當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 遼寧OA系統(tǒng) > 沈陽(yáng)OA系統(tǒng) > 沈陽(yáng)OA快博
貌“小兒科兒”的建議使企業(yè)遠(yuǎn)離安全夢(mèng)魘
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來源:泛普軟件對(duì)于全球、尤其是美國(guó)的計(jì)算機(jī)安全來講,過去的半年實(shí)在是糟糕透了。接二連三的安全事故給IT界當(dāng)頭一棒。為了竭力減小企業(yè)面臨的風(fēng)險(xiǎn),我們不妨看看今年計(jì)算機(jī)安全大事記當(dāng)中的幾個(gè)糟糕時(shí)刻,專家們也對(duì)該如何采取對(duì)策提供了建議。
2005年上半年的每個(gè)月,媒體幾乎沒有一天不在報(bào)道影響面巨大的計(jì)算機(jī)安全漏洞事件。其中被媒體大肆報(bào)道的名譽(yù)掃地的對(duì)象包括: 美國(guó)第二大銀行美洲銀行、網(wǎng)上經(jīng)紀(jì)公司Ameritrade、保羅拉爾夫勞倫集團(tuán)(Polo Ralph Lauren)和律商聯(lián)訊(Lexis-Nexis)。
重大安全漏洞不為公眾所知的日子已一去不復(fù)返了。譬如說,《加利福尼亞安全漏洞信息法案》規(guī)定: 向加州居民收集個(gè)人信息的州政府機(jī)構(gòu)和公司企業(yè)如果發(fā)現(xiàn)某些安全漏洞,就要立即公布,否則將面臨巨額罰金。由于連知名的IT公司似乎都無法控制某些安全事件的局面,所以政府只好親自出面保護(hù)。因此我們說這是十分糟糕的事態(tài),并不是危言聳聽。
改善糟糕局面的快慢將主要取決于有多少IT人員能夠從別人所犯的錯(cuò)誤當(dāng)中汲取教訓(xùn)?為了竭力減小企業(yè)面臨的風(fēng)險(xiǎn),我們不妨看看今年計(jì)算機(jī)安全大事記當(dāng)中的幾個(gè)糟糕時(shí)刻,專家們也對(duì)該如何采取對(duì)策提供了建議。你也許認(rèn)為這些建議過于“小兒科”,但它們卻是造成這些重大安全事故的“蟻穴”。
對(duì)備份數(shù)據(jù)進(jìn)行加密
截止到今年5月,美洲銀行和Ameritrade都未能對(duì)在送往數(shù)據(jù)存儲(chǔ)和恢復(fù)場(chǎng)地途中丟失的數(shù)據(jù)備份磁帶做出解釋。不過,美洲銀行承認(rèn): 今年2月丟失了內(nèi)有近120萬名聯(lián)邦員工賬戶信息的幾盤磁帶。該銀行女發(fā)言人說,“少數(shù)幾盤計(jì)算機(jī)數(shù)據(jù)磁帶在通過商務(wù)班機(jī)送到備份數(shù)據(jù)中心的途中丟失了?!彼终f,沒有證據(jù)表明磁帶已被人濫用,她推測(cè)磁帶已經(jīng)丟失。銀行官員不愿對(duì)磁帶上的數(shù)據(jù)是不是經(jīng)過加密表態(tài)。但值得回味的是,加州的數(shù)據(jù)安全法規(guī)定,如果丟失數(shù)據(jù)經(jīng)過加密,公司可以不必把數(shù)據(jù)丟失事件通知客戶。
Ameritrade在4月也遭遇了類似情況。該公司告知全國(guó)的20多萬客戶: 由于一只箱子從鹽湖城的一個(gè)安全場(chǎng)地送往另一個(gè)場(chǎng)地的途中受損,結(jié)果少了四盤數(shù)據(jù)備份磁帶,里面保存著客戶的個(gè)人賬戶信息。該公司官員同樣聲稱,他們沒有表示客戶信息已被小偷竊取。不過,他們的確透露: 磁帶上的數(shù)據(jù)沒有經(jīng)過加密,但經(jīng)過了壓縮,數(shù)據(jù)很難提取出來。
所以,安全專家們提出了一條簡(jiǎn)單的忠告: 在備份數(shù)據(jù)時(shí)進(jìn)行加密。
Mark Loveless是IT安全和目錄管理軟件提供商BindView公司的高級(jí)安全分析師,他對(duì)美洲銀行丟失的磁帶提出了質(zhì)疑: “信息有沒有經(jīng)過加密?恐怕沒有,因?yàn)榇蠖鄶?shù)備份磁帶都是沒有加密的?!逼髽I(yè)策略集團(tuán)的一項(xiàng)近期調(diào)查也證實(shí)了他的說法: 多達(dá)60%的存儲(chǔ)專業(yè)人員說,自己從不對(duì)備份磁帶進(jìn)行加密?;卮鸾?jīng)常加密的只有7%; 其余的人說偶爾加密,或者根本就不知道怎么加密。Loveless說: “如果你對(duì)數(shù)據(jù)進(jìn)行了加密,別人想非法利用你的數(shù)據(jù)就困難得多。應(yīng)當(dāng)養(yǎng)成這個(gè)非常好的習(xí)慣。”
如今不乏在文件存儲(chǔ)時(shí)為加密提供便利的公司,其中就有NeoScale和Decru。這兩家公司生產(chǎn)的設(shè)備都可以在數(shù)據(jù)拷貝到存儲(chǔ)介質(zhì)之前先進(jìn)行加密。NeoScale的營(yíng)銷副總裁Dore Rosenblum說: “加密是解決美洲銀行和Ameritrade所遭遇事件的明顯辦法之一。要是數(shù)據(jù)事先經(jīng)過加密,外界恐怕根本不會(huì)聽說此事?!?
