知己知彼 針對企業(yè)網(wǎng)絡(luò)安全的十大漏洞

 對日益依賴互聯(lián)網(wǎng)應(yīng)用的現(xiàn)代企業(yè)來說，不斷變化的安
全威脅和不斷變化的法規(guī)標(biāo)準(zhǔn)使得維護(hù)可信賴的網(wǎng)絡(luò)環(huán)境成為一
大難題。
　　在如今的全球化經(jīng)濟(jì)環(huán)境下，公司企業(yè)從來沒有像現(xiàn)在這樣
離不開互聯(lián)網(wǎng)——企業(yè)通過因特網(wǎng)開展電子商務(wù)交易，并為供應(yīng)
商、業(yè)務(wù)合作伙伴、客戶及遠(yuǎn)程員工提供訪問網(wǎng)絡(luò)資源的便利。
　　不過，盡管在網(wǎng)上做生意變得更方便了，要確保數(shù)據(jù)交換和
通信安全、可靠卻變得更困難了。對大大小小的企業(yè)來說，不斷
變化的安全威脅和不斷變化的法規(guī)標(biāo)準(zhǔn)使得維護(hù)可信賴的網(wǎng)絡(luò)環(huán)
境成為一大難題。
　　這里介紹了十個安全策略，以便在企業(yè)內(nèi)外建立網(wǎng)上信任關(guān)系。雖然這些策略并不全面，但它們側(cè)重
于企業(yè)面臨的十個最大威脅:電子郵件系統(tǒng)、傳統(tǒng)的口令安全機(jī)制、身份認(rèn)證、網(wǎng)絡(luò)釣魚等。
　　1. 缺少SSL的保護(hù)，數(shù)據(jù)完整性就會受到危及。
　　應(yīng)盡快為你的整個企業(yè)部署SSL服務(wù)器證書。SSL是世界上部署最廣泛的安全協(xié)議，它應(yīng)當(dāng)部署在任何
服務(wù)器上，以保護(hù)從瀏覽器傳輸?shù)椒?wù)器的各種機(jī)密和個人信息。
　　安全套接層(SSL)加密是如今用來保護(hù)網(wǎng)站、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)以及基于服務(wù)器的其他應(yīng)用的最主要的技
術(shù)之一。如果沒有它，通過公共和專用網(wǎng)絡(luò)交換的數(shù)據(jù)其完整性就會受到危及，最終影響業(yè)務(wù)連續(xù)性和利
潤。SSL可以保護(hù)網(wǎng)絡(luò)訪問、網(wǎng)上聯(lián)系和數(shù)字交易，因為它能夠在服務(wù)器和用戶之間建立一條安全通道。
　　在過去幾年間，人們對SSL技術(shù)所具有的優(yōu)點的認(rèn)識和理解有了大為提高。越來越多的用戶留意表明會
話采用SSL加密的那個掛鎖符號
　　如今成千上萬的網(wǎng)站安裝了X.509特殊服務(wù)器數(shù)字證書，它可以激活瀏覽器和服務(wù)器之間的SSL。所有
現(xiàn)代的Web瀏覽器和服務(wù)器里面已經(jīng)集成了支持SSL的功能，因此，從企業(yè)角度來看，只要在服務(wù)器上安裝
證書即可。一旦瀏覽器和服務(wù)器進(jìn)行了信號交換，從一方傳送到另一方的所有數(shù)據(jù)都經(jīng)過了加密，從而可
以防止可能會危及傳送數(shù)據(jù)的安全性或者完整性的任何竊聽行為。
　　2. 沒有可靠的物理和網(wǎng)絡(luò)安全，敏感的企業(yè)數(shù)據(jù)就會岌岌可危。
　　使用防火墻、入侵檢測、客戶端PC病毒軟件、基于服務(wù)器的病毒檢查，并且確保所有系統(tǒng)上的安全補(bǔ)
丁版本最新，這可以防止大多數(shù)類型的威脅影響公司業(yè)務(wù)、破壞敏感數(shù)據(jù)或者威脅業(yè)務(wù)連續(xù)性。
　　網(wǎng)絡(luò)安全涉及計算機(jī)系統(tǒng)和網(wǎng)絡(luò)訪問控制、檢測及響應(yīng)入侵活動。安全不力會帶來巨大風(fēng)險:數(shù)據(jù)失
竊、服務(wù)中斷、物理破壞、系統(tǒng)完整性受到危及、未授權(quán)披露公司專有信息。
