堵死企業(yè)安全的十個漏洞

申請免費試用、咨詢電話：400-8352-114

對日益依賴互聯(lián)網(wǎng)應(yīng)用的現(xiàn)代企業(yè)來說，不斷變化的安全威脅和不斷變化的法規(guī)標準使得維護可信賴的網(wǎng)絡(luò)環(huán)境成為一大難題。

在全球化的經(jīng)濟環(huán)境下，企業(yè)從來沒有像現(xiàn)在這樣離不開互聯(lián)網(wǎng): 企業(yè)通過因特網(wǎng)開展電子商務(wù)交易，并為供應(yīng)商、業(yè)務(wù)合作伙伴、客戶及遠程員工提供訪問網(wǎng)絡(luò)資源的便利。不過，盡管在網(wǎng)上做生意變得更方便了，但要確保數(shù)據(jù)交換和通信安全、可靠卻變得更困難了。對大大小小的企業(yè)來說，不斷變化的安全威脅和不斷變化的法規(guī)標準使得維護可信賴的網(wǎng)絡(luò)環(huán)境成為一大難題。

這里介紹了十個安全策略，可以幫助企業(yè)在內(nèi)外部建立網(wǎng)上信任關(guān)系。雖然這些策略并不全面，但它們包括企業(yè)面臨的十個最大威脅: 電子郵件系統(tǒng)、傳統(tǒng)的口令安全機制、身份認證、網(wǎng)絡(luò)釣魚等。

1. 缺少SSL的保護，數(shù)據(jù)完整性就會受到危及。

應(yīng)盡快為你的整個企業(yè)部署SSL服務(wù)器證書。SSL是世界上部署最廣泛的安全協(xié)議，它應(yīng)當部署在所有Web服務(wù)器上，以保護從瀏覽器傳輸?shù)椒?wù)器的各種機密和個人信息。

安全套接層（SSL）加密是如今用來保護網(wǎng)站、局域網(wǎng)、外聯(lián)網(wǎng)以及基于服務(wù)器的其他應(yīng)用的最主要技術(shù)之一。如果沒有它，通過公共和專用網(wǎng)絡(luò)交換的數(shù)據(jù)其完整性就會受到危及，最終影響業(yè)務(wù)連續(xù)性和利潤。SSL可以保護網(wǎng)絡(luò)訪問、網(wǎng)上聯(lián)系和數(shù)字交易，因為它能夠在服務(wù)器和用戶之間建立一條安全通道。

在過去幾年間，人們對SSL技術(shù)的優(yōu)點的認識和理解有了很大提高，越來越多的用戶注意到表明會話采用SSL加密的那個掛鎖符號。如今成千上萬的網(wǎng)站安裝了X.509特殊服務(wù)器數(shù)字證書，它可以激活瀏覽器和服務(wù)器之間的SSL。同時，所有現(xiàn)代的Web瀏覽器和服務(wù)器里面已經(jīng)集成了支持SSL的功能，因此，從企業(yè)角度來看，只要在服務(wù)器上安裝證書即可，這時從一方傳送到另一方的所有數(shù)據(jù)都經(jīng)過了加密，就可以防止可能會危及傳送數(shù)據(jù)的安全性或者完整性的任何竊聽行為。

2. 沒有可靠的物理和網(wǎng)絡(luò)安全，敏感的企業(yè)數(shù)據(jù)就會岌岌可危。

使用防火墻、入侵檢測、客戶端PC病毒軟件、基于服務(wù)器的病毒檢查，并且確保所有系統(tǒng)上的安全補丁版本最新，這可以防止大多數(shù)威脅公司業(yè)務(wù)、破壞敏感數(shù)據(jù)或者威脅業(yè)務(wù)連續(xù)性的行為。

網(wǎng)絡(luò)安全涉及計算機系統(tǒng)和網(wǎng)絡(luò)訪問控制、檢測及響應(yīng)入侵活動。安全管理不力會帶來巨大風(fēng)險: 數(shù)據(jù)失竊、服務(wù)中斷、物理破壞、系統(tǒng)完整性受到危及、未授權(quán)披露公司專有信息。