Frank Slootman是同時(shí)生產(chǎn)存儲(chǔ)設(shè)備的磁盤備份公司Data Domain的CEO,他認(rèn)為,整個(gè)備份方法應(yīng)當(dāng)重新設(shè)計(jì)。他說: “公司應(yīng)當(dāng)開始考慮取代磁帶存儲(chǔ),對(duì)數(shù)據(jù)進(jìn)行壓縮及加密,然后通過網(wǎng)絡(luò)發(fā)送。公司應(yīng)當(dāng)不要再利用磁帶進(jìn)行備份,然后送到不同的地方。現(xiàn)有的技術(shù)可以把磁帶丟失或者失竊的風(fēng)險(xiǎn)降低到最小。”
鎖定物理安全
今年3月,加州大學(xué)伯克利分校通知98000余名研究生和報(bào)考生: 由于研究生院辦公室“限制區(qū)”的一臺(tái)便攜式電腦失竊,他們的姓名、社會(huì)保障號(hào)碼及其他個(gè)人信息落到了不法分子的手里。事件發(fā)生后不久,加州圣何塞的一家醫(yī)療集團(tuán)又聲稱,存有大約185000人的機(jī)密醫(yī)療信息的兩臺(tái)計(jì)算機(jī)失竊。
安全情報(bào)公司iDefense負(fù)責(zé)研究惡意代碼的主管Ken Dunham堅(jiān)稱,由于移動(dòng)計(jì)算迅速發(fā)展,牢牢控制物理安全的難度大大增加。他又說: “遺忘在出租車和機(jī)場(chǎng)的便攜式電腦數(shù)量非常多?!睋?jù)BindView的Loveless介紹,小偷竊取計(jì)算機(jī)極可能是為了倒手賣掉?!叭缃竦谋銛y式電腦功能非常強(qiáng)大,所以能賣個(gè)好價(jià)錢,而且攜帶起來比DVD播放機(jī)來得方便?!?
Jim Stickley對(duì)計(jì)算機(jī)盜竊了如指掌。在他看來,失去筆記本電腦算不了什么。他說: “我曾把整臺(tái)服務(wù)器悄無聲息地弄出一家公司的大門。”Stickley不是計(jì)算機(jī)竊賊,實(shí)際上是Trace Security的創(chuàng)辦人之一兼CTO。
許多公司聘請(qǐng)安全軟件和咨詢公司Trace Security進(jìn)行漏洞審查,例如利用偽裝和詭計(jì)進(jìn)入銀行或公司的辦公室。Stickley說: “一旦你進(jìn)入了工作場(chǎng)地,繞開了第一道防線,
似乎就毫無障礙可言。一旦你進(jìn)入里面,就完全與任何員工一樣得到信任。”Stickley說,缺乏安全主要?dú)w因于工作環(huán)境在過去十年的變化?!肮纠锩嬗性S多新員工和臨時(shí)員工,這樣一來,進(jìn)入辦公室、隨意獲得控制權(quán)就非常容易?!?
