監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

貌“小兒科兒”的建議使企業(yè)遠(yuǎn)離安全夢(mèng)魘

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

對(duì)于全球、尤其是美國(guó)的計(jì)算機(jī)安全來講,過去的半年實(shí)在是糟糕透了。接二連三的安全事故給IT界當(dāng)頭一棒。為了竭力減小企業(yè)面臨的風(fēng)險(xiǎn),我們不妨看看今年計(jì)算機(jī)安全大事記當(dāng)中的幾個(gè)糟糕時(shí)刻,專家們也對(duì)該如何采取對(duì)策提供了建議。

2005年上半年的每個(gè)月,媒體幾乎沒有一天不在報(bào)道影響面巨大的計(jì)算機(jī)安全漏洞事件。其中被媒體大肆報(bào)道的名譽(yù)掃地的對(duì)象包括: 美國(guó)第二大銀行美洲銀行、網(wǎng)上經(jīng)紀(jì)公司Ameritrade、保羅拉爾夫勞倫集團(tuán)(Polo Ralph Lauren)和律商聯(lián)訊(Lexis-Nexis)。

重大安全漏洞不為公眾所知的日子已一去不復(fù)返了。譬如說,《加利福尼亞安全漏洞信息法案》規(guī)定: 向加州居民收集個(gè)人信息的州政府機(jī)構(gòu)和公司企業(yè)如果發(fā)現(xiàn)某些安全漏洞,就要立即公布,否則將面臨巨額罰金。由于連知名的IT公司似乎都無法控制某些安全事件的局面,所以政府只好親自出面保護(hù)。因此我們說這是十分糟糕的事態(tài),并不是危言聳聽。

改善糟糕局面的快慢將主要取決于有多少IT人員能夠從別人所犯的錯(cuò)誤當(dāng)中汲取教訓(xùn)?為了竭力減小企業(yè)面臨的風(fēng)險(xiǎn),我們不妨看看今年計(jì)算機(jī)安全大事記當(dāng)中的幾個(gè)糟糕時(shí)刻,專家們也對(duì)該如何采取對(duì)策提供了建議。你也許認(rèn)為這些建議過于“小兒科”,但它們卻是造成這些重大安全事故的“蟻穴”。

對(duì)備份數(shù)據(jù)進(jìn)行加密

截止到今年5月,美洲銀行和Ameritrade都未能對(duì)在送往數(shù)據(jù)存儲(chǔ)和恢復(fù)場(chǎng)地途中丟失的數(shù)據(jù)備份磁帶做出解釋。不過,美洲銀行承認(rèn): 今年2月丟失了內(nèi)有近120萬名聯(lián)邦員工賬戶信息的幾盤磁帶。該銀行女發(fā)言人說,“少數(shù)幾盤計(jì)算機(jī)數(shù)據(jù)磁帶在通過商務(wù)班機(jī)送到備份數(shù)據(jù)中心的途中丟失了?!彼终f,沒有證據(jù)表明磁帶已被人濫用,她推測(cè)磁帶已經(jīng)丟失。銀行官員不愿對(duì)磁帶上的數(shù)據(jù)是不是經(jīng)過加密表態(tài)。但值得回味的是,加州的數(shù)據(jù)安全法規(guī)定,如果丟失數(shù)據(jù)經(jīng)過加密,公司可以不必把數(shù)據(jù)丟失事件通知客戶。

Ameritrade在4月也遭遇了類似情況。該公司告知全國(guó)的20多萬客戶: 由于一只箱子從鹽湖城的一個(gè)安全場(chǎng)地送往另一個(gè)場(chǎng)地的途中受損,結(jié)果少了四盤數(shù)據(jù)備份磁帶,里面保存著客戶的個(gè)人賬戶信息。該公司官員同樣聲稱,他們沒有表示客戶信息已被小偷竊取。不過,他們的確透露: 磁帶上的數(shù)據(jù)沒有經(jīng)過加密,但經(jīng)過了壓縮,數(shù)據(jù)很難提取出來。