為了保護網(wǎng)絡(luò)訪問通道，就要從基本方面著手，譬如把沒有使用的計算機鎖起來。除了基本方面之外，更可靠的解決方案包括: 利用密鑰卡、硬件令牌和生物識別技術(shù)來控制訪問特別敏感的地方。

防火墻是網(wǎng)絡(luò)安全的必要組成部分。防火墻限制從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)的訪問，并且檢查及限制通過網(wǎng)絡(luò)的所有流量。防火墻應(yīng)當限制從因特網(wǎng)及一個內(nèi)部網(wǎng)絡(luò)（如應(yīng)用服務(wù)器）進入到另一個網(wǎng)絡(luò)（如數(shù)據(jù)庫）。認真考慮防火墻應(yīng)該允許開放哪些IP地址和端口，這很有必要。此外，建議為網(wǎng)絡(luò)上功能明顯不同的部分使用多層防火墻——一個防火墻用于非軍事區(qū)（DMZ）、第二個用于Web服務(wù)器、第三個用于應(yīng)用服務(wù)器，第四個可能用于數(shù)據(jù)庫。

入侵檢測系統(tǒng)可以監(jiān)視攻擊、分析審查日志、出現(xiàn)攻擊時向管理員報警、保護系統(tǒng)文件、揭示黑客的手法、表明哪些漏洞需要加以堵住，并且有助于跟蹤實施攻擊的不法分子。

另一個必不可少的手段就是確保所有客戶機上的病毒和特洛伊木馬檢查軟件版本是最新的。外面有成千上萬的病毒，每個新病毒都比原來的那種病毒來得狡猾、更具破壞性。最近通過電子郵件傳播、在全球肆虐的幾個病毒已造成了巨大破壞和損失。一種特別可靠的解決方案就是，在電子郵件傳輸系統(tǒng)（如微軟Exchange）上運行基于服務(wù)器的病毒軟件，以防止被感染的郵件傳送給用戶或者通過一個客戶機感染其他客戶機。

最后，最簡單也是最有效的方法是，確保已打上了所有操作系統(tǒng)和應(yīng)用軟件最新版本的安全補丁。黑客對微軟的IIS Web服務(wù)器存在的漏洞一清二楚，并一直把運行IIS Web服務(wù)器的站點作為下手目標。多年來，盡管針對IIS安全漏洞的補丁可以免費獲得，不過網(wǎng)上仍有30%以上的IIS系統(tǒng)沒有打上最新補丁。因此，有必要重申這一點: 立即打上所有安全補丁。

3. 沒有充分重視PKI系統(tǒng)的作用。

值得信賴的第三方在擴建復(fù)雜、安全、昂貴的公鑰基礎(chǔ)設(shè)施（PKI）并為你管理時，采用完全托管的安全服務(wù)可以讓你把精力集中在促進公司業(yè)務(wù)發(fā)展所需的應(yīng)用上。

公鑰基礎(chǔ)設(shè)施（PKI）這種工具能夠以過去不可能實現(xiàn)的方式來使用各種應(yīng)用。如果缺乏有效的方法來頒發(fā)、撤銷及管理證書，而公司準備在內(nèi)聯(lián)網(wǎng)上部署福利系統(tǒng)后，就別指望只有員工使用該系統(tǒng)來查詢福利信息，如果相當大比例的員工遠地辦公的話，更是如此。同樣，如果訪問不安全、可靠，銷售隊伍就無法完全利用公司的 CRM系統(tǒng)。如今不少公司在限制使用電子郵件，許多公司禁止使用即時消息傳送，這一切都是因為這些系統(tǒng)還不是安全的。

