专家答疑:如何正视多平台网络的安全挑战
核心提示:现在的网络日益多元化,包含不同类型的硬件和软件,运行多个操作系统,并且操作系统要求能够互相通信。纯粹的Windows店(或者纯粹的UNIX店)越来越少了,很多公司开始同时运行Windows域和UNIX网络服务器,使运行windows、linux和Mac系统的客户都可以访问。再加上各种类型的智能手机(Windows Mobile、iPhone、Android和Symbian等)可能需要下载电子邮件和访问其他网络资源,可见如今的网络真的面临很大的挑战。本文将探讨如何制定有效的策略来保护这种多平台网络。
【IT专家网独家】多平台网络所面临的安全挑战
让运行不同操作系统的系统具备互操作性是很艰巨的任务,正因为如此,对多平台网络的关注已经从安全问题转移到如何实现互操作上。跨平台共享的能力成为目标,而对于共享的任何安全限制变得不再重要,甚至被遗忘。
大多数IT人员都只对某种特定的系统(Windows、UNIX、Mainframe等)熟悉,而管理层人员也不太懂技术,即使某个人具备管理不同平台的一般知识,这也并不意味着他懂得所有安全问题。安全是专门的领域,你不仅需要能够配置和管理你的网络中不同类型系统的IT人员,你还需要能够保护这些不同类型系统安全的人员,这包括在一般IT安全概念和供应商专门培训方面具备良好基础,这使你能够使用特定操作系统的内置安全机制,并知道什么时候有必要求助于第三方解决方案。
能力通常部分取决于习惯性行为。如果一个人必须记住不同类型设备的不同步骤和程序,那么混淆和错误配置的风险也会提高,这可能导致网络容易受到攻击。这也是为什么在多平台网络最好部署不同的工作人员管理不同类型的系统的原因。但在当前的经济形势下,大家都主张“少花钱多办事”,很多公司不愿意花钱聘请更多人员。
整理网络
在很多IT环境,并没有真正的计划,网络只是顺其自然的发展,根据系统需求以杂牌拼凑的方式购买和部署新系统。保护网络的第一步是清楚知道你有哪些东西,所以需要整理网络硬件和软件清单。现在网络上有很多工具可以帮助你发现和整理构成网络的组件,而关键是要使用能够支持你的网络中存在的所有操作系统的工具。
最经常被忽略的平台(安全问题也常被忽视)包括那些用户笔记本和手机(没有永久连接到网络)上运行的平台,以及在虚拟机上运行的平台。计算机A可能将Windows作为其主要操作系统,但如果该计算机同时在其虚拟机运行linux,我们就必须将虚拟操作系统作为网络中的另一台机器,并部署相应的保护措施。同样的,很多Linux和Mac用户也可能在虚拟环境运行Windows操作系统以使用某些不能在其他系统运行的Windows应用程序。你可能还有很多可以启动不同操作系统的机器,尤其是在开发或者测试环境。
完整的清单必须包括在网络中运行的所有硬件和所有软件,即使它并不是全部时间都在网络中。
升级或更新
没有哪座城堡是无坚不摧的,平台也是如此,任何可以连接到互联网的系统都为聪明的黑客提供了一个可以破坏网络的渠道。
常见的错误就是假设非Windows系统总是“安全的”,但却并非如此,例如在去年夏天就在大多数版本的Linux系统中发现严重的内核漏洞,攻击者可以利用该漏洞完全控制计算机。
尽管普遍认为Mac系统不容易受到攻击,而在今年五月苹果公司发布了用以修复OS X和Safari浏览器的67个系统漏洞的修复补丁,并且还不包括重要的Java漏洞补丁。
事实上,Mac安全专家Dai Zovi表示,当攻击者开始花时间和精力来攻击OS X的时候(也就是当Mac系统成为主流操作系统的时候),Mac系统也会向windows系统一样漏洞百出,Mac系统可能更加容易被攻击者攻击。
这里并不是在抨击非windows操作系统,只是纠正IT人员的旧观念,认为只有windows系统需要定期更新,及时更新UNIX/Linux和Mac系统的修复补丁也是同样重要的。
另一个重要的考虑因素就是,在大多数情况下,新版本的操作系统比完全修复的较旧版本的系统更加安全,例如,windows 7和Vista系统包括很多安全机制,如UAC、保护模式IE、Bitlocker驱动加密等,这些是XP没有的。OS X的最新版本---Snow Leopard,与其之前系统不同,拥有内置恶意软件检测(尽快它还不是很强大),另外还使用更强的校验和(checksum)来防止内存崩溃攻击。最新发布的OpenSUSE支持TPM(可信任平台模块)技术。在很多情况下,及时升级到最新版本的操作系统绝对可以帮助你提供安全性。
手机操作系统也是同样的道理,例如,新的iPhone就包含更好的安全功能,例如支持复杂密码(字母、数字和符号字符)以及远程擦出数据的能力,这是原来的iPhone没有的功能。