所以,安全專家們提出了一條簡(jiǎn)單的忠告: 在備份數(shù)據(jù)時(shí)進(jìn)行加密。

Mark Loveless是IT安全和目錄管理軟件提供商BindView公司的高級(jí)安全分析師,他對(duì)美洲銀行丟失的磁帶提出了質(zhì)疑: “信息有沒有經(jīng)過加密?恐怕沒有,因?yàn)榇蠖鄶?shù)備份磁帶都是沒有加密的?!逼髽I(yè)策略集團(tuán)的一項(xiàng)近期調(diào)查也證實(shí)了他的說法: 多達(dá)60%的存儲(chǔ)專業(yè)人員說,自己從不對(duì)備份磁帶進(jìn)行加密?;卮鸾?jīng)常加密的只有7%; 其余的人說偶爾加密,或者根本就不知道怎么加密。Loveless說: “如果你對(duì)數(shù)據(jù)進(jìn)行了加密,別人想非法利用你的數(shù)據(jù)就困難得多。應(yīng)當(dāng)養(yǎng)成這個(gè)非常好的習(xí)慣。”

如今不乏在文件存儲(chǔ)時(shí)為加密提供便利的公司,其中就有NeoScale和Decru。這兩家公司生產(chǎn)的設(shè)備都可以在數(shù)據(jù)拷貝到存儲(chǔ)介質(zhì)之前先進(jìn)行加密。NeoScale的營(yíng)銷副總裁Dore Rosenblum說: “加密是解決美洲銀行和Ameritrade所遭遇事件的明顯辦法之一。要是數(shù)據(jù)事先經(jīng)過加密,外界恐怕根本不會(huì)聽說此事?!?

Frank Slootman是同時(shí)生產(chǎn)存儲(chǔ)設(shè)備的磁盤備份公司Data Domain的CEO,他認(rèn)為,整個(gè)備份方法應(yīng)當(dāng)重新設(shè)計(jì)。他說: “公司應(yīng)當(dāng)開始考慮取代磁帶存儲(chǔ),對(duì)數(shù)據(jù)進(jìn)行壓縮及加密,然后通過網(wǎng)絡(luò)發(fā)送。公司應(yīng)當(dāng)不要再利用磁帶進(jìn)行備份,然后送到不同的地方。現(xiàn)有的技術(shù)可以把磁帶丟失或者失竊的風(fēng)險(xiǎn)降低到最小。”

鎖定物理安全

今年3月,加州大學(xué)伯克利分校通知98000余名研究生和報(bào)考生: 由于研究生院辦公室“限制區(qū)”的一臺(tái)便攜式電腦失竊,他們的姓名、社會(huì)保障號(hào)碼及其他個(gè)人信息落到了不法分子的手里。事件發(fā)生后不久,加州圣何塞的一家醫(yī)療集團(tuán)又聲稱,存有大約185000人的機(jī)密醫(yī)療信息的兩臺(tái)計(jì)算機(jī)失竊。

安全情報(bào)公司iDefense負(fù)責(zé)研究惡意代碼的主管Ken Dunham堅(jiān)稱,由于移動(dòng)計(jì)算迅速發(fā)展,牢牢控制物理安全的難度大大增加。他又說: “遺忘在出租車和機(jī)場(chǎng)的便攜式電腦數(shù)量非常多?!睋?jù)BindView的Loveless介紹,小偷竊取計(jì)算機(jī)極可能是為了倒手賣掉?!叭缃竦谋銛y式電腦功能非常強(qiáng)大,所以能賣個(gè)好價(jià)錢,而且攜帶起來比DVD播放機(jī)來得方便?!?

Jim Stickley對(duì)計(jì)算機(jī)盜竊了如指掌。在他看來,失去筆記本電腦算不了什么。他說: “我曾把整臺(tái)服務(wù)器悄無聲息地弄出一家公司的大門。”Stickley不是計(jì)算機(jī)竊賊,實(shí)際上是Trace Security的創(chuàng)辦人之一兼CTO。

許多公司聘請(qǐng)安全軟件和咨詢公司Trace Security進(jìn)行漏洞審查,例如利用偽裝和詭計(jì)進(jìn)入銀行或公司的辦公室。Stickley說: “一旦你進(jìn)入了工作場(chǎng)地,繞開了第一道防線,

似乎就毫無障礙可言。一旦你進(jìn)入里面,就完全與任何員工一樣得到信任。”Stickley說,缺乏安全主要?dú)w因于工作環(huán)境在過去十年的變化?!肮纠锩嬗性S多新員工和臨時(shí)員工,這樣一來,進(jìn)入辦公室、隨意獲得控制權(quán)就非常容易?!?

