对许多人来说,对整个网络进行审核就像牙根管一样可笑。现今网络安全问题层出不穷,我们都知道应该实施网络安全审核,却没有贯彻执行。我认为这是由以下几个原因造成的。首先是知识。很多网络管理员不具备系统和安全的背景知识。当他们准备实施网络安全审核时,面临的最大困难是他们所缺乏的具体知识。
现在有很多非常好的安全审核工具,像是Nessus和NMAP,不需要利用从路由器、交换机和服务器上获取的所有数据,这很有帮助。然而,收集并使用这些数据是一把双刃剑。一方面,你必须知道怎么使用这些数据;为了收集数据而收集纯粹是浪费时间。更糟糕的是另一方面,收集这些数据可能会危及网络并导致系统崩溃。因此使用审核工具的时候必须非常小心。要保证审核有效,需要制定一个详细严谨的方案。如果审核计划制定的不够严密,可能会给系统带来很大的风险,并且无法提供有用数据。
安全管理员抵制安全审核的第二个原因是他们认为“我的系统很安全,我不需要进行网络安全审核”,这种想法我称之为“否认”。这不过是自欺欺人。今天没有网络是安全的。计算机是便携式的,从一个网络连接到另一个网络。平均来说,大多数计算机用户至少会用到两个以上的网络来访问相关联的数据服务。再加上很多企业的网络结构“外强中干”。所以发生安全事故不是可不可能的问题,只是时间问题。
除了用户造成的不安全因素,目前,服务器操作系统的漏洞是最容易受到网络攻击的。所以操作系统也是不安全的因素。如果你仍然认为网络是安全的,请回答接下来的问题:
如果你不能肯定回答上述任何一个问题,那么可以肯定地说你的网络并不安全。不要太沮丧,即使你对上述问题的回答都是肯定的,仍然不能确保网络安全。但是,你的确可以有一个很好的切入点,从而及时检测到安全事故的发生并减轻安全事故的危害。当你准备实施网络安全审核时,必须从网络不安全的角度去考虑问题。一旦初次基线审核完成,就要检验发现的问题。与系统管理员和程序开发人员一起确认你所发现的服务正是应该在该处运行的。如果他们也无法确认,与产品厂商联系。如果不能确定网络上应该运行哪些服务,不应该运行哪些,就不可能确保网络安全。
疏于审核的第三个也是最后一个的原因是有大量其他工作,没有时间。实施网络安全审核确实需要花时间。更糟的是,你需要长期地经常性地进行审核。人们对一个好的安全审核的最普遍的反应是:“我们执行过一次,没有发现任何异常,审核结束。”这是一个错误的想法。你必须意识到网络安全审核的结果是很容易发生变化的。
你可以假定审核结果是有效的,直到网络发生变化(如果你运行DHCP,变化每天都在发生)或者发现了网络中操作平台上的新漏洞。网络安全审核需要定期开展,并且应该与以往的数据进行对比。很多安全事故发生时我们检测不到。历史审核数据可以用来辨别系统何时发生了变化,因为通常系统运行的特定环境会发生改变。如果不进行持续的安全审核并且对比数据结果,很难检测到系统的变化。
.ARP地址
.IP地址
.DNS的名称和备用DNS的名称
.操作系统
.所运行的网络服务(如果可能的话应该包含版本信息)
.活动的网络服务
节点可以是服务器、路由器、交换机、无线接入点或者任何长期连接到网络上的设备。尽管对用户节点进行安全审核很有价值,除非节点是锁定的并且用户不能修改,然而建立有用的档案数据是一项很繁重的工作。应该采取的安全措施是认为所有不在集中管理控制下的主机都是危险的并且加以防备。收集安全审核数据一般分为三个阶段:
.主机辨识:这个阶段需要为连接到网络中的活动主机建立数据库。数据库从接下来三个数据源收集数据:交换机ARP表、活动ICMP扫描和DNS分区表。
.主机信息收集:这个阶段需要对主机进行扫描以确认操作系统、运行的网络服务以及服务软件的版本信息。主要通过对活动主机进行端口扫描和漏洞扫描来获取数据.
下次我们将会具体谈到主机辨识过程,利用恰当的工具是很容易完成的。最后希望你能接受这样的观念:网络安全审核是既耗时又繁琐的工作,你可能没有时间实施。但是很可能有人已经不厌其烦地对你的网络进行扫描,寻找弱点加以攻击。这些人可能就在组织内部;美国联邦调查局的统计数据显示,超过60%的计算机犯罪是从企业内部实施的。审核通过时提示已峻工
offer是offer,又不是正式合同。给你offer是邀请你来加入。offer之后一般会有体检和材料审核。offer之后才审查的原因是,审查一般是第三方公司做的,审查一个人是要付钱的。支持一下感觉挺不错的