　　為了保護(hù)網(wǎng)絡(luò)訪問通道，就要從基本方面著手，譬如把沒有使用的計算機(jī)鎖起來。除了基本方面之
外，更可靠的解決方案包括:利用密鑰卡、硬件令牌和生物識別技術(shù)來控制訪問特別敏感的地方。
　　防火墻是網(wǎng)絡(luò)安全的必要組成部分。防火墻限制從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)的訪問，并且檢查及限制通
過網(wǎng)絡(luò)的所有流量。防火墻應(yīng)當(dāng)限制從因特網(wǎng)及一個內(nèi)部網(wǎng)絡(luò)(如應(yīng)用服務(wù)器)進(jìn)入到另一個網(wǎng)絡(luò)(如數(shù)據(jù)
庫)。認(rèn)真考慮防火墻應(yīng)該允許開放哪些IP地址和端口，這很有必要。此外，建議為網(wǎng)絡(luò)上功能明顯不同的
部分使用多層防火墻——一個防火墻用于非軍事區(qū)(DMZ)、第二個用于Web服務(wù)器、第三個用于應(yīng)用服務(wù)
器，第四個可能用于數(shù)據(jù)庫。
　　入侵檢測系統(tǒng)可以監(jiān)視攻擊、分析審查日志、出現(xiàn)攻擊時向管理員報警、保護(hù)系統(tǒng)文件、揭示黑客的
手法、表明哪些漏洞需要加以堵住，并且有助于跟蹤實施攻擊的不法分子。
　　另一個必不可少的手段就是確保所有客戶機(jī)上的病毒和特洛伊木馬檢查軟件版本最新。外面有成千上
萬的病毒，每個新病毒都比原來的那種病毒來得狡猾、更具破壞性。最近通過電子郵件傳播、在全球肆虐
的幾個病毒已造成了巨大破壞和損失。一種特別可靠的解決方案就是，在電子郵件傳輸系統(tǒng)(如微軟Exchan
ge)上運行基于服務(wù)器的病毒軟件，以防止被感染的郵件傳送給用戶或者通過一個客戶機(jī)感染其他客戶機(jī)。
　　最后，最簡單也是最有效的方法是，確保已打上了針對所有操作系統(tǒng)和應(yīng)用軟件的每個最新版本的安
全補(bǔ)丁。黑客對微軟的IIS Web服務(wù)器存在的漏洞一清二楚，一直把運行IIS Web服務(wù)器的站點作為下手目
標(biāo)。多年來，堵住IIS安全漏洞的補(bǔ)丁可以免費獲得，不過網(wǎng)上仍有30%以上的IIS系統(tǒng)沒有打上最新補(bǔ)丁。
因此，有必要重申這一點:立即打上所有安全補(bǔ)丁。
　　3. 自己開發(fā)PKI系統(tǒng)或者選擇托管型PKI服務(wù)。
　　值得信賴的第三方在擴(kuò)建復(fù)雜、安全、昂貴的公鑰基礎(chǔ)設(shè)施(PKI)并為你管理時，采用完全托管的安全
服務(wù)可以讓你把精力集中在促進(jìn)公司業(yè)務(wù)發(fā)展所需的應(yīng)用上。
　　公鑰基礎(chǔ)設(shè)施(PKI)這種工具能夠以過去不可能實現(xiàn)的方式來使用各種應(yīng)用。要是缺乏有效的方法來頒
發(fā)、撤銷及管理證書，公司在內(nèi)聯(lián)網(wǎng)上部署福利系統(tǒng)后，別指望員工使用該系統(tǒng)只用于查詢福利信息，如
果相當(dāng)大比例的員工遠(yuǎn)地辦公的話，更是如此。同樣，如果訪問不安全、可靠，銷售隊伍就無法完全利用
公司的重要系統(tǒng):CRM系統(tǒng)。如今不少公司在限制使用電子郵件，許多公司禁止使用即時消息傳送——這一
切都是因為這些系統(tǒng)還不是安全的。
　　上一代PKI從理論上來說很好，但實際上需要安裝復(fù)雜的軟硬件，還需要專門的IT人員以及特殊的安全
措施來保護(hù)系統(tǒng)。不用說，這一切意味著龐大的財務(wù)費用。不過，PKI已不斷成熟，并且技術(shù)上有了足夠創(chuàng)
新，可以成為應(yīng)用系統(tǒng)的一個外包部分。值得信賴的第三方認(rèn)證中心(CA)可以構(gòu)建、維護(hù)及管理企業(yè)所需
