這幾年不管是審計(jì)員、監(jiān)察主管還是IT經(jīng)理都在說：要完善安全政策，減少信息風(fēng)險(xiǎn)。雖然這些話都是老生常談了，但安全政策管理實(shí)施起來很簡單，而且大多數(shù)企業(yè)都能實(shí)現(xiàn)。拿商業(yè)活動(dòng)來舉例，從中你可能會(huì)找到關(guān)于基本的密碼、數(shù)據(jù)備份和電腦使用的條例?？瓷先ニ坪醵紱]有問題。但是這些政策通常不涉及Linux安全。為什么會(huì)出現(xiàn)這種情況呢？

當(dāng)管理層不把注意力放在信息安全上時(shí)，人們大多會(huì)產(chǎn)生“安全政策只要覆蓋多數(shù)操作系統(tǒng)就可以了”的觀點(diǎn)，這就導(dǎo)致了Linux安全政策的疏忽。這種觀點(diǎn)都是建立在以下想法：“我們的關(guān)鍵商務(wù)程序——電子郵件服務(wù)器、金融系統(tǒng)和網(wǎng)站都在Windows上運(yùn)行，而且我們的安全政策涵蓋了這些系統(tǒng)。這些就是我們審查的內(nèi)容。我們要Linux做什么呢？”

管理層要為此負(fù)部分責(zé)任，因?yàn)樗麄儧]有對此進(jìn)行管理，也沒有說明自己和他人在信息風(fēng)險(xiǎn)最小化中的責(zé)任。但是網(wǎng)絡(luò)管理員和Linux管理員也有一定的責(zé)任：他們創(chuàng)建自己的系統(tǒng)——或用作測試或用作產(chǎn)品——卻不告之他人。這些系統(tǒng)通常都不在安全監(jiān)管的范圍之內(nèi)。這就是循環(huán)的開始。

當(dāng)Linux安全成為問題時(shí)

這個(gè)循環(huán)看似不是問題，但實(shí)際上不是這樣的。考慮以下的現(xiàn)象：

網(wǎng)絡(luò)管理員和開發(fā)人員使用的都是裝有Linux系統(tǒng)的筆記本電腦，他們的加密硬盤里都存儲(chǔ)涉及知識(shí)產(chǎn)權(quán)的敏感信息和客戶數(shù)據(jù)：當(dāng)原代碼公開或數(shù)據(jù)外泄時(shí)會(huì)怎么樣呢？

企業(yè)電子商務(wù)系統(tǒng)中的Linux應(yīng)用程序服務(wù)器沒有對一些常見攻擊進(jìn)行防御，更沒有對安全漏洞進(jìn)行測試：一個(gè)脆弱的密碼系統(tǒng)可以導(dǎo)致未授權(quán)訪問或者OpenSSL的非最新版受到拒絕服務(wù)攻擊，從而導(dǎo)致很長的故障期，這該怎么辦呢？

當(dāng)用于保護(hù)網(wǎng)絡(luò)免受攻擊的Linux防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)被非監(jiān)管人員或無責(zé)任心的人員任意修改時(shí)：當(dāng)防火墻規(guī)則被“稍稍”修改以致網(wǎng)絡(luò)訪問切斷，或者發(fā)生信息泄露，調(diào)查卻發(fā)現(xiàn)審計(jì)日志丟失時(shí)又會(huì)怎么樣呢？

筆者經(jīng)?？吹竭@些情況發(fā)生在Linux系統(tǒng)中。不管出于什么原因，這些系統(tǒng)通常都徘徊在重要的安全政策之外，這時(shí)我們不希望的情況就出現(xiàn)了。這些問題對各種商業(yè)活動(dòng)都會(huì)產(chǎn)生巨大影響。現(xiàn)在談的不僅是安全政策管理的最佳實(shí)施情況，而且是不斷增加的電腦信息泄露、身份盜取和與規(guī)則遵從相關(guān)的法律案件。

Linux安全政策管理的必要性

Linux系統(tǒng)是所有商業(yè)網(wǎng)絡(luò)的一部分，應(yīng)該得到與其它系統(tǒng)同樣的安全政策和安全監(jiān)管。一些系統(tǒng)過去沒有審計(jì)或證明出存在漏洞并不代表它們的安全就不重要。我們退一步看看自己的信息安全政策，這些安全政策的存在并不代表它們就涵蓋了所有正確的領(lǐng)域，也不代表它們是健康、合理的。一個(gè)良好的安全政策管理驗(yàn)證程序首先應(yīng)該明白哪些信息系統(tǒng)存在風(fēng)險(xiǎn)（包括Linux系統(tǒng)）?；谶@些危險(xiǎn)和漏洞，然后決定哪個(gè)系統(tǒng)和商業(yè)領(lǐng)域需要哪種政策。接著為你的安全政策文件開發(fā)一個(gè)正式模板，以保證它們的一致性，這樣在引用時(shí)會(huì)很方便，理解起來也很簡單。

最后，周期性地檢查有沒有新的風(fēng)險(xiǎn)和監(jiān)管政策。不僅要檢查Windows或者其它經(jīng)常使用的系統(tǒng)，而是檢查所有的系統(tǒng)。所有的這些僅需對一個(gè)看似安全卻可能出現(xiàn)問題的Linux系統(tǒng)進(jìn)行安全監(jiān)管。