為了防止類似加州大學(xué)的失竊事件,Stickley建議嚴(yán)格監(jiān)控進(jìn)出公司大樓的每個(gè)人員。Stickley說: “要始終陪著客人。如果有人進(jìn)來是成雙搭對(duì),就不要讓他們分開。如果他們抱怨,就說這是公司制定的政策。”
電腦廠商稱,至于含有敏感數(shù)據(jù)的便攜式電腦,應(yīng)當(dāng)把跟蹤設(shè)備如RFID標(biāo)簽貼在電腦的硬盤上。IT服務(wù)提供商Savvis的首席安全官Bill Hancock積極主張給移動(dòng)電腦貼標(biāo)簽?!拔乙娺^許多便攜式電腦,大多數(shù)上面根本沒有任何標(biāo)記。所以萬一丟失了,怎樣才能物歸原主呢?”Hancock說,花錢買一些標(biāo)簽貼在便攜式電腦上,不失為簡(jiǎn)單易行的一條安全措施。
加強(qiáng)口令安全
以提供法律信息搜索服務(wù)而聞名的頂級(jí)內(nèi)容聚集商LexisNexis不幸淪為了隱蔽性更強(qiáng)、危害性更大的一種威脅的受害者。今年3月,該公司官員公布了內(nèi)部審查數(shù)據(jù)搜索活動(dòng)的結(jié)果,結(jié)果表明,發(fā)給其Seisint分公司的口令被人用來竊取了大約3萬名客戶的社會(huì)保障號(hào)碼、駕駛執(zhí)照號(hào)碼、姓名和地址。此后不久,官員把個(gè)人信息可能遭到危及的客戶數(shù)量提高到了28萬名。最后,LexisNexis聲稱有人利用竊取的口令以欺詐手段闖入其數(shù)據(jù)庫(kù)共達(dá)59次之多。
BindView的Loveless說,大型數(shù)據(jù)中心,如LexisNexis維護(hù)的那些數(shù)據(jù)中心是最受黑客青睞的攻擊目標(biāo),因?yàn)槔锩娴男畔⑻峁┝擞锌赡荜J入其他地方的金庫(kù)的密碼。他說,有可能是黑客發(fā)現(xiàn)了沒有從系統(tǒng)當(dāng)中清除的口令。
Savvis的Hancock提到了口令保護(hù)和驗(yàn)證策略方面不能接受的一種現(xiàn)象。他說: “許多公司采用了還算管用的方法,但后來由于人為錯(cuò)誤而出現(xiàn)了問題。”他認(rèn)為,自動(dòng)化則可以避免這種失誤。TraceSecurity的Stickley說,只要黑客能夠進(jìn)入大樓,等到吃午飯時(shí)候,他就能從辦公桌上的便條上收集到一大堆口令,他的“工作”就有把握了。其實(shí),補(bǔ)救的辦法說說容易做起來卻很難: 確保沒有人把口令放在明顯地方; 一旦前任員工離職,就要自動(dòng)及時(shí)撤銷口令。
驗(yàn)證系統(tǒng)提供商TriCipher的創(chuàng)辦人兼CEO Ravi Ganesan認(rèn)為,企業(yè)基礎(chǔ)設(shè)施內(nèi)部有三個(gè)薄弱環(huán)節(jié): “有人可以從用戶的PC、用戶和真實(shí)網(wǎng)址之間以及后端基礎(chǔ)設(shè)施竊取身份數(shù)據(jù)。所有這些地方始終是攻擊對(duì)象。” 他建議,公司應(yīng)當(dāng)使用強(qiáng)化口令(hardened password),從而確保用戶的口令首先傳到受SSL保護(hù)的Web服務(wù)器,然后服務(wù)器與身份專用設(shè)備一起進(jìn)行驗(yàn)證。這樣的優(yōu)點(diǎn)就是,通??梢苑奖銖?qiáng)化口令與現(xiàn)有的身份管理產(chǎn)品、目標(biāo)或者獨(dú)立系統(tǒng)結(jié)合使用。除了強(qiáng)化口令外,Ganesan力勸IT部門重新評(píng)估加密、驗(yàn)證、特權(quán)管理系統(tǒng)、強(qiáng)化操作系統(tǒng)和誠(chéng)實(shí)員工等方面的策略。要做到面面俱到。
iDefense的Dunham認(rèn)為: “上層管理部門加強(qiáng)安全意識(shí)非常有助于防范類似LexisNexis遇到的情形。確保安全沒有靈丹妙藥,安全問題錯(cuò)綜復(fù)雜,但完全取決于管理人員是否重視降低風(fēng)險(xiǎn)。一旦CEO認(rèn)識(shí)到了有可能違反法律、失去客戶的信任、身纏官司、股價(jià)下跌,安全就突然不再是一種軟成本。這是一種經(jīng)營(yíng)成本。”
限制數(shù)據(jù)保留
你的企業(yè)是不是在保存再也沒有用處、反而有可能招惹麻煩的一些累贅的數(shù)據(jù)呢?時(shí)裝零售商保羅·拉爾夫·勞倫集團(tuán)在4月份出現(xiàn)的安全漏洞涉及該公司的信用卡處理系統(tǒng),保羅顯然保存了過多的信用卡數(shù)據(jù),而且保留時(shí)間過長(zhǎng),從而導(dǎo)致信息容易遭到黑客攻擊。據(jù)保羅聲稱,該公司沒有表明信息已被人非法使用。
BindView的Loveless說,保羅事件讓人認(rèn)識(shí)到了數(shù)據(jù)生命周期管理問題的重要性。Loveless說: “對(duì)于數(shù)據(jù)保留,你要問一下: ‘我要保留多久?’對(duì)于這種數(shù)據(jù),你確實(shí)不應(yīng)再以任何理由來保留它。這反而成了累贅?!?