的公鑰基礎(chǔ)設(shè)施，并確保其安全。提供完全托管型服務(wù)的CA在驗證技術(shù)和方法方面具有專長。企業(yè)就要知
道想要實施的業(yè)務(wù)規(guī)則以及為了實現(xiàn)業(yè)務(wù)流程自動化需要部署的應(yīng)用。集成點在于如何在應(yīng)用中使用證書
以落實安全。許多應(yīng)用已經(jīng)具有證書就緒功能(certificate-ready)，譬如瀏覽器、電子郵件和虛擬專用網(wǎng)
(VPN);日益使用證書成了大勢所趨。
　　完全托管的安全服務(wù)有幾個重要部分:靈活的驗證模型(我們?nèi)绾尾拍苤滥橙司褪撬f的那個人)、
管理界面(組織中的哪個人被授權(quán)可進(jìn)行更改、控制流程)和操作界面(組織中的不同群體如何獲得證書)。
　　大多數(shù)組織需要外包給可信第三方的應(yīng)用滿足以下一種或者多種要求:安全訪問、安全消息傳送和無紙
交易。對所有大組織來說，員工可以安全訪問企業(yè)網(wǎng)絡(luò)如內(nèi)聯(lián)網(wǎng)、訪問關(guān)鍵應(yīng)用如CRM系統(tǒng)是一項重要需
求。電子郵件或者即時消息傳送程序安全傳送消息為安全地確認(rèn)消息發(fā)送方身份、保護(hù)內(nèi)容避免被人竊聽
提供了一種機(jī)制。而無紙交易可以把如今需要用原始簽名(Wet Signature)來表明內(nèi)容的基于紙張的流程完
全實現(xiàn)數(shù)字化，從而節(jié)省基于紙張的流程的時間和成本。
　　4. 免費軟件可以在30分鐘內(nèi)破解口令。
　　口令安全性很差，而且變得越來越差，從而導(dǎo)致你的安全系統(tǒng)易受攻擊?？梢詧?zhí)行嚴(yán)格的口令使用規(guī)
則，從而大大增強(qiáng)這種防御能力。
　　隨著計算機(jī)的運行速度加快，破解口令帶來的誘惑加大，對那些不法分子更有吸引力。由于更多的關(guān)
鍵業(yè)務(wù)系統(tǒng)實現(xiàn)了聯(lián)網(wǎng)，破解口令能夠得到更大收獲。利用可以下載的免費軟件，誰都能夠在30分鐘內(nèi)破
解6個字符長的口令、6小時內(nèi)破解8個字符長的口令。
　　你需要立即在人們?nèi)绾蝿?chuàng)建口令以及口令更改頻率方面制訂規(guī)則?？诹顒?chuàng)建規(guī)則包括:混合使用大小寫
字母;至少始終要有一個數(shù)字和標(biāo)點符號;不要使用個人資料當(dāng)中的名字;長度至少要有8個字符。最重要的
是，如果你需要不斷使用口令，如果五次輸入都不正確后，就要確保所有口令都被禁用，以防范企圖借助
蠻力破解口令的行為。在內(nèi)部運行口令破解程序，查出安全性很差的口令。然后，開始改用低成本、外包
的驗證和數(shù)字SSL證書服務(wù)，替換這些弱口令。
　　5. 電子郵件會泄露你的商業(yè)機(jī)密。
　　為所有員工發(fā)放數(shù)字客戶端證書，用于簽名/加密的電子郵件，從而保護(hù)企業(yè)數(shù)據(jù)，進(jìn)一步讓員工對企
業(yè)所有通信的來源、真實性和機(jī)密性都感到放心。
　　安全消息傳送(想想最初的電子郵件以及隨后的即時消息和IP語音傳輸[VoIP]等)旨在確保，只有消息
的預(yù)期接收方才能夠讀取。電子郵件使用越頻繁，它對公司的機(jī)密信息而言就越重要。發(fā)送到企業(yè)外
　　面的電子郵件更是如此。電子郵件以明文格式，通過公共網(wǎng)絡(luò)從一臺服務(wù)器傳送到另一臺服務(wù)器上。
一路上的服務(wù)器能夠而且確實保存收到的所有消息，也有權(quán)利這么做。在大多數(shù)電子郵件系統(tǒng)上，發(fā)送方
無法控制誰可以接收到轉(zhuǎn)發(fā)的電子郵件消息，也沒有表明有人接到轉(zhuǎn)發(fā)消息的審查蹤跡。
　　任何兩名員工現(xiàn)在只要簡單地交換客戶端證書，就可以對發(fā)給對方的消息進(jìn)行簽名及加密，從而確保:
