前言
在过去的十年里,技术浪潮席卷全球,各大公司也在努力跟上发展的步伐。可用性和创收往往是推行技术革新的关键,而前瞻性设计和安全性这些对于长期稳定而言必不可少的因素却常常被忽略。现在,黑客入侵、数据泄露、勒索攻击等不断得逞且与日俱增。因此,我们不仅要把控好软件的安装和部署,而且也要尽可能地确保数据和资产的安全。在这个过程中,你往往会碰到一些让你感到无从下手的情况,这就好像是火车失事,满地狼藉,让人不知道从哪里开始收拾残局。对此,本书提供了处理大多数情况所需要的信息,相信它们可以帮助你创建坚固、安全的系统设计。
现代攻击的动机很多,从有组织的犯罪团伙为牟取暴利,到一些黑客为打击报复他们所谓“不道德”的机构,或者仅仅是为了出名。然而不论动机是什么,攻击者是谁,大量的攻击都经过缜密的组织,并且由熟练的人员所实施,且背后通常有资金的支持。
这种形势的变化导致很多组织加入了信息安全的追逐赛。它们意识到自己的信息安全计划要么没有被有力地执行,要么从来就没有被重视过。为了改善这种糟糕的现状,这些组织开始在信息安全方面努力,或者投入资源使其发展成熟。然而,发展信息安全本身就是一个难题。
信息安全在当前是一个具有负失业率的产业。这意味着,开放的职位实际上比合适的候选人的数量要多。可是招聘人才很难,想要雇到合适的人就更难了。对于找工作的人来说,这似乎是一种有利的情况;然而对于雇主来说,招聘一个新人来担任公司的信息安全职位实际上是一件风险很大的事,因为他们必须信任新雇员,并且可能需要将高额资产托付给他们进行管理。
出于这个原因,很多刚开始发展信息安全的公司选择将其他职位上的员工(比如系统管理员和架构师)提拔到信息安全岗位上。另一种常见的做法,是招聘一名初级的信息安全从业人员进行培养,寄希望于他能在工作中学习、提升,以担重任。本书意图解决的正是这种情况。
通过一些基本的安全“卫生”意识,公司可以弥补其在信息安全计划上的不成熟,从而规避或大幅度降低遇到问题的可能性。当你接手一个新的、不成熟的安全部门时,一种本能而直接的反应可能是买一堆看起来很厉害的设备,然后祈祷它们能够帮你解决安全问题。有些人则更愿意将其外包。这两种选择都需要花钱。而对于很多没有成熟信息安全体系的组织来说,它们的预算并不能支持上述方案——能动用的往往只是现有的资源。
写作目标
我们的目标是介绍可用于大多数企业网络的标准做法,并让你在阅读中感受到一些乐趣。许多政府和私人组织已经审慎地制定了很多深层次的标准,因此你不必担心有效性的问题;你可以放心地采用它们所倡导的、与时俱进的安全措施。我们会将优秀的策略、最佳实践、代码片段和截图、演练以及一些不太现实的做法等源于行业经验之谈的内容整合在一起,以期与你在阅读中进行一次丰满而切实的对话。我们希望能帮助大众——那些孤立无援的网络管理员;那些想知道自己不是孤身奋战的负责人;那些艰难前进,但还不适合直接阅读各种安全白皮书和 RFC 文档的人。
目标读者
我们将本书设计成一本通用性很强的“安全 101”手册,以帮助你在各种环境中以最小的经济开支换取最大化的安全提升。CIO(首席信息官)、主管、安全分析师、系统管理员以及一些其他技术职位上的工作人员,都可以从本书中获得实用的知识以及支持他们决策的数据。
导览
我们特意写了这个小节来提示你不必以一种“要么全看,要么不看”的方式来使用本书。每个章节的知识点都是独立的,你可以选择一些对你或你的组织适用的主题,并忽略其他部分。这样做是因为我们的目的并不是去遵守特定的框架和规范,而是采取明智、务实、易于控制的方式来改善当前的安全状况。
同时,我们也有目的地对内容进行了编排。刚开始的内容介绍了创建或重新设计信息安全计划的一些基本知识。它会像过山车一样引领你从创建计划的骨架走向更有技术深度的话题。
很多人没有意识到,在投入大笔资金之前,他们在企业里已经有很多能做的事了。信息安全的一个常见问题,就是计划没能获得高管的支持。向他们证明你人事已尽,才是获得安全预算的正确方向。本书的大部分内容,包括步骤、工具、流程和想法,考虑了这种资金很少或者根本没有的情况。
在大体规划好全新的安全计划后,我们需要开始创建一组基本的政策、标准和程序。尽早做这些事可以为你取得一个良好的立足点,从而将你的安全计划发展成熟。使用这些策略来与同事沟通你对他们的期望,能让他们行事规范、各司其职。