上一代PKI從理論上來說很好，但實現(xiàn)時需要安裝復(fù)雜的軟硬件，還需要專門的IT人員以及特殊的安全措施來保護系統(tǒng)。不用說，這一切意味著龐大的財務(wù)費用。不過，PKI已不斷成熟，并且技術(shù)上有了足夠創(chuàng)新，可以成為應(yīng)用系統(tǒng)的一個外包部分。值得信賴的第三方認證中心（CA）可以構(gòu)建、維護及管理企業(yè)所需的公鑰基礎(chǔ)設(shè)施，并確保其安全。提供完全托管型服務(wù)的CA在驗證技術(shù)和方法方面具有優(yōu)勢。企業(yè)只要知道想實施的業(yè)務(wù)規(guī)則以及為了實現(xiàn)業(yè)務(wù)流程自動化需要部署的應(yīng)用就可以了。關(guān)鍵在于如何在應(yīng)用中使用證書以落實安全。許多應(yīng)用已經(jīng)具有證書就緒功能（certificate-ready），譬如瀏覽器、電子郵件和虛擬專用網(wǎng)（VPN）。

完全托管的安全服務(wù)有幾個重要部分: 靈活的驗證模型（讓我們知道某人就是他所說的那個人）、管理界面（組織中的哪個人被授權(quán)可進行更改、控制流程）和操作界面（組織中的不同群體如何獲得證書）。

大多數(shù)組織需要外包給可信的第三方以滿足以下一種或者多種要求: 安全訪問、安全消息傳送和無紙交易。對所有大組織來說，員工可以安全地訪問企業(yè)網(wǎng)絡(luò)（如局域網(wǎng)）中的關(guān)鍵應(yīng)用（如CRM系統(tǒng)）是一項重要需求。電子郵件或者即時消息傳送的安全傳送機制為確認消息發(fā)送方身份、保護內(nèi)容避免被人竊聽提供了一種機制。而無紙交易可以把如今需要用原始簽名（Wet Signature）來表明內(nèi)容的基于紙張的流程完全實現(xiàn)數(shù)字化，從而節(jié)省基于紙張的流程的時間和成本。

4. 免費軟件可以在30分鐘內(nèi)破解口令。

口令安全性很差，而且變得越來越差，從而導(dǎo)致你的安全系統(tǒng)易受攻擊。因此必須執(zhí)行嚴格的口令使用規(guī)則，從而大大增強這種防御能力。

隨著計算機的運行速度加快，破解口令帶來的誘惑加大，對那些不法分子更有吸引力。由于更多的關(guān)鍵業(yè)務(wù)系統(tǒng)實現(xiàn)了聯(lián)網(wǎng)，破解口令能夠得到更大收獲。利用下載的免費軟件，黑客們能夠在30分鐘內(nèi)破解6個字符長的口令、6小時內(nèi)破解8個字符長的口令。

你需要立即在人們?nèi)绾蝿?chuàng)建口令以及口令更改頻率方面制訂規(guī)則。口令創(chuàng)建規(guī)則包括: 混合使用大小寫字母; 至少始終要有一個數(shù)字和標點符號; 不要使用個人資料當中的名字; 長度至少要有8個字符。最重要的是，如果五次輸入都不正確后，就要確保所有口令都被禁用，以防范企圖借助蠻力破解口令的行為。另外，還要在內(nèi)部運行口令破解程序，以查出安全性很差的口令，并改用低成本、外包的驗證和數(shù)字SSL證書服務(wù)替換這些弱口令。

5. 電子郵件會泄露你的商業(yè)機密。

為所有員工發(fā)放數(shù)字客戶端證書，用于簽名/加密的電子郵件，從而保護企業(yè)數(shù)據(jù)，進一步讓員工對企業(yè)所有通信的來源、真實性和機密性都感到放心。

安全消息傳送（想想最初的電子郵件以及隨后的即時消息和IP語音傳輸即VoIP等）旨在確保，只有消息的預(yù)期接收方才能夠讀取。電子郵件使用越頻繁，它對公司的機密信息而言就越重要。發(fā)送到企業(yè)外面的電子郵件更是如此。電子郵件以明文格式通過公共網(wǎng)絡(luò)從一臺服務(wù)器傳送到另一臺服務(wù)器上。一路上的服務(wù)器能夠而且確實保存收到的所有消息，也有權(quán)利這么做。在大多數(shù)電子郵件系統(tǒng)上，發(fā)送方無法控制誰可以接收到轉(zhuǎn)發(fā)的電子郵件消息，也沒有表明有人接到轉(zhuǎn)發(fā)消息的審查蹤跡。

