當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 遼寧OA系統(tǒng) > 沈陽OA系統(tǒng) > 沈陽OA快博
貌“小兒科兒”的建議使企業(yè)遠離安全夢魘
對于全球、尤其是美國的計算機安全來講,過去的半年實在是糟糕透了。接二連三的安全事故給IT界當(dāng)頭一棒。為了竭力減小企業(yè)面臨的風(fēng)險,我們不妨看看今年計算機安全大事記當(dāng)中的幾個糟糕時刻,專家們也對該如何采取對策提供了建議。
2005年上半年的每個月,媒體幾乎沒有一天不在報道影響面巨大的計算機安全漏洞事件。其中被媒體大肆報道的名譽掃地的對象包括: 美國第二大銀行美洲銀行、網(wǎng)上經(jīng)紀公司Ameritrade、保羅拉爾夫勞倫集團(Polo Ralph Lauren)和律商聯(lián)訊(Lexis-Nexis)。
重大安全漏洞不為公眾所知的日子已一去不復(fù)返了。譬如說,《加利福尼亞安全漏洞信息法案》規(guī)定: 向加州居民收集個人信息的州政府機構(gòu)和公司企業(yè)如果發(fā)現(xiàn)某些安全漏洞,就要立即公布,否則將面臨巨額罰金。由于連知名的IT公司似乎都無法控制某些安全事件的局面,所以政府只好親自出面保護。因此我們說這是十分糟糕的事態(tài),并不是危言聳聽。
改善糟糕局面的快慢將主要取決于有多少IT人員能夠從別人所犯的錯誤當(dāng)中汲取教訓(xùn)?為了竭力減小企業(yè)面臨的風(fēng)險,我們不妨看看今年計算機安全大事記當(dāng)中的幾個糟糕時刻,專家們也對該如何采取對策提供了建議。你也許認為這些建議過于“小兒科”,但它們卻是造成這些重大安全事故的“蟻穴”。
對備份數(shù)據(jù)進行加密
截止到今年5月,美洲銀行和Ameritrade都未能對在送往數(shù)據(jù)存儲和恢復(fù)場地途中丟失的數(shù)據(jù)備份磁帶做出解釋。不過,美洲銀行承認: 今年2月丟失了內(nèi)有近120萬名聯(lián)邦員工賬戶信息的幾盤磁帶。該銀行女發(fā)言人說,“少數(shù)幾盤計算機數(shù)據(jù)磁帶在通過商務(wù)班機送到備份數(shù)據(jù)中心的途中丟失了?!彼终f,沒有證據(jù)表明磁帶已被人濫用,她推測磁帶已經(jīng)丟失。銀行官員不愿對磁帶上的數(shù)據(jù)是不是經(jīng)過加密表態(tài)。但值得回味的是,加州的數(shù)據(jù)安全法規(guī)定,如果丟失數(shù)據(jù)經(jīng)過加密,公司可以不必把數(shù)據(jù)丟失事件通知客戶。
Ameritrade在4月也遭遇了類似情況。該公司告知全國的20多萬客戶: 由于一只箱子從鹽湖城的一個安全場地送往另一個場地的途中受損,結(jié)果少了四盤數(shù)據(jù)備份磁帶,里面保存著客戶的個人賬戶信息。該公司官員同樣聲稱,他們沒有表示客戶信息已被小偷竊取。不過,他們的確透露: 磁帶上的數(shù)據(jù)沒有經(jīng)過加密,但經(jīng)過了壓縮,數(shù)據(jù)很難提取出來。
所以,安全專家們提出了一條簡單的忠告: 在備份數(shù)據(jù)時進行加密。
Mark Loveless是IT安全和目錄管理軟件提供商BindView公司的高級安全分析師,他對美洲銀行丟失的磁帶提出了質(zhì)疑: “信息有沒有經(jīng)過加密?恐怕沒有,因為大多數(shù)備份磁帶都是沒有加密的。”企業(yè)策略集團的一項近期調(diào)查也證實了他的說法: 多達60%的存儲專業(yè)人員說,自己從不對備份磁帶進行加密?;卮鸾?jīng)常加密的只有7%; 其余的人說偶爾加密,或者根本就不知道怎么加密。Loveless說: “如果你對數(shù)據(jù)進行了加密,別人想非法利用你的數(shù)據(jù)就困難得多。應(yīng)當(dāng)養(yǎng)成這個非常好的習(xí)慣?!?