教导员工需要注意什么(并且靠他们来监测)永远都不嫌早,所以我们在书的前面部分就包含了用户教育的内容。不过,在防御能力尚且薄弱的时候,我们不用在这上面花太多心思。如果远程攻击行为不会受到人为阻碍,那么让人小心提防也不会有什么效果。
本书接着会介绍规划并处理入侵、灾难、合规性和物理安全性方面的问题。我们需要将信息安全的管理和组织与物理工具和基础设施组合起来才能做到这些事。能否为意外发生的物理或技术上的紧急情况做好准备,可能意味着平滑稳步的恢复或者公司彻底倒闭(或中间的情况)。
优秀、坚固的基础设计只是一个开始。现在我们已经对整个安全计划有了部分认识,我们将从操作系统开始介绍一些更具技术性的话题和安全架构。微软和 Unix 的操作系统各有优劣。对于微软系统,我们将介绍部署增强的缓解体验工具包(Enhanced Mitigation Experience Toolkit,EMET)、组策略最佳实践和 Microsoft SQL 安全性。对于 Unix,我们会介绍第三方更新和一系列加固服务器/操作系统的措施。这些措施包括服务禁用、文件权限控制、基于主机的防火墙、磁盘分区和其他一些访问控制。端点管理也属于这个范畴,我们在企业里常常能看到自带设备(bring your own device,BYOD)实践和移动设备管理(mobile device management,MDM)。我们也会介绍如何管理和实现端点加密。
另外两个自始至终都很重要却经常被忽略的点是网络基础设施和密码管理。关于网络基础设施,我们会覆盖端口安全、不安全技术禁用、设备固件、出口过滤等内容。我们会介绍分段,包括实现虚拟局域网(VLAN)的访问控制列表(ACL)来确保网络不平坦,实现权限管理和网络访问控制(network access control)。接着,我们会讨论如何扫描和填补漏洞。尽管大多数企业级漏洞扫描器是收费的,但是我们仍会进行介绍,因为你的组织可能购买了完全版本。另外,你也可以通过尝试试用版来验证它们的价值。
很多组织有自己的开发团队,然而传统的开发培训基本着重于性能优化、伸缩性和互操作性。在最近几年,软件开发培训才开始包含安全编码的实践。我们会讨论一些内部开发的方法和技术,它们能够增强当前的安全情况并降低风险。
紫队行动,即进攻型安全(红队)和防守型安全(蓝队)的组合,是一个相对较新的概念。它在最近几年内广受关注,但是由于企业的人员配置和公司策略的原因,它可能难以实施。第 18 章介绍了渗透测试,以及社会工程和公开来源情报的基本概念。
最后,我们会介绍入侵检测系统(IDS)、入侵防御系统(IPS)、安全运营中心(SOC)、日志记录以及监控,这些都是最为耗时的安全实践或设备。我们发现很多组织认为,一旦将这些技术部署好,就可以高枕无忧了。但是实际上,花费时间和精力不断地进行配置,才能更好地应对内部环境和外部威胁的变化。我们不会推荐某些特定的供应商,因为讨论总体的解决方案和概念,会比根据当前的工具集推荐特定的供应商更加经得起时间的考验。
在最后一章,你可以找到很多关于配置的思路和建议,但是我们确实没法为它们在前面的章节里找个合适的位置。
排版约定
本书使用下列排版约定。
黑体字
表示新术语或重点强调的内容。
等宽字体(constant width)
表示程序片段,以及正文中出现的变量名、函数名、数据库、数据类型、环境变量、语句和关键字等。
等宽粗体(constant width bold)
表示应该由用户输入的命令或其他文本。
等宽斜体(constant width italic>)
表示应该由用户输入的值或根据上下文确定的值替换的文本。
该图标表示提示或建议。
该图标表示一般性注记。
该图标表示警告或警示。
O'Reilly在线学习平台(O'Reilly Online Learning)
40 多年来,O'Reilly Media 致力于提供技术和商业培训、知识和卓越见解,来帮助众多公司取得成功。
我们拥有独一无二的由专家和革新者组成的庞大网络,他们通过图书、文章、会议和我们的在线学习平台分享他们的知识和经验。O'Reilly 的在线学习平台让你能够按需访问现场培训课程、深入的学习路径、交互式编程环境,以及 O'Reilly 和 200 多家其他出版商提供的大量文本资源和视频资源。有关的更多信息,请访问 https://www.oreilly.com。
联系我们
请把对本书的评价和问题发给出版社。
美国:
O'Reilly Media, Inc.
