在購進新鮮亮麗的網(wǎng)絡安全產(chǎn)品或服務前，請確保你的安全策略正在發(fā)揮已有產(chǎn)品的最大效能。

網(wǎng)絡安全沒必要十分昂貴，也不需要太過復雜。是的，有很多極好的產(chǎn)品、服務和咨詢顧問供你選擇，備戰(zhàn)黑客、內(nèi)部威脅、數(shù)據(jù)泄露和惡意軟件也不應該成為一家公司首要考慮的問題。如果沒找準培育網(wǎng)絡安全的土壤，新奇的技術并不能幫你什么。關于網(wǎng)絡安全，我們來談談一些人們極少問到的問題吧?；蛟S就是因為這些問題都太基本，因此才沒被認真考慮吧。

我們都知道：如果某人徹夜開著車庫門，那他裝了再好的家庭安防系統(tǒng)都沒用;車鑰匙插著，車窗開著，那再貴的汽車報警器也幫不了你。下面我們列出能夠反映安全管理基礎的4個問題。你的答案將幫你設立堅實的安全態(tài)勢基礎。

1. 網(wǎng)絡安全策略是最新的嗎?

創(chuàng)建全面安全策略的過程有可能是一場噩夢。無窮無盡的相關利益方開會，想方設法協(xié)調(diào)IT和生產(chǎn)線管理，在核準過于寬泛的策略和指定海量細節(jié)以致策略最終難以實現(xiàn)之間來回打轉。這還不算完，還得頂著要讓員工和不耐煩的經(jīng)理們盡量方便的巨大壓力把策略制訂得盡可能寬松。

就像追購時髦新款智能手機卻在第二天發(fā)現(xiàn)比它酷一倍的更新?lián)Q代產(chǎn)品，安全策略真正完工的時候基本也就離過時不遠了。

應用已退出現(xiàn)役，應用訪問端口卻依然開放。IT部門尚未確認，新用例就已部署。新預置應用上線，部分生產(chǎn)部門卻與云服務提供商簽訂影子合同。以上這些事例都包含在安全策略里了嗎?盡管可能比較痛苦，安全策略依然必須保持最新狀態(tài)，不僅要有常規(guī)審查制度，還要有在安全配置發(fā)生改變之前積極修正安全策略的機制。

2. 安全配置改變是由安全策略驅(qū)動的嗎?

同樣地，各種領域都有安全相關的配置改變被應用到全網(wǎng)的情況。像是思科或穩(wěn)捷網(wǎng)絡出品的防火墻和入侵檢測/預防系統(tǒng)(IDPS)是一個領域;AlgoSec或Firemon出品的變更管理系統(tǒng)是另一個。

不過，網(wǎng)絡安全所占的比重還是比單純的防火墻要大一些。公司需要對像Oracle或微軟Exchange這樣的服務器進行策略配置;Firebase或Okta身份識別系統(tǒng)、網(wǎng)絡路由器和Wifi接入點、虛擬專用網(wǎng)服務器(VPN)、云應用，當然，還有本地文件和應用程序服務器，都是需要進行策略配置的。

除了為適應新員工或項目所做的常規(guī)增刪改動，安全設置的任何改變都應該是策略驅(qū)動的。但凡一個應用上線、下線，或進入網(wǎng)絡中另一個安全區(qū)域，要做的第一步都應該是將之記錄進安全策略中，并檢查是否沖突或矛盾。然后，只有在對策略的改變被充分理解并通過的情況下，管理員才可以對防火墻、訪問控制列表、虛擬局域網(wǎng)(VLAN)配置及其他配置做出調(diào)整。

3. 繁重的重復和敏感性任務是自動完成的嗎?

好吧，假設針對新應用的網(wǎng)絡訪問安全策略已經(jīng)被更新了，策略調(diào)整也已經(jīng)被核準了。但是，哎呀媽呀，負責對23個防火墻進行策略調(diào)整的管理員在其中一個防火墻上犯傻了!也許是加了條錯誤的規(guī)則，可能是把對的規(guī)則改錯了。無論哪種情況，都會造成不良后果。

后果之一：應用無法使用，或用戶無法訪問關鍵應用。找出問題根源也許需要花點時間，但最終總能把問題解決掉。更嚴重的后果是可能會引入新的安全漏洞，造成數(shù)據(jù)泄露或網(wǎng)絡被滲透。你有可能根本找不到疏漏在哪兒。

解決方案：自動化。采用自動化工具在硬件、軟件和基礎設施上實現(xiàn)安全策略修改，你可以得到好太多的正確修改保證。管理員不僅可以復查日至確保每個修改都被正確實施，自動化包也可以在更新失敗時彈出警告。很多情況下，自動化系統(tǒng)都能周期性地根據(jù)安全策略檢查設備設置，記錄下偏離安全策略的地方，然后修復這一情況。通過自動化，策略才能真正驅(qū)動安全部署。

4. 有人監(jiān)管嗎?

防火墻、路由器、應用服務器，這些設備上安全設置的意外誤配置有可能會造成巨大的損失，尤其是誤配置引入了非預期的安全漏洞的情況下。萬一誤配置并不是意外呢?我可不是有意中傷你的IT員工，有經(jīng)驗的管理員在網(wǎng)絡上開個后門并不難。沒人能承擔這樣的后果。

如上文提及的，最好的解決方案之一，就是自動化。如果不能手動修改安全參數(shù)，甚至不能直接觸及安全設置，想要犯錯或危及網(wǎng)絡防御就相當難了。不過，提升了管理權限的惡意用戶還是能夠搞破壞的。

我們需要的是：對硬件、軟件和安全配置的所有改變進行記錄的日志，并且此日志不能被擁有修改網(wǎng)絡權限的管理員訪問，具有防篡改特性?？傊?，我們不能讓人隨便修改或刪除日志。另一個有效方法是設置上層管理警報，只要安全權限發(fā)生非授權改變，上層管理人員就能及時做出響應。這種情況下，保證信息透明度是最好的策略。

那么，你的答案是?

想讓網(wǎng)絡更加安全的需求是永無止境的，它誘使人們持續(xù)尋找新的工具和技術。當然，我們需要先進的資源來阻止分布式拒絕服務(DDoS)攻擊、頑強的黑客和內(nèi)部數(shù)據(jù)盜竊。但那只是問題的一部分——剩余的部分是要確保我們的安全策略和IT團隊在照管我們的安全基本面。在你向安全顧問發(fā)送下一份征求意見書之前，先確保你已經(jīng)回答了以上4個問題吧。

原文地址：http://www.aqniu.com/neo-points/8077.html