《企业网D1Net》10月29日讯

企业网络正在以爆炸式的速度增长，而这同时来给网络安全带来了更严峻的课题：如何保证企业的核心保密数据不流出所谓的网络边界。我们观察到，企业在现实管理操作中经常会犯一些具有代表性的错误，尤其是在部署网络安全设备时。

不要迷信安全设备

一个最大的错误是假定安全设备本身是安全的。表面上这似乎很容易理解，但是一定要坚持这个立足点。所谓的“增强”操作系统到底有多安全？它的最新状态是怎样的？它运行的“超稳定”Web服务器又有多安全？

在开始任何工作之前，一定要创建一个测试计划，验证所有网络安全设备都是真正安全的。首先是从一些基础测试开始：您是否有在各个设备及其支持的网络、服务器和存储基础架构上按时升级、安装补丁和修复Bug？在根据一些记录当前已知漏洞信息的资料交换中心(如全国漏洞数据库)的数据进行检查，一定要定期升级和安装设备补丁。

然后，再转到一些更难处理的方面：定期评估多个设备配置的潜在弱点。加密系统和应用交付优化(ADO)设备的部署顺序不当也会造成数据泄露，即使各个设备本身能够正常工作。这个过程可以与定期执行的渗透测试一起进行。

评估网络安全设备的使用方式

对于任意安全设备而言，管理/控制通道最容易出现漏洞。所以，一定要注意您将要如何配置和修改安全设备——以及允许谁执行这些配置。如果您准备通过Web浏览器访问一个安全系统，那么安全设备将运行一个Web服务器，并且允许Web流量进出。这些流量是否有加密？它是否使用一个标准端口？所有设备是否都使用同一个端口(因此入侵者可以轻松猜测到)？它是通过一个普通网络连接(编内)还是独立管理网络连接(编外)进行访问？如果属于编内连接，那么任何通过这个接口发送流量的主机都可能攻击这个设备。如果它在一个管理网络上，那么至少您只需要担心网络上的其他设备。(如果它配置为使用串口连接和KVM，则更加好。)

最佳场景是这样：如果不能直接访问设备，则保证所有配置变化都必须使用加密和多因子身份验证。而且，要紧密跟踪和控制设备管理的身份信息，保证只有授权用户才能获得管理权限。

应用标准渗透测试工具

如果您采用了前两个步骤，那么现在就有了很好的开始——但是工作还没做完。黑客、攻击和威胁载体仍然在不断地增长和发展，而且您必须定期测试系统，除了修复漏洞，还要保证它们能够抵挡已发现的攻击。

那么，攻击与漏洞有什么不同呢？攻击是一种专门攻破漏洞的有意行为。系统漏洞造成了攻击可能性，但是攻击的存在则增加了它的危害性——漏洞暴露从理论变为现实。

渗透测试工具和服务可以检查出网络安全设备是否容易受到攻击的破坏。一些开源工具和框架已经出现了很长时间，其中包括Network Mapper(Nmap)、Nikto、开放漏洞评估系统(Open Vulnerability Assessment System， OpenVAS)和Metasploit。当然 ，也有很多的商业工具，如McAfee(可以扫描软件组件)和Qualys的产品。

这些工具广泛用于标识网络设备处理网络流量的端口；记录它对于标准测试数据包的响应；以及通过使用OpenVAS和Metasploit测试它面对一些常见攻击的漏洞情况(更多出现在商业版本上)。

其他渗透测试工具则主要关注于Web服务器和应用，如OWASP Zed Attack Proxy(ZAP)和Arachni。通过使用标准工具和技术，确定安全设备的漏洞——例如，通过一个Web管理接口发起SQL注入攻击，您就可以更清晰地了解如何保护网络安全设备本身。

基线是什么呢？制定一个普遍保护策略只是开始。要保护现在漫无边际增长的设备和数据，您需要三样东西：一个普适保护策略、实现策略的工具与技术及保证这些工具与技术能够实现最大保护效果的政策与流程。所有政策与流程既要考虑网络安全设备本身(个体与整体)的漏洞，也要考虑专门针对这些漏洞且不断发展变化的攻击与威胁载体。

D1Net评论：

迷信技术和硬件是很多企业在网络安全问题上经常犯的一个错误，而在选择安全设备时评估方式的缺失也会导致设备与企业业务、规模之间的不匹配性。当解决这两个问题之后，测试工作同样不可或缺，并且理论分析和现实操作之间还有一定距离。因此，这三步曲缺一不可。