多平臺網絡所面臨的安全挑戰

讓運行不同操作系統的系統具備互操作性是很艱巨的任務，正因為如此，對多平臺網絡的關注已經從安全問題轉移到如何實現互操作上。跨平臺共享的能力成為目標，而對于共享的任何安全限制變得不再重要，甚至被遺忘。

大多數IT人員都只對某種特定的系統(Windows、UNIX、Mainframe等)熟悉，而管理層人員也不太懂技術，即使某個人具備管理不同平臺的一般知識，這也并不意味著他懂得所有安全問題。安全是專門的領域，你不僅需要能夠配置和管理你的網絡中不同類型系統的IT人員，你還需要能夠保護這些不同類型系統安全的人員，這包括在一般IT安全概念和供應商專門培訓方面具備良好基礎，這使你能夠使用特定操作系統的內置安全機制，并知道什么時候有必要求助于第三方解決方案。

能力通常部分取決于習慣性行為。如果一個人必須記住不同類型設備的不同步驟和程序，那么混淆和錯誤配置的風險也會提高，這可能導致網絡容易受到攻擊。這也是為什么在多平臺網絡最好部署不同的工作人員管理不同類型的系統的原因。但在當前的經濟形勢下，大家都主張“少花錢多辦事”，很多公司不愿意花錢聘請更多人員。

整理網絡

在很多IT環境，并沒有真正的計劃，網絡只是順其自然的發展，根據系統需求以雜牌拼湊的方式購買和部署新系統。保護網絡的第一步是清楚知道你有哪些東西，所以需要整理網絡硬件和軟件清單。現在網絡上有很多工具可以幫助你發現和整理構成網絡的組件，而關鍵是要使用能夠支持你的網絡中存在的所有操作系統的工具。

最經常被忽略的平臺(安全問題也常被忽視)包括那些用戶筆記本和手機(沒有永久連接到網絡)上運行的平臺，以及在虛擬機上運行的平臺。計算機A可能將Windows作為其主要操作系統，但如果該計算機同時在其虛擬機運行linux，我們就必須將虛擬操作系統作為網絡中的另一臺機器，并部署相應的保護措施。同樣的，很多Linux和Mac用戶也可能在虛擬環境運行Windows操作系統以使用某些不能在其他系統運行的Windows應用程序。你可能還有很多可以啟動不同操作系統的機器，尤其是在開發或者測試環境。

完整的清單必須包括在網絡中運行的所有硬件和所有軟件，即使它并不是全部時間都在網絡中。

升級或更新

沒有哪座城堡是無堅不摧的，平臺也是如此，任何可以連接到互聯網的系統都為聰明的黑客提供了一個可以破壞網絡的渠道。

常見的錯誤就是假設非Windows系統總是“安全的”，但卻并非如此，例如在去年夏天就在大多數版本的Linux系統中發現嚴重的內核漏洞，攻擊者可以利用該漏洞完全控制計算機。

盡管普遍認為Mac系統不容易受到攻擊，而在今年五月蘋果公司發布了用以修復OS X和Safari瀏覽器的67個系統漏洞的修復補丁，并且還不包括重要的Java漏洞補丁。

事實上，Mac安全專家Dai Zovi表示，當攻擊者開始花時間和精力來攻擊OS X的時候(也就是當Mac系統成為主流操作系統的時候)，Mac系統也會向windows系統一樣漏洞百出，Mac系統可能更加容易被攻擊者攻擊。

這里并不是在抨擊非windows操作系統，只是糾正IT人員的舊觀念，認為只有windows系統需要定期更新，及時更新UNIX/Linux和Mac系統的修復補丁也是同樣重要的。

另一個重要的考慮因素就是，在大多數情況下，新版本的操作系統比完全修復的較舊版本的系統更加安全，例如，windows 7和Vista系統包括很多安全機制，如UAC、保護模式IE、Bitlocker驅動加密等，這些是XP沒有的。OS X的最新版本---Snow Leopard，與其之前系統不同，擁有內置惡意軟件檢測(盡快它還不是很強大)，另外還使用更強的校驗和(checksum)來防止內存崩潰攻擊。最新發布的OpenSUSE支持TPM(可信任平臺模塊)技術。在很多情況下，及時升級到最新版本的操作系統絕對可以幫助你提供安全性。

手機操作系統也是同樣的道理，例如，新的iPhone就包含更好的安全功能，例如支持復雜密碼(字母、數字和符號字符)以及遠程擦出數據的能力，這是原來的iPhone沒有的功能。

#p#

注意：

iPhone仍然是企業環境的安全困擾，它只能部署幾個有效的Exchange安全政策，另外安裝在所有iPhone中的iTune也帶來安全風險。

基礎知識

同樣的基礎安全概念同時適用于異構和同構網絡，不管你使用什么平臺，都應該：

· 利用良好的防火墻/威脅管理網關和入侵檢測防御系統來保護網絡外圍

· 使用防病毒和防惡意軟件(包括非windows系統)以及保持定義更新

· 部署安全審計和監督來檢測企圖攻擊

· 關閉不必要的服務來強化系統

· 關閉未使用端口

· 限制對系統的物理訪問

· 限制管理訪問權和根權限，僅限真正需要管理權限的人員使用，在UNIX系統，限制根權限可以保護終端系統

· 部署文件級權限，在UNIX系統，將文件系統分區和對不常變化的存儲文件使用只讀分區，并使用訪問權限控制列表ACL來進行更復雜的權限管理

· 在UNIX系統，使用chroot和ulimit接口來限制文件系統的訪問程序

· 強制執行高強度密碼政策

· 在高度安全環境，要求雙因素驗證

· 在UNIX系統，使用SSH安全殼用于遠程命令行訪問

· 使用加密：保護驅動上的文件，保護網絡傳輸的數據，防止未經授權訪問操作系統

· 部署公鑰基礎設置來發布數字證書

雇傭外部安全審計員

第三方安全審計可以很有效的評估任何復雜網絡中的安全部署，并提出建議，對于異構網絡則更加重要。那些專門的安全審計公司有專業的評估各種不同類型系統的人員，并且熟知新漏洞和新解決方案，他們可以進行滲透測試來評估你的系統的漏洞情況，有效地幫助提高系統安全性。

綜述

多平臺網絡給我們帶來很多安全挑戰， IT管理人員必須學會如何應對這些挑戰，因為這種網絡已經越來越普遍。最重要的是要記住，安全是一個過程，而不是產品。如果你的IT部門人員充足，可以部署不同的人員來關注和管理不同系統，這樣整個網絡會更加安全。而如果人手不足，可以考慮借助“外力”來幫助你評估系統的安全漏洞，并及時解決安全問題。

【編輯推薦】

1. 正反觀點驗證2010年10大安全挑戰
2. 如何正視多平臺網絡的安全挑戰
3. 專家答疑：如何利用端到端加密保護數據