任何兩名員工現(xiàn)在只要簡單地交換客戶端證書，就可以對發(fā)給對方的消息進行簽名及加密，從而確保: 這些消息沒有被篡改; 消息來源得到證實; 對兩者之間的任何系統(tǒng)進行竊聽的人都無法讀取消息。公司的機密電子郵件需要采用這種做法。此外，組織還應(yīng)當迅速部署安全的即時消息傳送（IM）產(chǎn)品，禁止使用任何不安全的IM。即時消息通信已成為公司中的一個常見應(yīng)用，起到了非常重要的作用，但公司的關(guān)鍵信息也在通過IM系統(tǒng)傳送，可能會被沒有證書的人所獲取。有了安全的IM，這將不再成為問題。

6. 傳統(tǒng)的訪問控制已經(jīng)難以勝任。

利用數(shù)字證書取代弱口令和成本高昂的時間同步令牌來保護系統(tǒng)安全。數(shù)字證書比口令安全得多、成本低于安全令牌，而且如果完全托管，易于部署。

SSL支持服務(wù)器端和客戶機端的身份驗證。如果服務(wù)器提供證書給客戶機，這表明服務(wù)器已通過驗證（擁有域控制權(quán)的組織獲得了證書，并且身份得到驗證），客戶機（瀏覽器）可以證實證書域和服務(wù)器域相匹配。如果客戶機提供證書給服務(wù)器，這表明客戶機已通過驗證。這些客戶端SSL證書駐留在瀏覽器里面，這樣一來，就取代了用口令訪問安全網(wǎng)站的機制。

證書比口令安全得多，因為竊取另一個人的證書很困難，而且就算竊取了存有證書的電腦也無濟于事，因為仍需要口令才能激活證書。由于證書大大提高了系統(tǒng)的安全性，這樣就可以放心地訪問比較重要的應(yīng)用，如CRM系統(tǒng)和企業(yè)局域網(wǎng)。

許多公司現(xiàn)在或者很快會安裝VPN，以便遠程用戶安全訪問重要系統(tǒng)。這是一個很好的舉措，但不要通過口令來確認身份，因為這樣會削弱VPN的好處，而應(yīng)該在VPN安裝客戶端證書。

時間同步令牌是一種小巧設(shè)備，可以生成號碼，用來輸入到網(wǎng)頁上，從而安全地訪問網(wǎng)絡(luò)或者應(yīng)用。遺憾的是，時間同步令牌成本高昂、人們會丟失、所用電池也會出問題，你還很容易把它借給別人使用。更好的辦法是實施托管型的安全服務(wù)，以頒發(fā)及管理客戶端證書的生命周期。

7. 你的網(wǎng)站可能會被網(wǎng)絡(luò)釣魚所欺騙。

你可以通過讓網(wǎng)站使用信任標記（Trust Mark）來表明及保護貴公司的身份，既向訪客表明自己的真實身份，也能夠讓訪客信任你的網(wǎng)站。

在處理敏感數(shù)據(jù)時，SSL對加密而言至關(guān)重要。但SSL并不提供有關(guān)被訪問網(wǎng)站的身份——這是“網(wǎng)絡(luò)安全領(lǐng)域的公開秘密”。為了保護你網(wǎng)站上公司的身份，就要使用無法復(fù)制的信任標記或者安全站點圖標（Site Seal）。對組織來說，這杜絕了站點上當受騙的可能性; 而對客戶來說，這讓他們確信自己是在訪問合法網(wǎng)站。遺憾的是，許多現(xiàn)有的“身份”產(chǎn)品（站點圖標）提供不了保護。

最好使用動態(tài)生成的無法復(fù)制的站點圖標。譬如說，有些公司的站點圖標放在網(wǎng)頁上，以表明該站點是合法的、真實的，并且已得到可信第三方的證實。首先，站點圖標認為核實站點所有人的身份最重要。其次，站點圖標旨在打擊盜用現(xiàn)象。第三，它還提供了“自我監(jiān)管”功能: 如果無法證實站點所有人的身份，圖標就根本不會出現(xiàn)。最后，它會鏈接至收集了有關(guān)站點及所有人的驗證信息的龐大資料庫，幫助用戶、最終幫助站點本身。這讓訪客能夠信任商家，從而促成眾多交易。