這些消息沒有被篡改;消息來源得到證實;對兩者之間的任何系統(tǒng)進(jìn)行竊聽的人都無法讀取消息。公司的機(jī)
密電子郵件需要采用這種做法。此外，組織還應(yīng)當(dāng)迅速部署安全的即時消息傳送(IM)產(chǎn)品，禁止使用任何
不安全的IM。即時消息傳送已成為公司中的一個常見部分，起到了非常重要的作用。不過，公司的關(guān)鍵信
息也在通過IM系統(tǒng)傳送，可能會被沒有證書的人所獲取。有了安全的IM，這將不再成為問題。
　　6. 傳統(tǒng)的訪問控制已經(jīng)難以勝任。
　　利用數(shù)字證書取代使用入口點所用的弱口令和成本高昂的時間同步令牌來保護(hù)系統(tǒng)安全。數(shù)字證書比
口令安全得多、成本低于安全令牌，而且如果完全托管，易于部署。
　　SSL支持兩端:服務(wù)器和客戶機(jī)的身份驗證。如果服務(wù)器提供證書給客戶機(jī)，這表明服務(wù)器已通過驗證
(擁有域控制權(quán)的組織獲得了證書，并且身份得到驗證)，客戶機(jī)(瀏覽器)證實:證書域和服務(wù)器域相匹配。
如果客戶機(jī)提供證書給服務(wù)器，這表明客戶機(jī)已通過驗證。客戶機(jī)驗證涉及對用戶的身份進(jìn)行驗證，而該
用戶和證書同與服務(wù)器通信的客戶機(jī)結(jié)合在一起。這些客戶端SSL證書駐留在瀏覽器里面，這樣一來，就取
代了用口令訪問安全網(wǎng)站的機(jī)制。
　　證書比口令安全得多，因為竊取另一個人的證書很困難，就算竊取了里面存有證書的電腦也無濟(jì)于
事，因為這仍需要口令才能激活證書。由于證書大大提高了安全系統(tǒng)，這樣就可以放心地訪問比較重要的
應(yīng)用，如CRM系統(tǒng)和企業(yè)內(nèi)聯(lián)網(wǎng)。
　　許多公司現(xiàn)在或者很快會安裝VPN，以便遠(yuǎn)程用戶安全訪問重要系統(tǒng)。這是一個很好的舉措，但不要通
過口令來確認(rèn)身份，這樣會削弱VPN的好處，而是需要在VPN安裝客戶端證書才允許進(jìn)入。
　　時間同步令牌是一種小巧設(shè)備，可以生成號碼，用戶可用來輸入到網(wǎng)頁上，從而安全地訪問網(wǎng)絡(luò)或者
應(yīng)用。遺憾的是，時間同步令牌成本高昂、人們會丟失、所用電池也會出問題，你還很容易把它借給別人
使用。應(yīng)當(dāng)實施托管型的安全服務(wù)，從而頒發(fā)及管理客戶端證書的生命周期。
　　7. 你的網(wǎng)站可能會被網(wǎng)絡(luò)釣魚所欺騙。
　　你可以通過讓網(wǎng)站使用信任標(biāo)記(Trust Mark)來表明及保護(hù)貴公司的身份，既向訪客表明自己的真實
身份，以能夠讓訪客信任你的網(wǎng)站。
　　在處理敏感數(shù)據(jù)時，SSL對加密而言至關(guān)重要。但SSL并不提供有關(guān)被訪問網(wǎng)站的身份——這是“網(wǎng)絡(luò)
安全領(lǐng)域的公開秘密”。為了保護(hù)你網(wǎng)站上公司的身份，就要使用無法復(fù)制的信任標(biāo)記或者安全站點圖標(biāo)
(Site Seal)。對組織來說，這杜絕了站點上當(dāng)受騙的可能性;而對客戶來說，這讓他們確信自己是在訪問
合法網(wǎng)站。遺憾的是，許多現(xiàn)有的“身份”產(chǎn)品(站點圖標(biāo))提供不了保護(hù)——它們可以點擊復(fù)制。訪問上
面有圖標(biāo)或標(biāo)記的任何網(wǎng)頁，點擊鼠標(biāo)右鍵，就能看到菜單。
　　相反，應(yīng)當(dāng)使用動態(tài)生成的無法復(fù)制的站點圖標(biāo)。譬如說，有些公司的站點圖標(biāo)放在網(wǎng)頁上，以表明
該站點是合法的、真實的，并且已得到可信第三方的證實。首先，站點圖標(biāo)認(rèn)為核實站點所有人的身份最
重要。其次，站點圖標(biāo)旨在打擊盜用現(xiàn)象。第三，它還提供了“自我監(jiān)管”功能:如果無法證實站點所有人