1005 Gravenstein Highway North
Sebastopol, CA 95472
中国:
北京市西城区西直门南大街 2 号成铭大厦 C 座 807 室(100035)
奥莱利技术咨询(北京)有限公司
O'Reilly 的每一本书都有专属网页,你可以在那儿找到本书的相关信息,包括勘误表、示例代码以及其他信息。本书的网站地址是 http://oreil.ly/2mPWM6p。1
1也可以通过图灵社区本书页面下载示例代码或提交中文版勘误。——编者注
对于本书的评论和技术性问题,请发送电子邮件到 bookquestions@oreilly.com。
要了解更多 O'Reilly 图书、培训课程和新闻的信息,请访问 http://www.oreilly.com。
我们的 Facebook 地址是 http://facebook.com/oreilly。
请关注我们的 Twitter 动态:http://twitter.com/oreillymedia。
我们的 YouTube 视频地址是 http://www.youtube.com/oreillymedia。
致谢
阿曼达
我有太多的人要感谢了。自己写书的好处就是能够不断前进,是的,不断地前进。首先,我要特别感谢我的三个好孩子,迈克尔、詹姆斯和怀亚特。他们已经长成了独立、令人惊讶的小男子汉,没有他们最近几年对我的支持和理解,我就不会成为今天的我。感谢我的母亲一直以来对我的支持和鼓励,也感谢她在我旅行的时候帮我打扫房子。
我的合著者李绝对是个了不起的人。为了完成这本书,我们都花了大量的时间。互相评审对方的工作,交换想法,造就了我们美好的友谊,我们是很好的工作搭档。不可能有比他更好的伙伴了。感谢考特尼和 O'Reilly 团队的其他成员带领我们走过了整个流程,定期回答了我们很多愚蠢的问题。他们使得这本书的编写体验比我想象的要好得多。感谢 O'Reilly 的维吉尼亚出色地完成了最后的编辑工作。感谢技术编辑们的聪明才智和远见卓识,他们是克里斯 • 布洛、马克 • 波兹、亚历克斯 • 哈默斯通和史蒂芬 • 马斯克。感谢加尔 • 夏潘策的宝贵见解。
我想要感谢这么多年来共事过的同事,你们一直都在,包容我的错误和一切。我视为导师的朋友,有些在我的整个职业生涯中一直指导我,有些在我走上信息安全之路后为我提供帮助,他们是罗布 • 富勒、比尔 • 加德纳、沃尔夫冈 • 格里奇、戴夫 • 肯尼迪、德纳 • 鲁蒂诺、杰森 • 斯帝利特。特别感谢 @_sn0ww 在物理安全和社会工程方面提供的帮助,以及艾伦 • 伯奇尔提供的组策略方面的知识和内容。信息安全社区帮助我在冒充者综合征和每天自我怀疑的挣扎中持续进步。在我需要你们的时候,你们一直都在,让我依靠、学习以及放松。你们中有太多人我想要在这里一一感谢了,我很珍惜我们在酒会、聚会,以及 Facebook、Twitter、地下室等所有环境中进行的深入交谈。最后,我想要感谢我的双臂一直在我身体的两侧,我的双腿支撑着我,我的臀部不让我倒下,以及我的手指始终让我能够依赖。谢谢你们一直相信我。
李
首先,我要感谢阿曼达在整个过程中出色的工作。她为本书付出了辛勤的劳作,一直保持着真正的专家风范,成为我的好朋友,也容忍了我有时候“滑稽”的日程。
感谢考特尼 • 艾伦对我们的信任,他不断地督促我们,让整个项目从一开始就步入正轨。他提供了数不清的明智建议,并在这个过程中与阿曼达和我成了好朋友。
感谢我们的技术编辑的反馈和建议,他们是克里斯 • 布洛、马克 • 波兹、亚历克斯 • 哈默斯通和史蒂芬 • 马斯克。
感谢维吉尼亚 • 威尔逊为这本书面世所做的一切工作,她提供了宝贵的反馈,并进行了大量的审阅。
感谢 O'Reilly Media 的帮助和支持。
感谢我的妻子柯斯蒂,以及我们的孩子诺亚、艾米和迪伦,他们大力支持我所做的一切,对我十分耐心,并给我时间让我写作本书。谢谢你们。我爱你们。
感谢本 • 休斯,“都怪他”可能更加恰当……我开玩笑的……
我还要感谢其他许多人,他们创造了令人激动的 InfoSec 社区的维恩图。感谢同事们和朋友们以各种方式帮助我完成了这个项目,包括提供情感支持、指导、建议、咖啡因和酒精。他们是:詹姆斯 • 阿伦、弗雷德里克 • 多雷、比尔 • 甘巴尔德拉、尼克 • 约翰斯顿、亚历克斯 • 穆恩茨、布伦丹 • 奥康纳、艾伦 • 斯托亚诺维奇、韦德 • 威尔逊、DFIRWL 的所有人,以及其他 487 位我无法一一提及的人。
更多信息
扫描下方二维码,即可获取电子书相关信息及读者群通道入口。
