多平臺網(wǎng)絡(luò)所面臨的安全挑戰(zhàn)

讓運行不同操作系統(tǒng)的系統(tǒng)具備互操作性是很艱巨的任務(wù)，正因為如此，對多平臺網(wǎng)絡(luò)的關(guān)注已經(jīng)從安全問題轉(zhuǎn)移到如何實現(xiàn)互操作上。跨平臺共享的能力成為目標(biāo)，而對于共享的任何安全限制變得不再重要，甚至被遺忘。

大多數(shù)IT人員都只對某種特定的系統(tǒng)(Windows、UNIX、Mainframe等)熟悉，而管理層人員也不太懂技術(shù)，即使某個人具備管理不同平臺的一般知識，這也并不意味著他懂得所有安全問題。安全是專門的領(lǐng)域，你不僅需要能夠配置和管理你的網(wǎng)絡(luò)中不同類型系統(tǒng)的IT人員，你還需要能夠保護這些不同類型系統(tǒng)安全的人員，這包括在一般IT安全概念和供應(yīng)商專門培訓(xùn)方面具備良好基礎(chǔ)，這使你能夠使用特定操作系統(tǒng)的內(nèi)置安全機制，并知道什么時候有必要求助于第三方解決方案。

能力通常部分取決于習(xí)慣性行為。如果一個人必須記住不同類型設(shè)備的不同步驟和程序，那么混淆和錯誤配置的風(fēng)險也會提高，這可能導(dǎo)致網(wǎng)絡(luò)容易受到攻擊。這也是為什么在多平臺網(wǎng)絡(luò)最好部署不同的工作人員管理不同類型的系統(tǒng)的原因。但在當(dāng)前的經(jīng)濟形勢下，大家都主張“少花錢多辦事”，很多公司不愿意花錢聘請更多人員。

整理網(wǎng)絡(luò)

在很多IT環(huán)境，并沒有真正的計劃，網(wǎng)絡(luò)只是順其自然的發(fā)展，根據(jù)系統(tǒng)需求以雜牌拼湊的方式購買和部署新系統(tǒng)。保護網(wǎng)絡(luò)的第一步是清楚知道你有哪些東西，所以需要整理網(wǎng)絡(luò)硬件和軟件清單。現(xiàn)在網(wǎng)絡(luò)上有很多工具可以幫助你發(fā)現(xiàn)和整理構(gòu)成網(wǎng)絡(luò)的組件，而關(guān)鍵是要使用能夠支持你的網(wǎng)絡(luò)中存在的所有操作系統(tǒng)的工具。

最經(jīng)常被忽略的平臺(安全問題也常被忽視)包括那些用戶筆記本和手機(沒有永久連接到網(wǎng)絡(luò))上運行的平臺，以及在虛擬機上運行的平臺。計算機A可能將Windows作為其主要操作系統(tǒng)，但如果該計算機同時在其虛擬機運行l(wèi)inux，我們就必須將虛擬操作系統(tǒng)作為網(wǎng)絡(luò)中的另一臺機器，并部署相應(yīng)的保護措施。同樣的，很多Linux和Mac用戶也可能在虛擬環(huán)境運行Windows操作系統(tǒng)以使用某些不能在其他系統(tǒng)運行的Windows應(yīng)用程序。你可能還有很多可以啟動不同操作系統(tǒng)的機器，尤其是在開發(fā)或者測試環(huán)境。

完整的清單必須包括在網(wǎng)絡(luò)中運行的所有硬件和所有軟件，即使它并不是全部時間都在網(wǎng)絡(luò)中。

升級或更新

沒有哪座城堡是無堅不摧的，平臺也是如此，任何可以連接到互聯(lián)網(wǎng)的系統(tǒng)都為聰明的黑客提供了一個可以破壞網(wǎng)絡(luò)的渠道。

常見的錯誤就是假設(shè)非Windows系統(tǒng)總是“安全的”，但卻并非如此，例如在去年夏天就在大多數(shù)版本的Linux系統(tǒng)中發(fā)現(xiàn)嚴(yán)重的內(nèi)核漏洞，攻擊者可以利用該漏洞完全控制計算機。

盡管普遍認(rèn)為Mac系統(tǒng)不容易受到攻擊，而在今年五月蘋果公司發(fā)布了用以修復(fù)OS X和Safari瀏覽器的67個系統(tǒng)漏洞的修復(fù)補丁，并且還不包括重要的Java漏洞補丁。

事實上，Mac安全專家Dai Zovi表示，當(dāng)攻擊者開始花時間和精力來攻擊OS X的時候(也就是當(dāng)Mac系統(tǒng)成為主流操作系統(tǒng)的時候)，Mac系統(tǒng)也會向windows系統(tǒng)一樣漏洞百出，Mac系統(tǒng)可能更加容易被攻擊者攻擊。

