这几年不管是审计员、监察主管还是IT经理都在说:要完善安全政策,减少信息风险。虽然这些话都是老生常谈了,但安全政策管理实施起来很简单,而且大多数企业都能实现。拿商业活动来举例,从中你可能会找到关于基本的密码、数据备份和电脑使用的条例。看上去似乎都没有问题。但是这些政策通常不涉及Linux安全。为什么会出现这种情况呢?
当管理层不把注意力放在信息安全上时,人们大多会产生“安全政策只要覆盖多数操作系统就可以了”的观点,这就导致了Linux安全政策的疏忽。这种观点都是建立在以下想法:“我们的关键商务程序——电子邮件服务器、金融系统和网站都在Windows上运行,而且我们的安全政策涵盖了这些系统。这些就是我们审查的内容。我们要Linux做什么呢?”
管理层要为此负部分责任,因为他们没有对此进行管理,也没有说明自己和他人在信息风险最小化中的责任。但是网络管理员和Linux管理员也有一定的责任:他们创建自己的系统——或用作测试或用作产品——却不告之他人。这些系统通常都不在安全监管的范围之内。这就是循环的开始。
当Linux安全成为问题时
这个循环看似不是问题,但实际上不是这样的。考虑以下的现象:
网络管理员和开发人员使用的都是装有Linux系统的笔记本电脑,他们的加密硬盘里都存储涉及知识产权的敏感信息和客户数据:当原代码公开或数据外泄时会怎么样呢?
企业电子商务系统中的Linux应用程序服务器没有对一些常见攻击进行防御,更没有对安全漏洞进行测试:一个脆弱的密码系统可以导致未授权访问或者OpenSSL的非最新版受到拒绝服务攻击,从而导致很长的故障期,这该怎么办呢?
当用于保护网络免受攻击的Linux防火墙和网络监控系统被非监管人员或无责任心的人员任意修改时:当防火墙规则被“稍稍”修改以致网络访问切断,或者发生信息泄露,调查却发现审计日志丢失时又会怎么样呢?
笔者经常看到这些情况发生在Linux系统中。不管出于什么原因,这些系统通常都徘徊在重要的安全政策之外,这时我们不希望的情况就出现了。这些问题对各种商业活动都会产生巨大影响。现在谈的不仅是安全政策管理的最佳实施情况,而且是不断增加的电脑信息泄露、身份盗取和与规则遵从相关的法律案件。
Linux安全政策管理的必要性
Linux系统是所有商业网络的一部分,应该得到与其它系统同样的安全政策和安全监管。一些系统过去没有审计或证明出存在漏洞并不代表它们的安全就不重要。我们退一步看看自己的信息安全政策,这些安全政策的存在并不代表它们就涵盖了所有正确的领域,也不代表它们是健康、合理的。一个良好的安全政策管理验证程序首先应该明白哪些信息系统存在风险(包括Linux系统)。基于这些危险和漏洞,然后决定哪个系统和商业领域需要哪种政策。接着为你的安全政策文件开发一个正式模板,以保证它们的一致性,这样在引用时会很方便,理解起来也很简单。
最后,周期性地检查有没有新的风险和监管政策。不仅要检查Windows或者其它经常使用的系统,而是检查所有的系统。所有的这些仅需对一个看似安全却可能出现问题的Linux系统进行安全监管。