為了防止類似加州大學(xué)的失竊事件,Stickley建議嚴(yán)格監(jiān)控進(jìn)出公司大樓的每個(gè)人員。Stickley說: “要始終陪著客人。如果有人進(jìn)來是成雙搭對(duì),就不要讓他們分開。如果他們抱怨,就說這是公司制定的政策。”

電腦廠商稱,至于含有敏感數(shù)據(jù)的便攜式電腦,應(yīng)當(dāng)把跟蹤設(shè)備如RFID標(biāo)簽貼在電腦的硬盤上。IT服務(wù)提供商Savvis的首席安全官Bill Hancock積極主張給移動(dòng)電腦貼標(biāo)簽?!拔乙娺^許多便攜式電腦,大多數(shù)上面根本沒有任何標(biāo)記。所以萬一丟失了,怎樣才能物歸原主呢?”Hancock說,花錢買一些標(biāo)簽貼在便攜式電腦上,不失為簡(jiǎn)單易行的一條安全措施。

加強(qiáng)口令安全

以提供法律信息搜索服務(wù)而聞名的頂級(jí)內(nèi)容聚集商LexisNexis不幸淪為了隱蔽性更強(qiáng)、危害性更大的一種威脅的受害者。今年3月,該公司官員公布了內(nèi)部審查數(shù)據(jù)搜索活動(dòng)的結(jié)果,結(jié)果表明,發(fā)給其Seisint分公司的口令被人用來竊取了大約3萬名客戶的社會(huì)保障號(hào)碼、駕駛執(zhí)照號(hào)碼、姓名和地址。此后不久,官員把個(gè)人信息可能遭到危及的客戶數(shù)量提高到了28萬名。最后,LexisNexis聲稱有人利用竊取的口令以欺詐手段闖入其數(shù)據(jù)庫(kù)共達(dá)59次之多。

BindView的Loveless說,大型數(shù)據(jù)中心,如LexisNexis維護(hù)的那些數(shù)據(jù)中心是最受黑客青睞的攻擊目標(biāo),因?yàn)槔锩娴男畔⑻峁┝擞锌赡荜J入其他地方的金庫(kù)的密碼。他說,有可能是黑客發(fā)現(xiàn)了沒有從系統(tǒng)當(dāng)中清除的口令。

Savvis的Hancock提到了口令保護(hù)和驗(yàn)證策略方面不能接受的一種現(xiàn)象。他說: “許多公司采用了還算管用的方法,但后來由于人為錯(cuò)誤而出現(xiàn)了問題。”他認(rèn)為,自動(dòng)化則可以避免這種失誤。TraceSecurity的Stickley說,只要黑客能夠進(jìn)入大樓,等到吃午飯時(shí)候,他就能從辦公桌上的便條上收集到一大堆口令,他的“工作”就有把握了。其實(shí),補(bǔ)救的辦法說說容易做起來卻很難: 確保沒有人把口令放在明顯地方; 一旦前任員工離職,就要自動(dòng)及時(shí)撤銷口令。