Savvis的Hancock對(duì)保羅遇到的問題概括為“不合時(shí)宜的數(shù)據(jù)存儲(chǔ)”。Trace Security的Stickley看似隨意地說:“根本就沒有解決人類愚蠢行為的什么補(bǔ)丁,讓我們關(guān)注新聞吧。畢竟,沒有什么能夠取代經(jīng)歷,無論這經(jīng)歷是壞的還是好的?!保ㄉ蚪缇幾g)
鏈接
Wi-Fi安全問題
沒有升級(jí)到最新的加密和驗(yàn)證技術(shù)加大了漏洞的嚴(yán)重性。
Wi-Fi安全問題由來已久: 想當(dāng)年,兩個(gè)二十出頭的年輕人坐在密歇根州南菲爾德的Lowe's商店的停車場(chǎng),長(zhǎng)驅(qū)直入Lowe's設(shè)在北卡羅來那州威爾克斯伯勒的數(shù)據(jù)中心,下載了客戶的信用卡號(hào)碼。兩年過去了,現(xiàn)在很多公司仍和當(dāng)年的 Lowe's 一樣容易受到攻擊。大多數(shù)安全專家一致認(rèn)為,如今的企業(yè)當(dāng)中最薄弱的環(huán)節(jié)是源于沒有升級(jí)到最新的加密和驗(yàn)證技術(shù)。
AirDefense的首席安全官Richard Rushing說: “早期的許多無線設(shè)備很簡(jiǎn)單,最多就是采用40位的有線對(duì)等保密(WEP)密鑰,并不支持驗(yàn)證?!背薟EP外,另一種功能有限的傳統(tǒng)安全方法就是輕便可擴(kuò)展驗(yàn)證協(xié)議(LEAP),這是思科用來傳輸驗(yàn)證數(shù)據(jù)的一種協(xié)議。如今,思科正逐步淘汰LEAP及其他方案,改用受保護(hù)的可擴(kuò)展驗(yàn)證協(xié)議(PEAP),這是它與微軟和RSA Security聯(lián)合開發(fā)的一種協(xié)議。
此外,大多數(shù)比較新的Wi-Fi網(wǎng)絡(luò)部署的802.1x采用了更強(qiáng)的口令保護(hù)功能和先進(jìn)加密標(biāo)準(zhǔn)(AES)驗(yàn)證。可是對(duì)許多大公司來說,Wi-Fi網(wǎng)絡(luò)需要多年的推廣,這往往使得每次在引入一種比較新的技術(shù)后,無法回到起點(diǎn),升級(jí)接入點(diǎn)和客戶設(shè)備。
Colubris Networks公司負(fù)責(zé)企業(yè)發(fā)展的副總裁Roger Sands說,如果公司無法升級(jí)到AES(AES需要接入點(diǎn)采用速度更快的處理器),公司就應(yīng)當(dāng)考慮在內(nèi)部為Wi-Fi網(wǎng)絡(luò)使用VPN。Sands說: “或者起碼要用暫時(shí)密鑰完整性協(xié)議(TKIP),TKIP的效果好于靜態(tài)的WEP密鑰。”
其實(shí),總體上來說,無線技術(shù)有著有線網(wǎng)絡(luò)所沒有的固有缺陷: 物理屏障保護(hù)不了無線。Rushing說,一旦無線網(wǎng)絡(luò)離開了大樓,無異于把以太網(wǎng)連接放到了大樓外面。
因?yàn)槿昵昂诳退玫幕炯總z幾乎都有可能故伎重演,如雙面惡魔攻擊(Evil Twin)、拒絕服務(wù)攻擊,或者在系統(tǒng)重新啟動(dòng)時(shí),讓所有接入點(diǎn)陷于癱瘓,以便安裝非法接入點(diǎn)。所以惟一真正有效的防御就是監(jiān)控及掃描無線電波,尋找入侵者,AirMagnet的副總裁Rich Mironov說。
JGold Associates的合伙人Jack Gold說,盡管所有高科技裝置被好人和壞人所使用,但許多安全規(guī)則都是常識(shí)性的。他說: “確保用戶退出后,設(shè)備不要隨處亂放; 確保你在輸密碼時(shí),沒有人在后面偷看?!?
