移动安全安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 安全管理 >

利用法度安然治理的“八大年夜”主张

时间:2014-03-24 11:05来源:TuZhiJiaMi企业信息安全专家 点击:
在BYOD、云计较、大年夜数据充满的年代里,利用法度仍然是企业信息安然不成忽视的危险地带,办公、营业、流程、数据都离不开利用法度。是以,所有系统治理员应当把治理你的利用法度及
Tags应用安全(1006)应用程序(59)安全管理(325)  

  在BYOD、云计较、大年夜数据充满的年代里,利用法度仍然是企业信息安然不成忽视的危险地带,办公、营业、流程、数据都离不开利用法度。是以,所有系统治理员应当把治理你的利用法度及其安然作为首要任务。利用法度可以经由过程建设利用法度的安然性、安装利用法度到非尺度目次和端口、锁定利用法度、保障P2P办事、确保你的利用法度编程人员的代码安然等八大年夜方面来进行多视角、系统化的治理。

利用法度安然治理的“八大年夜”主张

  1、安然地建设利用法度

  利用法度应当按厂商保举的安然设置进行建设。三个最多见操纵缝隙报复打击的Windows利用法度是微软的Outlook(Express说话)、Internet Explorer和Microsoft Office套件。这些利用法度可能属于最终用户的工作站,人们需要它们来展开工作,但它们可能不属于你组织的办事器。假定你的办事器需要高安然性,删除这些利用法度。因为存在常见缝隙报复打击的风险,办事器上不该该安装电子邮件客户端(如Outlook)或Microsoft Office。

  在终端用户的PC环境中,假定你要保留的利用法度并在统一时候将风险降到最低。你可以经由过程按期更新利用安然补丁,假定没有更高的安然级别,则确保按厂商的保举设置进行建设。Outlook和Outlook Express中都应当有本身的安然区域设置限制。Internet Explorer的Internet区域应设置为中高或高。Office供给治理模板(名为ADM文件), 可以建设和摆设利用系统策略或组策略。这些都可以从微软的网站上下载或在Office资本东西包中找到。

  其他利用法度凡是会利用默许安然设置,你可以拜候厂商的手艺撑持资本来体味更多与你有关的安然选择。不幸的是,良多软件厂商其实不正视安然标题问题。这时候辰,需要利用你从本文中学到的概念和做法,你可能还需要做一些研究。假定一个针对你的利用法度缝隙被人知道,它凡是会呈此刻常见安然网站上和邮件列表中。包含缝隙讯息最多的此中一个网站是SANS(www.sans.org)。SANS每周发布的缝隙列表几近影响了所有的把持系统平台,包含Windows, Unix, Linux, Macintosh, FreeBSD等等。

  2、呵护电子邮件

  电子邮件蠕虫病毒仍然是计较机系统的头号威胁,特别是运行Outlook或Outlook Express的Windows系统。大年夜大都蠕虫病毒作为一个文件附件或作为最终用户履行的嵌进式脚本。很较着,你可以经由过程呵护电子邮件较着降落收集的暴光风险。这可以经由过程禁用HTML内容和禁止暗藏的歹意文件附件来完成。

  所有超出纯文本的电子邮件都可以被用来歹意报复打击计较机。为此,限制电子邮件只有纯文本是很是首要的,或假定必需利用除纯文本以外的电子邮件,也只利用纯HTML编码。你应当禁用脚本说话和勾当内容,如ActiveX控件,Java和VBScript对象。凡是这很简单,只需要查抄电子邮件客户端的复选框来强迫所有传进的电子邮件以纯文本格局来闪现。有些客户措置这个标题问题比其他人加倍优雅,HTML-only动静在转换过程中会严重错位或显示为空白。Outlook和Outlook Express承诺电子邮件的勾当内容在没法拜候互联网的区域打开,即禁用超出了纯HTML格局编码的内容。这是微软最新的电子邮件客户端的默许设置。初期的客户端加倍宽松,可以在互联网安然区域打开电子邮件。

  假定你能禁止勾当内容履行,那么你需要担忧的是终端用户点击歹意HTML链接或打开文件附件。假定他们已接进了互联网,很难禁止用户点击歹意HTML链接。在Windows环境中,你可利用组策略,Internet Explorer治理东西包(IEAK),或一些其他类型的代办署理办事器过滤器,只承诺终端用户拜候预先核准网站,但除此以外,你只能依托于终端用户教育程度。

  3、禁止危险的文件类型

  禁止危险的文件附件是避免报复打击的最好编制,是针对今朝电子邮件病毒和蠕虫的首选编制。最大年夜的标题问题是“甚么构成了一个危险的文件类型?” 事实是,几近所有的文件类型可以被歹意利用,而更好的标题问题是“甚么是遍及利用的歹意文件类型?”表1显示了凡是禁止的组织担忧利用这些文件类型为载体的各类风行报复打击的Windows文件类型。这些都是风行的电子邮件办事器禁止列表。该列表其实不小。

利用法度安然治理的“八大年夜”主张

  4、禁止Outlook文件附件

  良多系统治理员觉得他们不克不及在他们的收集中禁止暗藏危险的文件扩大名。他们觉得最终用户和治理层会产生反感。可是当治理层传闻的统计数据,关于文件禁止的令人佩服的商业论证。按照Radicati Group在2010年4月的统计信息,那时每天有2940亿封电子邮件在全球互联网上发送。相当于每秒280万封电子邮件,和每年90万亿封邮件。此中,90%包含垃圾邮件和病毒。这意味着垃圾邮件和病毒构成包含:

