IT团队企业数据安全最佳实践

数据中心经理必须与网络、安全以及系统管理员协作，制定数据中心安全最佳实践，并使用合适的工具来完成配置设定。

安全管理员通常都会实施特定、独立的数据安全策略，以保护企业网络。其中一些措施是以网络为中心的概念，如入侵检测系统（IDS）规则、防火墙或者虚拟局域网配置。其他则基于文件——文件和磁盘加密或策略配置，确定谁可以访问哪些文件。

为了保证IT基础设施安全，数据中心经理必须发问：这些候选的选项当中，是否存在一个选择比其他选择都好？如果有，IT团队什么时候才可以采用它？

基于网络的安全控制

最基础的层面，基于网络的安全控制决定哪些流量可以与不可以进入或离开网络。网络安全通常涉及防火墙、IDC或者两者结合。防火墙深度包检测（DPI）针对试图进入或离开特定网络的二进制文件数据进行多种有效的检查。

比较便宜的防火墙没有DPI功能，网络管理员可能因为安全问题而禁止某些特定类型的流量。例如，某个特定范围的IP地址，如10.1.1.0/24是恶意活动的来源，网络管理员会配置防火墙规则，如：# iptables -A INPUT -s 10.1.1.0/24 -j DROP。

入侵检测系统工作方式与网络防火墙类似，但也有明显差异。IDS和传统防火墙在网络中扮演不同的角色：传统防火墙主要控制允许或拒绝，而IDS仅负责转发和告警。例如，安全管理员好奇哪些类型的网络流量正在进入网络，但不确定其是否恶意，可以使用IDS来检查。网络管理员可能会关注任何从防火墙外部流入内部的任何Web流量。

IDS规则，以开源的Snort工具为例，配置为：警告tcp any any -> any 80 (content:"GET";)，任何内部发往外部的HTTP GET请求都需要告警。这个流量可能只是发现恶意行为漫长分析中的第一个线索。

防火墙与IDS的概念

Cisco ASA的FirePower Service服务概念最近获取了大量数据安全收益。由Cisco与Sourcefire开发，它结合了Cisco ASA系列防火墙与入侵检测系统Snort的粒度。因此，尽管入侵监测管理和网络管理目前还是分开的科目，但两者啮合指日可待。

基于文件的IT安全

一般情况下，基于文件的安全控制都非常精细。大多数操作系统中，管理员可以把复杂的策略限制部署到单个文件或整个文件目录。例如，Linux管理员可以使用命令chmod 640 test.txt 来赋予特定权限。chmod命令的功能是修改某个特定文件的权限。 6表示文件的拥有者具有读取和写入权限，4表示该文件所属的组具有读取权限，而其他用户都没有访问该文件的权限。

这个例子只是基于文件的安全策略非常小的一点，IT团队需要考虑采取其他措施，如文件加密和基于主机的安全产品，包括Microsoft Security Essentials。

结合两者使用

结合基于网络和文件的安全控制策略是常见的定义数据安全最佳实践，特别是最近几年前普及的深度防御范式。

当网络、安全和其他专家协作，安全能获得最大的利益。以Windows管理员为例，他们经常需要基于用户特定角色允许或拒绝特定的文件类型。管理员可能需要禁止终端用户工作站上运行可执行程序。企业通过这种方式获得基于文件的安全控制。网络管理员同样可以拒绝特定的可执行文件通过防火墙，基于网络的安全控制结合基于文件的安全控制是多层次IT安全的基础。

互联网遭受破坏时，第一个问题是：入侵发生时，是否有正确执行数据安全最佳实践？网络安全涉及到网络以及安全管理员的切身利益，他们不但需要承担自己的职责，更应该在该领域互相合作。这也包括在出问题之前，任何IT基础设施安全控制的微小细节。