如今不乏在文件存儲時為加密提供便利的公司,其中就有NeoScale和Decru。這兩家公司生產(chǎn)的設(shè)備都可以在數(shù)據(jù)拷貝到存儲介質(zhì)之前先進行加密。NeoScale的營銷副總裁Dore Rosenblum說: “加密是解決美洲銀行和Ameritrade所遭遇事件的明顯辦法之一。要是數(shù)據(jù)事先經(jīng)過加密,外界恐怕根本不會聽說此事。”
Frank Slootman是同時生產(chǎn)存儲設(shè)備的磁盤備份公司Data Domain的CEO,他認為,整個備份方法應(yīng)當(dāng)重新設(shè)計。他說: “公司應(yīng)當(dāng)開始考慮取代磁帶存儲,對數(shù)據(jù)進行壓縮及加密,然后通過網(wǎng)絡(luò)發(fā)送。公司應(yīng)當(dāng)不要再利用磁帶進行備份,然后送到不同的地方?,F(xiàn)有的技術(shù)可以把磁帶丟失或者失竊的風(fēng)險降低到最小?!?
鎖定物理安全
今年3月,加州大學(xué)伯克利分校通知98000余名研究生和報考生: 由于研究生院辦公室“限制區(qū)”的一臺便攜式電腦失竊,他們的姓名、社會保障號碼及其他個人信息落到了不法分子的手里。事件發(fā)生后不久,加州圣何塞的一家醫(yī)療集團又聲稱,存有大約185000人的機密醫(yī)療信息的兩臺計算機失竊。
安全情報公司iDefense負責(zé)研究惡意代碼的主管Ken Dunham堅稱,由于移動計算迅速發(fā)展,牢牢控制物理安全的難度大大增加。他又說: “遺忘在出租車和機場的便攜式電腦數(shù)量非常多?!睋?jù)BindView的Loveless介紹,小偷竊取計算機極可能是為了倒手賣掉?!叭缃竦谋銛y式電腦功能非常強大,所以能賣個好價錢,而且攜帶起來比DVD播放機來得方便。”
Jim Stickley對計算機盜竊了如指掌。在他看來,失去筆記本電腦算不了什么。他說: “我曾把整臺服務(wù)器悄無聲息地弄出一家公司的大門?!盨tickley不是計算機竊賊,實際上是Trace Security的創(chuàng)辦人之一兼CTO。
許多公司聘請安全軟件和咨詢公司Trace Security進行漏洞審查,例如利用偽裝和詭計進入銀行或公司的辦公室。Stickley說: “一旦你進入了工作場地,繞開了第一道防線,
似乎就毫無障礙可言。一旦你進入里面,就完全與任何員工一樣得到信任。”Stickley說,缺乏安全主要歸因于工作環(huán)境在過去十年的變化?!肮纠锩嬗性S多新員工和臨時員工,這樣一來,進入辦公室、隨意獲得控制權(quán)就非常容易。”
為了防止類似加州大學(xué)的失竊事件,Stickley建議嚴格監(jiān)控進出公司大樓的每個人員。Stickley說: “要始終陪著客人。如果有人進來是成雙搭對,就不要讓他們分開。如果他們抱怨,就說這是公司制定的政策?!?
電腦廠商稱,至于含有敏感數(shù)據(jù)的便攜式電腦,應(yīng)當(dāng)把跟蹤設(shè)備如RFID標(biāo)簽貼在電腦的硬盤上。IT服務(wù)提供商Savvis的首席安全官Bill Hancock積極主張給移動電腦貼標(biāo)簽。“我見過許多便攜式電腦,大多數(shù)上面根本沒有任何標(biāo)記。所以萬一丟失了,怎樣才能物歸原主呢?”Hancock說,花錢買一些標(biāo)簽貼在便攜式電腦上,不失為簡單易行的一條安全措施。
加強口令安全
以提供法律信息搜索服務(wù)而聞名的頂級內(nèi)容聚集商LexisNexis不幸淪為了隱蔽性更強、危害性更大的一種威脅的受害者。今年3月,該公司官員公布了內(nèi)部審查數(shù)據(jù)搜索活動的結(jié)果,結(jié)果表明,發(fā)給其Seisint分公司的口令被人用來竊取了大約3萬名客戶的社會保障號碼、駕駛執(zhí)照號碼、姓名和地址。此后不久,官員把個人信息可能遭到危及的客戶數(shù)量提高到了28萬名。最后,LexisNexis聲稱有人利用竊取的口令以欺詐手段闖入其數(shù)據(jù)庫共達59次之多。