專家們一致認(rèn)為,無線是塊放大鏡。如果你的公司出現(xiàn)了一個(gè)安全漏洞,無線就會(huì)把它放大。
主要的因特網(wǎng)安全漏洞
大部分蠕蟲及其他攻擊之所以能夠得逞,是因?yàn)樯贁?shù)幾種常用的操作系統(tǒng)服務(wù)存在著漏洞。以下是最常見的漏洞:
Windows系統(tǒng)
● Web服務(wù)器和服務(wù)
● 工作站服務(wù)
● Windos遠(yuǎn)程接入服務(wù)
● 微軟SQL服務(wù)器
● Windows驗(yàn)證
● Web瀏覽器
● 文件共享應(yīng)用軟件
Unix系統(tǒng)
● BIND(伯克利因特網(wǎng)名字域)DNS
● Web服務(wù)器
● 版本控制系統(tǒng)
● 郵件傳輸服務(wù)
● SNMP
● 開放式SSL
來源:CCW
- 1西安OA快博
- 2廣州OA快博
- 3深圳OA快博
- 4南京OA快博
- 5長(zhǎng)沙OA快博
- 6合肥OA快博
- 7青島OA快博
- 8上海OA快博
- 9石家莊OA快博
- 10沈陽(yáng)OA快博
- 11長(zhǎng)春OA快博
- 12哈爾濱OA快博
- 1談項(xiàng)目管理和軟件測(cè)試過程(三)
- 2瞬索給現(xiàn)存信息系統(tǒng)帶來了革新
- 32005年度SSL VPN網(wǎng)關(guān)公開比較測(cè)試報(bào)告
- 4知識(shí)管理的價(jià)值矩陣和優(yōu)先級(jí)矩陣
- 5網(wǎng)絡(luò)安全避開新陷阱
- 6MPLS VPN困于邊界?
- 7歸檔變得更容易
- 8協(xié)作區(qū)在泛普OA軟件的應(yīng)用
- 9CMM通過信息化實(shí)現(xiàn)跨越式發(fā)展
- 10行為識(shí)別垃圾郵件
- 11批處理過程的監(jiān)控
- 12為什么交互式特性會(huì)與安全性相沖突?
- 13城域網(wǎng)安全建議
- 14所謂的集團(tuán)OA就是適合大型企業(yè)使用的OA辦公自動(dòng)化系統(tǒng)
- 15計(jì)算機(jī)輔助工業(yè)設(shè)計(jì)技術(shù)發(fā)展?fàn)顩r與趨勢(shì)
- 16了解思科訪問控制列表其他方法
- 17信息安全:IT安全團(tuán)隊(duì)的責(zé)任簡(jiǎn)析
- 18組態(tài)軟件的現(xiàn)狀與發(fā)展趨勢(shì)
- 19垃圾郵件的“雞尾酒療法”
- 20實(shí)施軟件能力成熟度CMM的新思路
- 21警惕按鍵記錄設(shè)備
- 22信息系統(tǒng)科學(xué)預(yù)測(cè)的“水晶球”
- 23未來移動(dòng)操作系統(tǒng)的格局分析
- 24互聯(lián)網(wǎng)環(huán)境下決策支持系統(tǒng)的發(fā)展變遷
- 25全新的業(yè)務(wù)連續(xù)性思路
- 26主數(shù)據(jù)管理經(jīng)驗(yàn)談
- 27一種計(jì)算的雙層解讀
- 28防火墻的技術(shù)精粹
- 29無線網(wǎng)絡(luò)的安全從WEP到WPA
- 30OA軟件的新增功能:系統(tǒng)基礎(chǔ)數(shù)據(jù)導(dǎo)出功能擴(kuò)展
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