企业安全管理的六个关键实践

    你可以从众多资源中汲取更多以了解当前的威胁环境。领先的安全厂商，包括Symantec,该公司出版了年度互联网安全威胁报告；McAfee 实验室，它提供了一个季度的威胁报告； IBM X-Force,产生了威胁和风险趋势报告；以及思科，该公司出版了安全威胁白皮书，他们都用有效资源不断更新有威胁的环境。此外，还有一些提供威胁情报的各种组织，包括卡内基？梅隆大学软件工程研究所（ CERT ） ,它研究的Internet安全漏洞，并进行长期的安全性研究；美国政府的应急准备小组（ US-CERT ） ,它提供技术安全警报和公告； SANS协会，发布顶端的网络安全风险列表；和计算机安全协会（ CSI），其出版年度计算机犯罪和安全调查。除了这些资源，专业协会，如国际信息系统安全认证联盟（ ISC2 ）提供厂商中立的培训、教育和认证，包括为安全专业开展的CISSP .信息系统审计与控制协会（ISACA ）从事开发、采纳和使用全球公认的，业界领先的知识和实践信息系统，如COBIT标准和CISA认证信息系统。

    对于已确定的各项资产，你必须为执行建议的保护措施负责。安全专业人员所遇到的问题是如何知道什么时候一个系统或应用程序需要一个修补程序或补丁应用。大多数供应商为安全更新、提供安全警示，以及一个维护订阅被购买的信息提供一个邮件列表。市面上有许多安全邮件列表，但近年来最流行的是Bugtraq和Insecure.org提供的Full Disclosure名单。请记住，最新的漏洞和黑客不在任何网站上发表，厂商也不能意识到"零日漏洞",直到攻击发生。但是订阅这些邮件列表，将随时向你通报，就像任何人都可以被通知一样。

    实践五：实施安全监控与审计

    系统监控和审计活动很重要的原因有两个。首先，监测活动告知系统管理员系统的操作方式，系统故障在哪里，在什么地方性能是一个问题，什么类型的负载系统在任何给定的时间负荷着大量负载。这些细节允许被适当的维护和发现性能瓶颈，并且指出进一步调查的领域是很有必要的。聪明的管理员使用一切可能的工具来确定一般的网络和系统的健康，然后采取相应的行动。其次，安全性感兴趣是可疑活动的暴露，正常和非正常使用的审核跟踪，以及法医证据在诊断攻击或误用时是非常有用的，这样有可能捕捉和起诉攻击者。可疑活动包括明显的症状，如已知的攻击代码或签名，或可能的模式是有经验的，意味着可能尝试或成功的入侵。

    从日志中提供的信息和从其他监测技术中受益，你必须了解信息可用的类型以及如何获得它。你还必须知道如何处理它。三种类型的信息是有用的：

    · 活动日志

    · 系统和网络监控

    · 漏洞分析

    1. 审计活动日志

    每个操作系统、设备和应用程序可以提供大量的日志记录活动。不过，管理员这样做必须做出记录多少活动的决定。默认登录信息的范围各不相同，什么东西可记录，应该用来记录什么，这没有明确的答案。答案取决于活动和日志记录的原因。

    当检查日志文件时，了解哪些内容需要被记录，而哪些内容不重要。日志中包含的信息因日志的类型、事件的类型、操作系统和产品、是否可以选择额外的事情以及数据的类型而变化。此外，如果你正在寻找"谁"参加了此次活动，或者他们使用了"什么"机器，这些信息可能会或可能不会是日志的一部分。Windows Server 2003之前的Windows事件日志，例如，不包括计算机的IP地址，只有主机名。和Web服务器日志不包括确切信息，无论它们是什么品牌。很多Web活动通过代理服务器，所以你会发现，虽然你知道网络来源，但不知道来自具体的哪个系统。

    在确定是什么日志的时候，一般情况下，你必须回答以下问题：

    · 什么是默认登录？这不仅包括典型的安全信息，如成功和不成功登录或访问文件，而且还包括在系统上运行服务和应用程序的行为。

    · 信息被记录哪里在？这可能会记录到多个位置。

    · 随着添加的信息，日志文件的大小是无限的增长还是应当设置文件大小？如果是后者，那么日志文件已满的时候又怎么办？

    · 可以记录哪些类型的附加信息？你又怎么选择这些选项呢？

    · 什么时候需要特定的日志活动？在一些环境下，记录特定的项目是合适的，但对其他环境却不合适？适合某些服务器，但不适合其他服务器？适合服务器，但却不适合桌面系统？

    · 应归档哪些日志和应归档保存多长时间？

    · 如何让记录免受意外或恶意修改或篡改？

    不是每一个操作系统或应用程序日志记录相同类型的信息。知道配置什么，在哪里可以找到日志，日志中的哪些信息在需要了解具体的系统时是有用的。综观在一个系统中的示例日志是非常有用的，然而，因为它赋予问题类型许多含义，所以这些问题你需要问和回答。Windows和Unix日志是不同的，但是对于二者，你可能要能够识别谁、什么、何时、何地以及为什么事情会发生。下面的例子讨论Windows日志。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!