配置進行修改非常容易,但取很少有網絡管理員去修改。如果用戶對某個文件沒有擁有權,就不應該享有自動訪問該文件的權限。如果你改了配置,那麼即便黑客闖入了某個賬戶,他也未必能夠訪問該主機上的所有文件。
另外,對外開的端口越少,黑客用來危及系統安全的辦法也就越少。進入Windows MMC管理器禁用不需要的服務,主機上運行的進程越少,意味著黑客可以利用的潛在故障以及安全漏洞就越少。
限制訪問
你可以采取的另一個措施就是切斷主機驗證和應用管理的聯系。擁有管理主機的權限,並不意味著有權可以管理其他功能,比如主機運行的數據庫引擎或者其他應用。這可能會給需要全局管理權限的用戶帶來不便,但它卻使非法闖入數據庫的難度加大了一倍,因為黑客必須攻破兩個用戶身份和口令。同樣,你可以把其他管理任務授權給特定的用戶組,但不授予主機(或者網絡)的全局管理權限。比如說,你可以允許用戶管理打印機,但不授予控制打印機的主機的全部管理權限。你還可以禁止沒要求加班的員工下班後登錄主機。其實,大多數操作系統都內置了所有這些特性,你根本用不著投入資金,需要的只是學習並使用這些特性。
加強保護
視主機操作系統和運行的網絡環境而定,你可以要求使用令牌或者生物識別技術進行驗證,用於管理員對任何主機進行訪問,你還可以限制管理員只能訪問安全區域的某個子網。這樣,如果管理員想添加一個新用戶,就必須在特定的安全區域,通過特定子網上的PC來進行添加,還必須提供用戶名、口令、采用生物識別技術的身份以及令牌碼。
改變操作系統
不過,如果你需要更高的安全級別,恐怕就得采用專門技術了。不要單單把Windows作為服務器的操作系統。Windows是一款非常流行的服務器操作系統,但每個黑客都知道,就潛在回報而言,花時間查找Windows操作系統的安全漏洞,遠比花同樣時間闖入某個版本的Unix大得多。即使你買不起所選擇的某個Unix版本的源代碼許可證,Unix較之Windows也有一個優點:你可以重新構建內核,只包含主機中真正需要的那些部分。相比之下,Windows在這方面的內核隨帶了大量的代碼,你沒法刪除,也沒法全部關閉。
再者,人們在Unix的安全配置方面有著二十年的豐富經驗。另外,Unix隨帶編程人員編寫小的系統應用軟件所需的各種工具,比如用於刪除未授權進程(通常可以在基於Unix的防火牆上找到),或者是改動系統驗證進程,以便查看允許某用戶登錄到主機之前,是否物理上進入了公司大樓。
所以這些特性都需要簡化代碼,而Unix非常適合這項工作。但普通公司的在職人員不可能擁有相應的技能和經驗來從事這項工作,很多情況下就需要外包來實現主機的安全加固。遺憾的是,你還要為此權衡外包的風險。