這里并不是在抨擊非windows操作系統(tǒng)，只是糾正IT人員的舊觀念，認(rèn)為只有windows系統(tǒng)需要定期更新，及時更新UNIX/Linux和Mac系統(tǒng)的修復(fù)補丁也是同樣重要的。

另一個重要的考慮因素就是，在大多數(shù)情況下，新版本的操作系統(tǒng)比完全修復(fù)的較舊版本的系統(tǒng)更加安全，例如，windows 7和Vista系統(tǒng)包括很多安全機制，如UAC、保護模式IE、Bitlocker驅(qū)動加密等，這些是XP沒有的。OS X的最新版本---Snow Leopard，與其之前系統(tǒng)不同，擁有內(nèi)置惡意軟件檢測(盡快它還不是很強大)，另外還使用更強的校驗和(checksum)來防止內(nèi)存崩潰攻擊。最新發(fā)布的OpenSUSE支持TPM(可信任平臺模塊)技術(shù)。在很多情況下，及時升級到最新版本的操作系統(tǒng)絕對可以幫助你提供安全性。

手機操作系統(tǒng)也是同樣的道理，例如，新的iPhone就包含更好的安全功能，例如支持復(fù)雜密碼(字母、數(shù)字和符號字符)以及遠(yuǎn)程擦出數(shù)據(jù)的能力，這是原來的iPhone沒有的功能。

#p#

注意：

iPhone仍然是企業(yè)環(huán)境的安全困擾，它只能部署幾個有效的Exchange安全政策，另外安裝在所有iPhone中的iTune也帶來安全風(fēng)險。

基礎(chǔ)知識

同樣的基礎(chǔ)安全概念同時適用于異構(gòu)和同構(gòu)網(wǎng)絡(luò)，不管你使用什么平臺，都應(yīng)該：

· 利用良好的防火墻/威脅管理網(wǎng)關(guān)和入侵檢測防御系統(tǒng)來保護網(wǎng)絡(luò)外圍

· 使用防病毒和防惡意軟件(包括非windows系統(tǒng))以及保持定義更新

· 部署安全審計和監(jiān)督來檢測企圖攻擊

· 關(guān)閉不必要的服務(wù)來強化系統(tǒng)

· 關(guān)閉未使用端口

· 限制對系統(tǒng)的物理訪問

· 限制管理訪問權(quán)和根權(quán)限，僅限真正需要管理權(quán)限的人員使用，在UNIX系統(tǒng)，限制根權(quán)限可以保護終端系統(tǒng)

· 部署文件級權(quán)限，在UNIX系統(tǒng)，將文件系統(tǒng)分區(qū)和對不常變化的存儲文件使用只讀分區(qū)，并使用訪問權(quán)限控制列表ACL來進(jìn)行更復(fù)雜的權(quán)限管理

· 在UNIX系統(tǒng)，使用chroot和ulimit接口來限制文件系統(tǒng)的訪問程序

· 強制執(zhí)行高強度密碼政策

· 在高度安全環(huán)境，要求雙因素驗證

· 在UNIX系統(tǒng)，使用SSH安全殼用于遠(yuǎn)程命令行訪問

· 使用加密：保護驅(qū)動上的文件，保護網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，防止未經(jīng)授權(quán)訪問操作系統(tǒng)

· 部署公鑰基礎(chǔ)設(shè)置來發(fā)布數(shù)字證書

雇傭外部安全審計員

第三方安全審計可以很有效的評估任何復(fù)雜網(wǎng)絡(luò)中的安全部署，并提出建議，對于異構(gòu)網(wǎng)絡(luò)則更加重要。那些專門的安全審計公司有專業(yè)的評估各種不同類型系統(tǒng)的人員，并且熟知新漏洞和新解決方案，他們可以進(jìn)行滲透測試來評估你的系統(tǒng)的漏洞情況，有效地幫助提高系統(tǒng)安全性。

綜述

多平臺網(wǎng)絡(luò)給我們帶來很多安全挑戰(zhàn)， IT管理人員必須學(xué)會如何應(yīng)對這些挑戰(zhàn)，因為這種網(wǎng)絡(luò)已經(jīng)越來越普遍。最重要的是要記住，安全是一個過程，而不是產(chǎn)品。如果你的IT部門人員充足，可以部署不同的人員來關(guān)注和管理不同系統(tǒng)，這樣整個網(wǎng)絡(luò)會更加安全。而如果人手不足，可以考慮借助“外力”來幫助你評估系統(tǒng)的安全漏洞，并及時解決安全問題。

【編輯推薦】

1. 正反觀點驗證2010年10大安全挑戰(zhàn)
2. 如何正視多平臺網(wǎng)絡(luò)的安全挑戰(zhàn)
3. 專家答疑：如何利用端到端加密保護數(shù)據(jù)