頻道欄目
首頁 > 資訊 > 企業安全 > 正文

針對國內企業安全的十個漏洞

06-04-04        來源:[db:作者]  
收藏   我要投稿

對日益依賴互聯網應用的現代企業來說,不斷變化的安全威脅和不斷變化的法規標準使得維護可信賴的網絡環境成為一大難題。

  在如今的全球化經濟環境下,公司企業從來沒有像現在這樣離不開互聯網——企業通過因特網開展電子商務交易,并為供應商、業務合作伙伴、客戶及遠程員工提供訪問網絡資源的便利。 

 

不過,盡管在網上做生意變得更方便了,要確保數據交換和通信安全、可靠卻變得更困難了。對大大小小的企業來說,不斷變化的安全威脅和不斷變化的法規標準使得維護可信賴的網絡環境成為一大難題。

  這里介紹了十個安全策略,以便在企業內外建立網上信任關系。雖然這些策略并不全面,但它們側重于企業面臨的十個最大威脅:電子郵件系統、傳統的口令安全機制、身份認證、網絡釣魚等。

  1. 缺少SSL的保護,數據完整性就會受到危及。

  應盡快為你的整個企業部署SSL服務器證書。SSL是世界上部署最廣泛的安全協議,它應當部署在任何服務器上,以保護從瀏覽器傳輸到服務器的各種機密和個人信息。

  安全套接層(SSL)加密是如今用來保護網站、內聯網、外聯網以及基于服務器的其他應用的最主要的技術之一。如果沒有它,通過公共和專用網絡交換的數據其完整性就會受到危及,最終影響業務連續性和利潤。SSL可以保護網絡訪問、網上聯系和數字交易,因為它能夠在服務器和用戶之間建立一條安全通道。

  在過去幾年間,人們對SSL技術所具有的優點的認識和理解有了大為提高。越來越多的用戶留意表明會話采用SSL加密的那個掛鎖符號

  如今成千上萬的網站安裝了X.509特殊服務器數字證書,它可以激活瀏覽器和服務器之間的SSL。所有現代的Web瀏覽器和服務器里面已經集成了支持SSL的功能,因此,從企業角度來看,只要在服務器上安裝證書即可。一旦瀏覽器和服務器進行了信號交換,從一方傳送到另一方的所有數據都經過了加密,從而可以防止可能會危及傳送數據的安全性或者完整性的任何竊聽行為。

  2. 沒有可靠的物理和網絡安全,敏感的企業數據就會岌岌可危。

  使用防火墻、入侵檢測、客戶端PC病毒軟件、基于服務器的病毒檢查,并且確保所有系統上的安全補丁版本最新,這可以防止大多數類型的威脅影響公司業務、破壞敏感數據或者威脅業務連續性。

  網絡安全涉及計算機系統和網絡訪問控制、檢測及響應入侵活動。安全不力會帶來巨大風險:數據失竊、服務中斷、物理破壞、系統完整性受到危及、未授權披露公司專有信息。

  為了保護網絡訪問通道,就要從基本方面著手,譬如把沒有使用的計算機鎖起來。除了基本方面之外,更可靠的解決方案包括:利用密鑰卡、硬件令牌和生物識別技術來控制訪問特別敏感的地方。

  防火墻是網絡安全的必要組成部分。防火墻限制從一個網絡到另一個網絡的訪問,并且檢查及限制通過網絡的所有流量。防火墻應當限制從因特網及一個內部網絡(如應用服務器)進入到另一個網絡(如數據庫)。認真考慮防火墻應該允許開放哪些IP地址和端口,這很有必要。此外,建議為網絡上功能明顯不同的部分使用多層防火墻——一個防火墻用于非軍事區(DMZ)、第二個用于Web服務器、第三個用于應用服務器,第四個可能用于數據庫。

  入侵檢測系統可以監視攻擊、分析審查日志、出現攻擊時向管理員報警、保護系統文件、揭示黑客的手法、表明哪些漏洞需要加以堵住,并且有助于跟蹤實施攻擊的不法分子。

  另一個必不可少的手段就是確保所有客戶機上的病毒和特洛伊木馬檢查軟件版本最新。外面有成千上萬的病毒,每個新病毒都比原來的那種病毒來得狡猾、更具破壞性。最近通過電子郵件傳播、在全球肆虐的幾個病毒已造成了巨大破壞和損失。一種特別可靠的解決方案就是,在電子郵件傳輸系統(如微軟Exchange)上運行基于服務器的病毒軟件,以防止被感染的郵件傳送給用戶或者通過一個客戶機感染其他客戶機。

  最后,最簡單也是最有效的方法是,確保已打上了針對所有操作系統和應用軟件的每個最新版本的安全補丁。黑客對微軟的IIS Web服務器存在的漏洞一清二楚,一直把運行IIS Web服務器的站點作為下手目標。多年來,堵住IIS安全漏洞的補丁可以免費獲得,不過網上仍有30%以上的IIS系統沒有打上最新補丁。因此,有必要重申這一點:立即打上所有安全補丁。

  3. 自己開發PKI系統或者選擇托管型PKI服務。

  值得信賴的第三方在擴建復雜、安全、昂貴的公鑰基礎設施(PKI)并為你管理時,采用完全托管的安全服務可以讓你把精力集中在促進公司業務發展所需的應用上。

  公鑰基礎設施(PKI)這種工具能夠以過去不可能實現的方式來使用各種應用。要是缺乏有效的方法來頒發、撤銷及管理證書,公司在內聯網上部署福利系統后,別指望員工使用該系統只用于查詢福利信息,如果相當大比例的員工遠地辦公的話,更是如此。同樣,如果訪問不安全、可靠,銷售隊伍就無法完全利用公司的重要系統:CRM系統。如今不少公司在限制使用電子郵件,許多公司禁止使用即時消息傳送——這一切都是因為這些系統還不是安全的。