8. 在生產(chǎn)環(huán)境中進行測試無異于玩火。

建立非軍事區(qū)（DMZ），以便把有風(fēng)險的網(wǎng)絡(luò)活動隔離在你的關(guān)鍵業(yè)務(wù)型生產(chǎn)網(wǎng)絡(luò)部分之外，模擬生產(chǎn)環(huán)境，或者讓客戶可以進行各種驗收測試。

允許通過調(diào)制解調(diào)器訪問安全網(wǎng)絡(luò)的中心部位，這是導(dǎo)致入侵的最常見根源之一。如今許多人使用所謂的戰(zhàn)爭撥號器（War Dialer），試圖通過調(diào)制解調(diào)器組（Modem Bank）來訪問企業(yè)或者政府的網(wǎng)絡(luò)系統(tǒng)。這些人往往能夠得逞。

要建立可以訪問因特網(wǎng)但只能有限制性地訪問內(nèi)部網(wǎng)絡(luò)的DMZ，可通過認真設(shè)置防火墻來做到這一點: 把DMZ封鎖起來，遠離網(wǎng)絡(luò)其余部分，同時仍允許可以全面訪問因特網(wǎng)。防火墻可以保護網(wǎng)絡(luò)的關(guān)鍵部分，遠離這個DMZ。

如果客戶驗收測試必須在公司網(wǎng)絡(luò)上進行，只允許這種測試在DMZ進行。

9. 最薄弱的安全環(huán)節(jié)是你的人員。

定義安全規(guī)范，這也許是最容易被忽視的，但卻是十條指導(dǎo)準則中最重要的，不過也是最容易，可能也會帶來最大影響。最好把安全規(guī)范擬寫成文、傳達下去，并加以執(zhí)行。

安全效果完全取決于貴組織的最薄弱環(huán)節(jié)。安全從來不是自動就能實現(xiàn)的，它需要人的參與。人員對組織的一項安全策略會取得多大成功具有最大的影響。不少實踐已表明，從安全人員入手是突破組織安全體系的最簡單方法。如果組織制訂條文明確、解釋清楚的安全策略，并加以執(zhí)行，就能有效地對付這一點極簡單的錯誤。

要明文規(guī)定有關(guān)設(shè)施訪問、網(wǎng)絡(luò)訪問、合理使用公司系統(tǒng)與網(wǎng)絡(luò)以及合理使用公司電子郵件和瀏覽器的相關(guān)流程和規(guī)則。此外，要列出得到支持的標準和沒有得到支持的標準，包括允許在網(wǎng)絡(luò)上使用的操作系統(tǒng)，并解釋為什么不允許另外的操作系統(tǒng)。如果允許訪客進入貴組織的會議室，而會議室里面有網(wǎng)絡(luò)分接頭，可以接入上網(wǎng)，那么這種很常見的方法闖入網(wǎng)絡(luò)的速度不亞于“特洛伊木馬”。

10.繞不過去的身份驗證。

使用經(jīng)過全面測試、成熟的驗證技術(shù)，以查明網(wǎng)上匿名者的身份。通過無紙交易來簡化你的公司業(yè)務(wù)。

“沒人知道你在網(wǎng)上是一條狗”是《紐約客》雜志上的一幅著名漫畫，如今被許多網(wǎng)站、簡報甚至T恤衫所引用。這恰恰表明了使用網(wǎng)絡(luò)進行重要交易所面臨的最大的一個威脅。對某個人進行驗證的一套標準程序是向他們詢問只有你和對方知道的一系列共享秘密，但在網(wǎng)上進行交易所面臨的難題就是，商家并不知道個人，因而也就沒有共享秘密。

需要顧客訂閱、登記或者填寫表格的許多組織正期望消除人工紙張過程和人工審批過程。為了開展網(wǎng)上應(yīng)用，商家必須能夠驗證: 消費者就是他所說的那個人，并擁有生成電子簽名的能力。(CCW)