【IT168 专稿】制定策略和步骤应该根据企业安全策略来为负责网络基础设施维护和升级的员工制定特殊的指导方针，以帮助他们完成自己的任务。

　　企业网安全备份

　　创建备份的过程是运行计算机环境的一个不可缺少的部分。对于网络基础设施框架，所有提供网络服务的服务器的备份，以及网络基础设施设备配置和映射的备份对于网络基础设施都是很重要。下面谈谈备份策略中应该包含的内容。

　　确定站点已经为所有网络基础设施设备的配置和软件镜像创建了备份;确定站点已经为所有提供网络服务的服务器创建了备份，并且确定站点的备份文件不存储在此站点上。应该认真选择存储站点，考虑其安全性和可用性。

　　考虑为备份文件加密，使备份信息不在站点时能够受到保护。但需要注意的是还应该有良好的密钥管理体制，这样才能够在需要时恢复数据。此外，还要确保在将来需要解密时访问必要的解密程序。不要总认为自己的备份完好。有许多这样的例子：计算机安全事故发生了很长一段时间后站点才注意到它，在这种情形中，受损系统中的备份文件也同样遭到破坏。所以需要定期验证备份文件的正确性和完整性。

　　保证数据和程序的原件及副本的安全，除了为恢复的目的要将他们完好保存外，还应该防止备份文件失窃。用记录和存储敏感软件或数据的介质在不使用时也应该从外观上加以识别、保护和控制。

　　设备认证和使用便携工具

　　所有添加到网络基础设施中的新设备都应该符合特定的安全需求。每个特定站点必须指明支持其他安全策略需要哪些安全特性和功能。这些特性可以简单地只提供TACACS+或RADIUS支持，也可以复杂地提供集成有令牌卡验证和日历支持的TACACS+或RADIUS。

　　使用便携式主机也会带来风险。必须保证员工的便携式计算机失窃不会造成严重的后果。考虑制定相应的指导方针，规定哪些类型的数据允许保存在便携式计算机的硬盘上，以及便携式计算机中的数据该如何保护(例如，是否应该加密)。

　　对通信方式以及所有有悖常规行为的记录有可能会成为发现安全突破口的第一条线索。对不同的站点以及同一站点中的不同类型的访问。需要为日志搜集的数据并不一样。通常需要搜集的信息包括：用户名、主机名、源和目的IP地址、源和目的端口号与时间戳。当然，根据系统实际能够提供的信息种类以及可用来存储信息的硬盘空间的大小，还可以搜集更多信息。值得注意的是：不要记录可能会以明文发送的口令，因为如果能够通过不正常的途径获得审计记录的话，记录这些口令就会有可能导致巨大的潜在安全缺口。

　　存储数据的必要性

　　根据数据的重要性以及在服务被拒绝实例中使数据在本地的需要，数据可以保存在资源本地，直到它被需要或在每个事件后被转存为止。必须认真考虑生成记录日志的设备和真正的日志存储设备(文件服务器、磁带或光驱、打印机等)间路径的安全程度。如果该路径受到危害，就无法记录日志或日志被欺骗，甚至两者同时发生。

　　理想情况下，日志存储设备可以通过单独一根简单的、点对点的电缆直接连接到生成日志的设备。但通常情况下不切实际，因为数据路径一般都经过几个网络和路由器。即使日志可能会被阻塞，但通过加密校验和(很可能不必对记录加密，因为它们不应包含敏感信息)可以防止欺骗。

　　存储设备也需要认真选择。考虑用WORM(Write-Once-Read-Many，可一次可读多次)光驱来存储审核数据。利用这类设备，即使攻击者能获得数据(除物理介质之外)，他们也不能将其修改或损毁。

　　由于搜集审计数据会使数据量迅速增加，因此必须提前考虑对这些信息进行存储的可行性。通过压缩数据或只保存短期之类的数据可减少所需的存储空间。选择一个能使每个人都适用，并且能够为了时间响应目的而保存详细审计记录的时间范围是很有用的。审计数据可以是站点上和备份文件中一些最需要认证保护的数据。倘若入侵者能够访问到审计记录，那么系统本身而不仅仅是数据——都会有危险。

　　审计数据也可以成为调查、逮捕和起诉肇事者的关键。为此，在决策如何对待审计数据时应该向法律顾问咨询，其实在事故发生前就该向法律顾问进行咨询。如果在事故发生前没有制定适当的数据处理计划，就有可能意味着对事故造成的后果没有追索权，因此可能由于没有适当处理数据而造成责任后果。

[1] [2] 下一页