驗(yàn)證系統(tǒng)提供商TriCipher的創(chuàng)辦人兼CEO Ravi Ganesan認(rèn)為,企業(yè)基礎(chǔ)設(shè)施內(nèi)部有三個(gè)薄弱環(huán)節(jié): “有人可以從用戶的PC、用戶和真實(shí)網(wǎng)址之間以及后端基礎(chǔ)設(shè)施竊取身份數(shù)據(jù)。所有這些地方始終是攻擊對(duì)象。” 他建議,公司應(yīng)當(dāng)使用強(qiáng)化口令(hardened password),從而確保用戶的口令首先傳到受SSL保護(hù)的Web服務(wù)器,然后服務(wù)器與身份專用設(shè)備一起進(jìn)行驗(yàn)證。這樣的優(yōu)點(diǎn)就是,通??梢苑奖銖?qiáng)化口令與現(xiàn)有的身份管理產(chǎn)品、目標(biāo)或者獨(dú)立系統(tǒng)結(jié)合使用。除了強(qiáng)化口令外,Ganesan力勸IT部門重新評(píng)估加密、驗(yàn)證、特權(quán)管理系統(tǒng)、強(qiáng)化操作系統(tǒng)和誠(chéng)實(shí)員工等方面的策略。要做到面面俱到。

iDefense的Dunham認(rèn)為: “上層管理部門加強(qiáng)安全意識(shí)非常有助于防范類似LexisNexis遇到的情形。確保安全沒有靈丹妙藥,安全問題錯(cuò)綜復(fù)雜,但完全取決于管理人員是否重視降低風(fēng)險(xiǎn)。一旦CEO認(rèn)識(shí)到了有可能違反法律、失去客戶的信任、身纏官司、股價(jià)下跌,安全就突然不再是一種軟成本。這是一種經(jīng)營(yíng)成本。”

限制數(shù)據(jù)保留

你的企業(yè)是不是在保存再也沒有用處、反而有可能招惹麻煩的一些累贅的數(shù)據(jù)呢?時(shí)裝零售商保羅·拉爾夫·勞倫集團(tuán)在4月份出現(xiàn)的安全漏洞涉及該公司的信用卡處理系統(tǒng),保羅顯然保存了過多的信用卡數(shù)據(jù),而且保留時(shí)間過長(zhǎng),從而導(dǎo)致信息容易遭到黑客攻擊。據(jù)保羅聲稱,該公司沒有表明信息已被人非法使用。

BindView的Loveless說,保羅事件讓人認(rèn)識(shí)到了數(shù)據(jù)生命周期管理問題的重要性。Loveless說: “對(duì)于數(shù)據(jù)保留,你要問一下: ‘我要保留多久?’對(duì)于這種數(shù)據(jù),你確實(shí)不應(yīng)再以任何理由來保留它。這反而成了累贅?!?

Savvis的Hancock對(duì)保羅遇到的問題概括為“不合時(shí)宜的數(shù)據(jù)存儲(chǔ)”。Trace Security的Stickley看似隨意地說:“根本就沒有解決人類愚蠢行為的什么補(bǔ)丁,讓我們關(guān)注新聞吧。畢竟,沒有什么能夠取代經(jīng)歷,無論這經(jīng)歷是壞的還是好的?!保ㄉ蚪缇幾g)

鏈接

Wi-Fi安全問題

沒有升級(jí)到最新的加密和驗(yàn)證技術(shù)加大了漏洞的嚴(yán)重性。

Wi-Fi安全問題由來已久: 想當(dāng)年,兩個(gè)二十出頭的年輕人坐在密歇根州南菲爾德的Lowe's商店的停車場(chǎng),長(zhǎng)驅(qū)直入Lowe's設(shè)在北卡羅來那州威爾克斯伯勒的數(shù)據(jù)中心,下載了客戶的信用卡號(hào)碼。兩年過去了,現(xiàn)在很多公司仍和當(dāng)年的 Lowe's 一樣容易受到攻擊。大多數(shù)安全專家一致認(rèn)為,如今的企業(yè)當(dāng)中最薄弱的環(huán)節(jié)是源于沒有升級(jí)到最新的加密和驗(yàn)證技術(shù)。

AirDefense的首席安全官Richard Rushing說: “早期的許多無線設(shè)備很簡(jiǎn)單,最多就是采用40位的有線對(duì)等保密(WEP)密鑰,并不支持驗(yàn)證?!背薟EP外,另一種功能有限的傳統(tǒng)安全方法就是輕便可擴(kuò)展驗(yàn)證協(xié)議(LEAP),這是思科用來傳輸驗(yàn)證數(shù)據(jù)的一種協(xié)議。如今,思科正逐步淘汰LEAP及其他方案,改用受保護(hù)的可擴(kuò)展驗(yàn)證協(xié)議(PEAP),這是它與微軟和RSA Security聯(lián)合開發(fā)的一種協(xié)議。

