在过去的时候,我们已经讨论过对于一般存储管理员来说必备的五个数据存储安全测试工具,这些工具之间联系紧密,不论是对于网络管理员或者还是存储管理员,都是应该被考虑到的。然而,这些数据存储工具多半是仅被应用在较大型的企业中,那么,当我们在谈及中小企业时应该对应采用哪种工具?这篇文章将会探讨五种数据存储安全方面的工具,这些工具在中小企业显得更为容易和合适。 常见的数据安全问题 在寻找存储相关联的弱点时,有三方面需要关注: 1. 在网络环境中在使用的存储主机; 2. 在你的存储系统中的服务,应用以及共享; 3. 一些可以直接导致安全隐患的特定弱点; 如上的这三点的不可控因素……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在过去的时候,我们已经讨论过对于一般存储管理员来说必备的五个数据存储安全测试工具,这些工具之间联系紧密,不论是对于网络管理员或者还是存储管理员,都是应该被考虑到的。然而,这些数据存储工具多半是仅被应用在较大型的企业中,那么,当我们在谈及中小企业时应该对应采用哪种工具?这篇文章将会探讨五种数据存储安全方面的工具,这些工具在中小企业显得更为容易和合适。
常见的数据安全问题
在寻找存储相关联的弱点时,有三方面需要关注:
1. 在网络环境中在使用的存储主机;
2. 在你的存储系统中的服务,应用以及共享;
3. 一些可以直接导致安全隐患的特定弱点;
如上的这三点的不可控因素以及可能性非常多,但是如果你能关注于是哪些因素在做决定,你可以使这些变得简单些。就我的经验来谈,我遇到过四大类存储相关的弱点:
1. 未知或者被遗忘的那些不在日常打补丁范围内或者系统管理内的系统;
2. 在操作系统层以及应用层面的那些没有打补丁的软件;
3. 在网页管理接口上使用的安全性弱的密码以及访问控制权限;
4. 那些未经保护就共享在网络上可以被自由访问的敏感文件以及数据库;
LANguard 和 QualysGuard
为了能帮助避免和解决一些常见问题中的关于数据存储安全性的问题,你可以选择使用相对价格低廉的漏洞扫描工具-LANgaurd,在如下的图1里(点击图片查看全图)
图1 – 在LANguard的安全性扫描选项-用于查找操作系统及应用层上的漏洞
LANguard是寻找那些可用的主机,开放的端口以及常见漏洞比较初级的一个工具。同样有一个内嵌在LANguard里面的可供查找网络上共享文件权限安全性的小工具。
另外的一个很有用的工具是QualysGuard,是一个几乎可以涵盖所有漏洞搜索的扫描工具。它可以扫描出那些存在于操作系统本身或者应用上的那些你从不曾会被想到的漏洞。
这些工具的价格根据你买的lisences的不同而价格不同,也意味着有不同可以被扫描的系统。你会在需要的时候花费几百或者上千美金,只要是你自己所需要的。可以放心的是,这项投资将会非常的值得。然而,在你决定购买任何数据存储安全工具之前,确定你先测试过那些工具并且确定对公司有用。
Acunetix网页漏洞扫描工具以及N-Stalker网页应用安全性扫描器
对于一个网页来说,Acunetix网页漏洞扫描工具是一个非常不错的漏洞扫描工具,如图2所示(点击图片查看全图)
图2 – Acunetix中用于查找网页相关漏洞时的的安全性扫描选项
Acunetix 网页漏洞扫描工具可以在你当前的存储环境下找到许多常见的基于网页的漏洞,包括了比如说默认/空密码,登陆机制上的缺陷,甚至比如cross-site脚本以及SQL注脚这样的一些输入验证上的缺陷也能被扫描到。
另外的有一种叫做N-Stalker的网页应用安全扫描工具的产品,也可以用来扫描网页上的漏洞。你仅仅需要简单的点击扫描工具并让它指向你想测试的系统的网页地址或者是系统的IP地址,保持默认的选项然后运行就可以了。扫描结束后,会生产一个结果,里面详细描述了哪些地方是需要被注意和加强的。
最后,在你用LANguard或者QualysGuard解决了共享和文件权限上的漏洞之后,你会开始考虑应该如何解决网络上那些不该被任意访问的敏感信息的问题。这也是当前你面临的最大的商业信息风险的挑战。Identity Finder作为一款扫描敏感文件的有用工具,如下图3所示(点击图片查看全图)
图片3 -- Identity Finder 上用于查找敏感信息的搜索选项
Identity Finder作为在网络上共享磁盘的搜索工具有单独版和企业版供用户选择。如果从成本低廉角度考虑,另外有一款叫做FileLocator Network的产品有同样的功能。
总而言之,你的小型商业环境将受益于这些数据存储安全工具,尤其是当你需要搜索环境中那些重要的存储漏洞时尤为有用。
关于作者: Kevin Beaver是亚特兰大Principle Logic LLC的独立信息安全顾问,发言人以及专业见证人。在行业独立信息安全评估以及信息风险管理领域,他有超过20年的宝贵经验。Kevin著作了并参与著作了七本关于信息安全的书籍,涵盖了黑客方面的著作例如“Hacking For Dummies" 以及 "Hacking Wireless Networks For Dummies. 他同样也是信息安全有声读物以及一个为IT专业人士提供安全知识方面学习的博客的创始人。
作者
Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。
相关推荐
-
云提供商加大DR投入力度
对于期待在其灾难恢复计划中使用云的企业来讲,选择是多样的,云DR能够满足各种规模的企业需求。
-
中小企业NAS采购前需考虑的六大问题
从价值300美金的NAS设备到连接着数据存储网络的NAS网关,NAS覆盖了广泛的领域。为了选择最合适我们环境的NAS设备,我们需要仔细考虑真正的需求以及有哪些产品可供我们选择。
-
Infortrend助力扬州瘦西湖隧道打造监控存储系统
瘦西湖隧道工程是扬州市城建史上单体投资规模最大、建设周期最长、施工难度较大的市政建设项目。随着交通建设的高速发展,对其交通监控管理的要求也在不断提高,而应用智能化管理和数据存储的安全性成为这一发展趋势的主要方向。
-
是否有必要对文件同步服务中的数据进行备份?
应该对文件同步服务(如Box.com)中的内容进行备份吗?在本期Q&A中,Eric Slack将就此问题进行简要解答。