簡單的隨手札記...關於IT的Security Configuration Guides and Checklists...
「Windows XP安全強化18招」
「讓網頁伺服器安全的七武器」
「電子郵件安全必殺五式」
這類的新聞、專欄、文摘實在看煩也看膩了,雖然其內容多半有其重要性,或是特別強調了某部分,以與當時的熱門資訊安全事件相呼應,但是這類文章多半「以偏 蓋全」、「掛一漏萬」、「斷簡殘篇」,長長見識,增加點認知倒是可以,想要照著實作就有難度了,不僅不清楚怎麼做,甚至做完了還不清楚這樣算不算安全。
要實作,最好的方法還是要比較完整的安全指引或是實作指引。雖然現在資安變成了某種「顯學」,大廠多半會提供自身產品的安全強化指引,但是散落各處查閱耗 時不說,文件品質也良莠不齊,一些比較中性,比較非產品面的安全考量也不會在這類指引中出現,最好的方法,還是一些比較中立,或是超然於產品面外的政府機 關提供的安全實作指引會更容易遵循些。
下面就列了幾個比較好用的安全檢查與實作指引的網站,這些網站多半蒐羅了各式各類的安全檢查清單與設定指引,更好的是,有的還有Benchmark tool,可以用來安全檢查或是稽核用,讚!
NSA(美國國家安全局) Security Configuration Guide:
http://www.nsa.gov/snac/index.cfm?MenuID=scg10.3.1
NIST(美國國家標準局) Security Configuration Checklists Repository:
http://checklists.nist.gov/repository/category.html
DISA(美國資訊系統保護局) Security Checklists:
http://iase.disa.mil/stigs/checklist/index.html
SANS S.C.O.R.E. Checklists:
http://www.sans.org/score/checklists.php
CIS(Center of Internet Security) Benchmarks/Scoring Tools:
http://www.cisecurity.org/
另外關於Windows/IIS/SQL,微軟也提供了一套MBSA的自動檢查工具,可以做一些基本的安全檢查,這應該是對一般人來說最簡單也最懶惰的工具了。
想知道自己管的系統有多安全(或多不安全)嗎?檢查一下吧,保證會嚇一跳 :P
0 意見:
張貼留言