Linux安全政策管理的常见缺口

日期: 2010-09-18 作者:Kevin Beaver翻译:Dan 来源:TechTarget中国 英文

这几年不管是审计员、监察主管还是IT经理都在说:要完善安全政策,减少信息风险。虽然这些话都是老生常谈了,但安全政策管理实施起来很简单,而且大多数企业都能实现。拿商业活动来举例,从中你可能会找到关于基本的密码、数据备份和电脑使用的条例。看上去似乎都没有问题。

但是这些政策通常不涉及Linux安全。为什么会出现这种情况呢?   当管理层不把注意力放在信息安全上时,人们大多会产生“安全政策只要覆盖多数操作系统就可以了”的观点,这就导致了Linux安全政策的疏忽。这种观点都是建立在以下想法:“我们的关键商务程序——电子邮件服务器、金融系统和网站都在Windows上运行,而且我们的安全政策涵盖了这些系统。……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

这几年不管是审计员、监察主管还是IT经理都在说:要完善安全政策,减少信息风险。虽然这些话都是老生常谈了,但安全政策管理实施起来很简单,而且大多数企业都能实现。拿商业活动来举例,从中你可能会找到关于基本的密码、数据备份和电脑使用的条例。看上去似乎都没有问题。但是这些政策通常不涉及Linux安全。为什么会出现这种情况呢?

  当管理层不把注意力放在信息安全上时,人们大多会产生“安全政策只要覆盖多数操作系统就可以了”的观点,这就导致了Linux安全政策的疏忽。这种观点都是建立在以下想法:“我们的关键商务程序——电子邮件服务器、金融系统和网站都在Windows上运行,而且我们的安全政策涵盖了这些系统。这些就是我们审查的内容。我们要Linux做什么呢?”

  管理层要为此负部分责任,因为他们没有对此进行管理,也没有说明自己和他人在信息风险最小化中的责任。但是网络管理员和Linux管理员也有一定的责任:他们创建自己的系统——或用作测试或用作产品——却不告之他人。这些系统通常都不在安全监管的范围之内。这就是循环的开始。

当Linux安全成为问题时

  这个循环看似不是问题,但实际上不是这样的。考虑以下的现象:

  •  网络管理员和开发人员使用的都是装有Linux系统的笔记本电脑,他们的加密硬盘里都存储涉及知识产权的敏感信息和客户数据:当原代码公开或数据外泄时会怎么样呢?
  •  企业电子商务系统中的Linux应用程序服务器没有对一些常见攻击进行防御,更没有对安全漏洞进行测试:一个脆弱的密码系统可以导致未授权访问或者OpenSSL的非最新版受到拒绝服务攻击,从而导致很长的故障期,这该怎么办呢?
  •  当用于保护网络免受攻击的Linux防火墙和网络监控系统被非监管人员或无责任心的人员任意修改时:当防火墙规则被“稍稍”修改以致网络访问切断,或者发生信息泄露,调查却发现审计日志丢失时又会怎么样呢?

  笔者经常看到这些情况发生在Linux系统中。不管出于什么原因,这些系统通常都徘徊在重要的安全政策之外,这时我们不希望的情况就出现了。这些问题对各种商业活动都会产生巨大影响。现在谈的不仅是安全政策管理的最佳实施情况,而且是不断增加的电脑信息泄露、身份盗取和与规则遵从相关的法律案件。

Linux安全政策管理的必要性

  Linux系统是所有商业网络的一部分,应该得到与其它系统同样的安全政策和安全监管。一些系统过去没有审计或证明出存在漏洞并不代表它们的安全就不重要。我们退一步看看自己的信息安全政策,这些安全政策的存在并不代表它们就涵盖了所有正确的领域,也不代表它们是健康、合理的。一个良好的安全政策管理验证程序首先应该明白哪些信息系统存在风险(包括Linux系统)。基于这些危险和漏洞,然后决定哪个系统和商业领域需要哪种政策。接着为你的安全政策文件开发一个正式模板,以保证它们的一致性,这样在引用时会很方便,理解起来也很简单。

  最后,周期性地检查有没有新的风险和监管政策。不仅要检查Windows或者其它经常使用的系统,而是检查所有的系统。所有的这些仅需对一个看似安全却可能出现问题的Linux系统进行安全监管。

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

相关推荐