  上一代PKI從理論上來說很好,但實際上需要安裝復雜的軟硬件,還需要專門的IT人員以及特殊的安全措施來保護系統。不用說,這一切意味著龐大的財務費用。不過,PKI已不斷成熟,并且技術上有了足夠創新,可以成為應用系統的一個外包部分。值得信賴的第三方認證中心(CA)可以構建、維護及管理企業所需的公鑰基礎設施,并確保其安全。提供完全托管型服務的CA在驗證技術和方法方面具有專長。企業就要知道想要實施的業務規則以及為了實現業務流程自動化需要部署的應用。集成點在于如何在應用中使用證書以落實安全。許多應用已經具有證書就緒功能(certificate-ready),譬如瀏覽器、電子郵件和虛擬專用網(VPN);日益使用證書成了大勢所趨。

  完全托管的安全服務有幾個重要部分:靈活的驗證模型(我們如何才能知道某人就是他所說的那個人)、管理界面(組織中的哪個人被授權可進行更改、控制流程)和操作界面(組織中的不同群體如何獲得證書)。

  大多數組織需要外包給可信第三方的應用滿足以下一種或者多種要求:安全訪問、安全消息傳送和無紙交易。對所有大組織來說,員工可以安全訪問企業網絡如內聯網、訪問關鍵應用如CRM系統是一項重要需求。電子郵件或者即時消息傳送程序安全傳送消息為安全地確認消息發送方身份、保護內容避免被人竊聽提供了一種機制。而無紙交易可以把如今需要用原始簽名(Wet Signature)來表明內容的基于紙張的流程完全實現數字化,從而節省基于紙張的流程的時間和成本。

  4. 免費軟件可以在30分鐘內破解口令。

  口令安全性很差,而且變得越來越差,從而導致你的安全系統易受攻擊?梢詧绦袊栏竦目诹钍褂靡巹t,從而大大增強這種防御能力。

  隨著計算機的運行速度加快,破解口令帶來的誘惑加大,對那些不法分子更有吸引力。由于更多的關鍵業務系統實現了聯網,破解口令能夠得到更大收獲。利用可以下載的免費軟件,誰都能夠在30分鐘內破解6個字符長的口令、6小時內破解8個字符長的口令。

  你需要立即在人們如何創建口令以及口令更改頻率方面制訂規則?诹顒摻ㄒ巹t包括:混合使用大小寫字母;至少始終要有一個數字和標點符號;不要使用個人資料當中的名字;長度至少要有8個字符。最重要的是,如果你需要不斷使用口令,如果五次輸入都不正確后,就要確保所有口令都被禁用,以防范企圖借助蠻力破解口令的行為。在內部運行口令破解程序,查出安全性很差的口令。然后,開始改用低成本、外包的驗證和數字SSL證書服務,替換這些弱口令。

  5. 電子郵件會泄露你的商業機密。

  為所有員工發放數字客戶端證書,用于簽名/加密的電子郵件,從而保護企業數據,進一步讓員工對企業所有通信的來源、真實性和機密性都感到放心。

  安全消息傳送(想想最初的電子郵件以及隨后的即時消息和IP語音傳輸[VoIP]等)旨在確保,只有消息的預期接收方才能夠讀取。電子郵件使用越頻繁,它對公司的機密信息而言就越重要。發送到企業外

  面的電子郵件更是如此。電子郵件以明文格式,通過公共網絡從一臺服務器傳送到另一臺服務器上。一路上的服務器能夠而且確實保存收到的所有消息,也有權利這么做。在大多數電子郵件系統上,發送方無法控制誰可以接收到轉發的電子郵件消息,也沒有表明有人接到轉發消息的審查蹤跡。

  任何兩名員工現在只要簡單地交換客戶端證書,就可以對發給對方的消息進行簽名及加密,從而確保:這些消息沒有被篡改;消息來源得到證實;對兩者之間的任何系統進行竊聽的人都無法讀取消息。公司的機密電子郵件需要采用這種做法。此外,組織還應當迅速部署安全的即時消息傳送(IM)產品,禁止使用任何不安全的IM。即時消息傳送已成為公司中的一個常見部分,起到了非常重要的作用。不過,公司的關鍵信息也在通過IM系統傳送,可能會被沒有證書的人所獲取。有了安全的IM,這將不再成為問題。

  6. 傳統的訪問控制已經難以勝任。

  利用數字證書取代使用入口點所用的弱口令和成本高昂的時間同步令牌來保護系統安全。數字證書比口令安全得多、成本低于安全令牌,而且如果完全托管,易于部署。

  SSL支持兩端:服務器和客戶機的身份驗證。如果服務器提供證書給客戶機,這表明服務器已通過驗證(擁有域控制權的組織獲得了證書,并且身份得到驗證),客戶機(瀏覽器)證實:證書域和服務器域相匹配。如果客戶機提供證書給服務器,這表明客戶機已通過驗證?蛻魴C驗證涉及對用戶的身份進行驗證,而該用戶和證書同與服務器通信的客戶機結合在一起。這些客戶端SSL證書駐留在瀏覽器里面,這樣一來,就取代

相關TAG標簽
上一篇:關于網絡環境下的口令嗅探器
下一篇:在ASP.NET中防止注入攻擊(2)
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片