此外,大多數(shù)比較新的Wi-Fi網(wǎng)絡(luò)部署的802.1x采用了更強(qiáng)的口令保護(hù)功能和先進(jìn)加密標(biāo)準(zhǔn)(AES)驗(yàn)證。可是對(duì)許多大公司來說,Wi-Fi網(wǎng)絡(luò)需要多年的推廣,這往往使得每次在引入一種比較新的技術(shù)后,無法回到起點(diǎn),升級(jí)接入點(diǎn)和客戶設(shè)備。

Colubris Networks公司負(fù)責(zé)企業(yè)發(fā)展的副總裁Roger Sands說,如果公司無法升級(jí)到AES(AES需要接入點(diǎn)采用速度更快的處理器),公司就應(yīng)當(dāng)考慮在內(nèi)部為Wi-Fi網(wǎng)絡(luò)使用VPN。Sands說: “或者起碼要用暫時(shí)密鑰完整性協(xié)議(TKIP),TKIP的效果好于靜態(tài)的WEP密鑰。”

其實(shí),總體上來說,無線技術(shù)有著有線網(wǎng)絡(luò)所沒有的固有缺陷: 物理屏障保護(hù)不了無線。Rushing說,一旦無線網(wǎng)絡(luò)離開了大樓,無異于把以太網(wǎng)連接放到了大樓外面。

因?yàn)槿昵昂诳退玫幕炯總z幾乎都有可能故伎重演,如雙面惡魔攻擊(Evil Twin)、拒絕服務(wù)攻擊,或者在系統(tǒng)重新啟動(dòng)時(shí),讓所有接入點(diǎn)陷于癱瘓,以便安裝非法接入點(diǎn)。所以惟一真正有效的防御就是監(jiān)控及掃描無線電波,尋找入侵者,AirMagnet的副總裁Rich Mironov說。

JGold Associates的合伙人Jack Gold說,盡管所有高科技裝置被好人和壞人所使用,但許多安全規(guī)則都是常識(shí)性的。他說: “確保用戶退出后,設(shè)備不要隨處亂放; 確保你在輸密碼時(shí),沒有人在后面偷看?!?

專家們一致認(rèn)為,無線是塊放大鏡。如果你的公司出現(xiàn)了一個(gè)安全漏洞,無線就會(huì)把它放大。

主要的因特網(wǎng)安全漏洞

大部分蠕蟲及其他攻擊之所以能夠得逞,是因?yàn)樯贁?shù)幾種常用的操作系統(tǒng)服務(wù)存在著漏洞。以下是最常見的漏洞:

Windows系統(tǒng)

● Web服務(wù)器和服務(wù)

● 工作站服務(wù)

● Windos遠(yuǎn)程接入服務(wù)

● 微軟SQL服務(wù)器

● Windows驗(yàn)證

● Web瀏覽器

● 文件共享應(yīng)用軟件

Unix系統(tǒng)

● BIND(伯克利因特網(wǎng)名字域)DNS

● Web服務(wù)器

● 版本控制系統(tǒng)

● 郵件傳輸服務(wù)

● SNMP

● 開放式SSL 

來源:CCW

發(fā)布:2007-04-22 10:11    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:

泛普沈陽(yáng)OA快博其他應(yīng)用

沈陽(yáng)OA軟件 沈陽(yáng)OA新聞動(dòng)態(tài) 沈陽(yáng)OA信息化 沈陽(yáng)OA快博 沈陽(yáng)OA行業(yè)資訊 沈陽(yáng)軟件開發(fā)公司 沈陽(yáng)門禁系統(tǒng) 沈陽(yáng)物業(yè)管理軟件 沈陽(yáng)倉(cāng)庫(kù)管理軟件 沈陽(yáng)餐飲管理軟件 沈陽(yáng)網(wǎng)站建設(shè)公司