  每秒2,520,000封电子邮件

  每天264,600,000,000封电子邮件

  每年81,000,000,000,000封电子邮件

  即便你有垃圾邮件过滤办事,(或许你会被所有的垃圾邮件所沉没),一些歹意电子邮件将成为漏网之鱼。假定有需要,你可以做出让步,你可以经由过程承诺禁止的文件附件发送到隔离区,对它们的发布进行查抄。或你可让最专业的用户来选择谁是可以信赖的,不要打开不受信赖的文件,可以自行决定打开和封锁禁止文件功能。

  在今天的环境中电子邮件安然是相当首要的。经由过程禁止歹意的HTML内容和禁止暗藏危险的文件附件, 你已较着晋升了你的组织的安然性。

  5、将利用法度安装到非尺度目次和端口

  良多歹意法度依托于一个事实,即大年夜大都人把法度安装在默许目次和默许端口。你可以经由过程把法度安装到非尺度目次,并指导它们利用非尺度端口来较着削减缝隙风险。良多Unix和Linux缝隙的存在依托于/ etc目次。经由过程简单地改变安装文件夹到/etc以外的目次,可以较着降落歹意报复打击成功的风险。一样的,不要把Microsoft Office安装到C:\Program Files\Microsoft Office目次中,考虑将法度自定义安装到C:\Program Files\MSOffice目次中。考虑将Windows安装到不合的文件夹中,而不是默许的C:\ Windows目次。任何默许设置的改变,乃至是一个字符,就足以打败良多主动化的报复打击东西。

  假定你的利用法度打开并利用一个TCP / IP端口,看你是不是可以把它连接到除默许端口外的另外一个端口。例如,假定你有一个外网的网站,可以考虑奉告你的客户在浏览器中利用以下语法连接到除80端口以外的其他端口:

  http://www.domainname.com:X

  此处的X是一个新的端标语。例如:

  http://www.mydomain.com:801

  良多收集报复打击只查抄端口80上的Web办事器,所以这个改变将避免此类报复打击。

  6、锁定利用法度

  任何环境中最大年夜的风险之一是终端用户安装和运行所有他们想要的软件的能力。有良多东西可用来限制终端用户是不是可以在桌面上运行法度。在Windows中,系统治理员可以设置系统策略来避免安装新利用法度,剥夺了利用者的运行号令,并严格限制桌面。Windows也有一个名为软件限制策略功能,可让系统治理员指定哪些软件承诺在特定的计较机上运行。利用法度可以经由过程以下编制被定义和承诺:信赖的数字证书,散列计较,处于互联网安然区域的位置,路径位置和文件类型。

  7、确保安然的P2P办事

  点对点(P2P)的利用法度,如即时通信(IM)和音乐共享,很可能在将来仍是强势的报复打击方针。这是因为P2P利用法度的安然很是有限,假定有的话,常常在没有获得治理员授权环境下安装在企业环境中。并且,他们的目标是拜候终端用户的计较机,这使得盗取文件的工作变得加倍等闲。是以,P2P利用法度愈来愈被视为一个干扰,而不是一个合法的办事,需要进行呵护和治理。但是,你可以采纳的一些办法来治理P2P利用并尽可能削减他们的安然后果。

  起首,假定P2P利用在你的企业环境中是不承认的,那么请肃除它。从教育的终端用户开端,并与治理层合作,成立利用未经授权软件的惩罚条例。然后跟踪法度并删除它们。跟踪它们意味着为测验测验在防火墙日记上监控已知的P2P端口,在本地收集里利用IDS设备来嗅探P2P数据包,或利用P2P审计软件。

  其次,确保你的防火墙建设为明白避免P2P流量。因为P2P软件凡是利用80端口作为代办署理端口,很难经由过程端标语来伶仃***P2P流量,但也有些工作可以做。假定P2P客户端连接到的办事器有一个特定的IP地址或在一个特定的域,可以在防火墙中禁止目标地。有些防火墙承诺利用通配符封锁域名,如* irc*或* kaz*。

  最后,假定你的终端用户对峙利用P2P,并且治理层承认,假定可能的话,对峙让他利用一个更安然的P2P利用法度。例如,假定你的终端用户对峙利用AOL的即时通信客户端,看看治理层是不是可以改用AOL的企业即时通信客户端。它不是免费的,但它的确更安然。有几十个安然的企业即时通信客户端可供选择,并且均具有更好的安然性。最后,确保桌面防病毒扫描法度查抄P2P流量。

  8、保障利用法度编码安然

  SQL注进和缓冲区溢出报复打击只能经由过程法度员利用安然编码来防御。在互联网搜刮引擎中输进任何短语,它将返回关于若何避免这些类型报复打击的大年夜量文档。避免SQL注进报复打击就如利用双引号,而不是单引号一样简单,。禁止缓冲区溢出报复打击需要输进验证。一些免费和商业东西可以用来测试你的利用法度是不是存在这些报复打击并供给修复建议。

  IIS Lockdown东西应当在所有运行IIS系统上履行。它的感化是为不合的WEB办事器角色(例如OWA办事器、公共WEB办事器等等)设计专门的模板。安然模板封锁不需要的功能,删除不需要的文件,并安装URLScan,过滤掉落良多常见的,歹意URL的报复打击。假定安装对IIS办事器有晦气影响,它可以很等闲被卸载和恢答复复兴始设置。

------分隔线----------------------------

推荐内容