局域網(wǎng)管理配置管理與運(yùn)營安全

　　在2000~2007年期間，對(duì)系統(tǒng)的技術(shù)攻擊主要是利用了已知的漏洞。典型的周期是，微軟每個(gè)月發(fā)布一組安全補(bǔ)丁，只要補(bǔ)丁一出來，攻擊者就開始對(duì)其進(jìn)行逆向工程；數(shù)天之內(nèi)，微軟發(fā)布的這些補(bǔ)丁機(jī)理被破解，相應(yīng)攻擊攻擊工具也隨之出現(xiàn)。運(yùn)作良好的公司會(huì)在星期2發(fā)布補(bǔ)丁時(shí)快速對(duì)自身的運(yùn)營進(jìn)行測(cè)試，如果對(duì)系統(tǒng)沒有不好的影響，就打上補(bǔ)丁。如果有不良影響，也會(huì)盡可能快地修復(fù)。
　　當(dāng)然，堅(jiān)固的配置管理不僅僅是關(guān)于補(bǔ)丁的。很多軟件產(chǎn)品都帶有不安全的默認(rèn)設(shè)置，比如廣為人之知的默認(rèn)密碼。好的做法是派專門人負(fù)責(zé)并處理這些問題。從計(jì)算機(jī)中清除不必要的服務(wù)也是很常見的做法，通常，沒有必要讓公司中的每個(gè)工作站都運(yùn)行郵件服務(wù)器、ftp服務(wù)器與DNS服務(wù)，移除這些不必要的服務(wù)可以大幅度降低被攻擊的風(fēng)險(xiǎn)。經(jīng)常重裝軟件是梁歪一種有力的方法：在Project Athena期間的MIT，采用的策略就是在午夜時(shí)對(duì)所有軟件進(jìn)行重裝，這極大減少了系統(tǒng)管理員（負(fù)責(zé)學(xué)生計(jì)算機(jī)）的數(shù)量。呼叫中心采用的操作方式也類似，如果某個(gè)人視圖安裝未授權(quán)軟件，他就不得不在每次輪換時(shí)都重新操作，這很可能會(huì)被發(fā)現(xiàn)還有一些網(wǎng)絡(luò)配置問題：你想知道自己網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并需要一些方法來防御欺騙訪問點(diǎn)。如果這些都能正確完成，就可以有效應(yīng)對(duì)大部分技術(shù)攻擊（你單獨(dú)的過程來處理自己代碼中的錯(cuò)誤，但由于大多數(shù)軟件是購買的而不是自己寫的，局域網(wǎng)管理配置管理是攻防斗爭中的主要任務(wù)）。
　　很多工具可以幫助系統(tǒng)管理員完成這些任務(wù)。有些工具可用于集中化版本控制，以便可以在夜晚進(jìn)行打補(bǔ)丁操作，并保持所有相關(guān)事務(wù)的同步，其他一些工具可用于尋找網(wǎng)絡(luò)中存在的漏洞。在第一個(gè)這種工具出現(xiàn)時(shí)，引發(fā)了大量的爭議，并導(dǎo)致一些國家通過了反對(duì)“黑客工具”的相關(guān)法律?，F(xiàn)在，這樣的工具有數(shù)十種之多，但是用時(shí)都需要小心謹(jǐn)慎。
　　然而，尋求一種策略以便讓系統(tǒng)管理員在源頭上阻止所有漏洞要比看起來困難，甚至那些勉強(qiáng)的機(jī)構(gòu)也會(huì)發(fā)現(xiàn)，立即修復(fù)所有安全漏洞的成本太高了。補(bǔ)丁肯尼個(gè)破壞關(guān)鍵的應(yīng)用程序，而看起來似乎通用的規(guī)則是，機(jī)構(gòu)中最關(guān)鍵系統(tǒng)運(yùn)行在最不安全的計(jì)算機(jī)上，因?yàn)楣芾韱T不管對(duì)其進(jìn)行升級(jí)-擔(dān)心導(dǎo)致關(guān)鍵服務(wù)中止。
　　這將我們導(dǎo)向了運(yùn)營安全的范疇，這里需要使用過濾工具，比如防火墻。
　　2007年時(shí)，計(jì)算機(jī)被攻陷的主要途徑是人們點(diǎn)擊了電子郵件中的鏈接，從而導(dǎo)致了下載與安裝root kit。當(dāng)然，你必須培訓(xùn)員工，要求其不要點(diǎn)擊電子郵件中的鏈接，但不要指望這種方法可以完全解決問題。很多銀行與其他一些商業(yè)機(jī)構(gòu)會(huì)期待客戶點(diǎn)擊鏈接，很多員工也不得不點(diǎn)擊某些鏈接以便完成自己的工作。對(duì)低級(jí)別員工，可以通過不授予其對(duì)計(jì)算機(jī)的管理員權(quán)限進(jìn)行防護(hù)；對(duì)從事創(chuàng)作的員工，可以通過讓其使用Mac來實(shí)施白虎，但是，仍然會(huì)存在殘留的風(fēng)險(xiǎn)。通常處理這一問題的方式是在防火墻出剝離掉所有可執(zhí)行程序。