的身份，圖標(biāo)就根本不會出現(xiàn)。最后，它會鏈接至收集了有關(guān)站點及所有人的驗證信息的龐大資料庫，幫
助用戶、最終幫助站點本身。這讓訪客能夠信任商家，從而促成眾多交易。
　　8. 在生產(chǎn)環(huán)境中進(jìn)行測試無異于玩火。
　　建立非軍事區(qū)(DMZ)，以便把有風(fēng)險的網(wǎng)絡(luò)活動隔離在你的關(guān)鍵業(yè)務(wù)型生產(chǎn)網(wǎng)絡(luò)部分之外，模擬生產(chǎn)環(huán)
境，或者讓客戶可以進(jìn)行各種驗收測試?！　≡试S通過調(diào)制解調(diào)器訪問安全網(wǎng)絡(luò)的中心部位，這是導(dǎo)致入侵的最常見根源之一。如今許多人使用所
謂的戰(zhàn)爭撥號器(War Dialer)，試圖通過調(diào)制解調(diào)器組(Modem Bank)來訪問企業(yè)或者政府的網(wǎng)絡(luò)系統(tǒng)。這
些人往往能夠得逞。
　　建立可以訪問因特網(wǎng)、但只能有限制性地訪問內(nèi)部網(wǎng)絡(luò)的DMZ?？赏ㄟ^認(rèn)真設(shè)置防火墻來做到這一點:
把DMZ封鎖起來，遠(yuǎn)離網(wǎng)絡(luò)其余部分，同時仍允許可以全面訪問因特網(wǎng)。防火墻可以保護(hù)網(wǎng)絡(luò)的關(guān)鍵部分，
遠(yuǎn)離這個DMZ。
　　如果客戶驗收測試必須在公司網(wǎng)絡(luò)上進(jìn)行，只允許這種測試在DMZ進(jìn)行。
　　9. 最薄弱的安全環(huán)節(jié)是你的人員。
　　定義安全規(guī)范。這也許是最容易被忽視的，也是十條指導(dǎo)準(zhǔn)則中最重要的，不過也是最容易、可能也
會帶來最大影響的:把安全規(guī)范擬寫成文、傳達(dá)下去，并加以執(zhí)行。
　　安全效果完全取決于貴組織的最薄弱環(huán)節(jié)。安全從來不是自動就能實現(xiàn)的，它需要人的參與。人員對
組織的一項安全策略會取得多大成功具有最大的影響。不少實踐已表明，從安全人員入手是突破組織安全
體系的最簡單方法。如果組織制訂條文明確、解釋清楚的安全策略，并加以執(zhí)行，就能有效地對付這一點
及簡單的錯誤。
　　要明文規(guī)定有關(guān)設(shè)施訪問、網(wǎng)絡(luò)訪問、合理使用公司系統(tǒng)與網(wǎng)絡(luò)以及合理使用公司電子郵件和瀏覽器
的相關(guān)流程和規(guī)則。
　　列出得到支持的標(biāo)準(zhǔn)和不得到支持的標(biāo)準(zhǔn)。包括允許在網(wǎng)絡(luò)上使用的操作系統(tǒng)，并解釋為什么不允許
另外的操作系統(tǒng)。如果允許訪客進(jìn)入貴組織的會議室，而會議室里面有網(wǎng)絡(luò)分接頭，可以接入上網(wǎng)，那么
這種很常見的方法闖入網(wǎng)絡(luò)的速度不亞于“特洛伊木馬”。
　　10.繞不過去的身份驗證。
　　開始使用經(jīng)過全面測試、成熟的驗證技術(shù)，以查明網(wǎng)上匿名者的身份。通過無紙交易來簡化你的公司
業(yè)務(wù)。
　　“沒人知道你在網(wǎng)上是一條狗”是《紐約客》雜志上的一幅著名漫畫，如今被許多網(wǎng)站、簡報甚至T恤
衫所引用。這恰恰表明了使用網(wǎng)絡(luò)進(jìn)行重要交易所面臨的最大的一個威脅。對某個人進(jìn)行驗證的一套標(biāo)準(zhǔn)
程序是向他們詢問只有你和對方知道的一系列共享秘密，但在網(wǎng)上進(jìn)行交易所面臨的難題就是，商家并不
知道個人，因而也就沒有共享秘密。
　　需要顧客訂閱、登記或者填寫表格的許多組織正期望消除人工紙張過程和人工審批過程。為了開展網(wǎng)
上應(yīng)用，商家必須能夠驗證:消費者就是他所說的那個人，并擁有生成電子簽名的能力。