BindView的Loveless說,大型數(shù)據(jù)中心,如LexisNexis維護的那些數(shù)據(jù)中心是最受黑客青睞的攻擊目標(biāo),因為里面的信息提供了有可能闖入其他地方的金庫的密碼。他說,有可能是黑客發(fā)現(xiàn)了沒有從系統(tǒng)當(dāng)中清除的口令。
Savvis的Hancock提到了口令保護和驗證策略方面不能接受的一種現(xiàn)象。他說: “許多公司采用了還算管用的方法,但后來由于人為錯誤而出現(xiàn)了問題?!彼J為,自動化則可以避免這種失誤。TraceSecurity的Stickley說,只要黑客能夠進入大樓,等到吃午飯時候,他就能從辦公桌上的便條上收集到一大堆口令,他的“工作”就有把握了。其實,補救的辦法說說容易做起來卻很難: 確保沒有人把口令放在明顯地方; 一旦前任員工離職,就要自動及時撤銷口令。
驗證系統(tǒng)提供商TriCipher的創(chuàng)辦人兼CEO Ravi Ganesan認為,企業(yè)基礎(chǔ)設(shè)施內(nèi)部有三個薄弱環(huán)節(jié): “有人可以從用戶的PC、用戶和真實網(wǎng)址之間以及后端基礎(chǔ)設(shè)施竊取身份數(shù)據(jù)。所有這些地方始終是攻擊對象?!?他建議,公司應(yīng)當(dāng)使用強化口令(hardened password),從而確保用戶的口令首先傳到受SSL保護的Web服務(wù)器,然后服務(wù)器與身份專用設(shè)備一起進行驗證。這樣的優(yōu)點就是,通??梢苑奖銖娀诹钆c現(xiàn)有的身份管理產(chǎn)品、目標(biāo)或者獨立系統(tǒng)結(jié)合使用。除了強化口令外,Ganesan力勸IT部門重新評估加密、驗證、特權(quán)管理系統(tǒng)、強化操作系統(tǒng)和誠實員工等方面的策略。要做到面面俱到。
iDefense的Dunham認為: “上層管理部門加強安全意識非常有助于防范類似LexisNexis遇到的情形。確保安全沒有靈丹妙藥,安全問題錯綜復(fù)雜,但完全取決于管理人員是否重視降低風(fēng)險。一旦CEO認識到了有可能違反法律、失去客戶的信任、身纏官司、股價下跌,安全就突然不再是一種軟成本。這是一種經(jīng)營成本?!?
限制數(shù)據(jù)保留
你的企業(yè)是不是在保存再也沒有用處、反而有可能招惹麻煩的一些累贅的數(shù)據(jù)呢?時裝零售商保羅·拉爾夫·勞倫集團在4月份出現(xiàn)的安全漏洞涉及該公司的信用卡處理系統(tǒng),保羅顯然保存了過多的信用卡數(shù)據(jù),而且保留時間過長,從而導(dǎo)致信息容易遭到黑客攻擊。據(jù)保羅聲稱,該公司沒有表明信息已被人非法使用。
BindView的Loveless說,保羅事件讓人認識到了數(shù)據(jù)生命周期管理問題的重要性。Loveless說: “對于數(shù)據(jù)保留,你要問一下: ‘我要保留多久?’對于這種數(shù)據(jù),你確實不應(yīng)再以任何理由來保留它。這反而成了累贅?!?
Savvis的Hancock對保羅遇到的問題概括為“不合時宜的數(shù)據(jù)存儲”。Trace Security的Stickley看似隨意地說:“根本就沒有解決人類愚蠢行為的什么補丁,讓我們關(guān)注新聞吧。畢竟,沒有什么能夠取代經(jīng)歷,無論這經(jīng)歷是壞的還是好的?!保ㄉ蚪缇幾g)
鏈接
Wi-Fi安全問題
沒有升級到最新的加密和驗證技術(shù)加大了漏洞的嚴重性。
Wi-Fi安全問題由來已久: 想當(dāng)年,兩個二十出頭的年輕人坐在密歇根州南菲爾德的Lowe's商店的停車場,長驅(qū)直入Lowe's設(shè)在北卡羅來那州威爾克斯伯勒的數(shù)據(jù)中心,下載了客戶的信用卡號碼。兩年過去了,現(xiàn)在很多公司仍和當(dāng)年的 Lowe's 一樣容易受到攻擊。大多數(shù)安全專家一致認為,如今的企業(yè)當(dāng)中最薄弱的環(huán)節(jié)是源于沒有升級到最新的加密和驗證技術(shù)。
AirDefense的首席安全官Richard Rushing說: “早期的許多無線設(shè)備很簡單,最多就是采用40位的有線對等保密(WEP)密鑰,并不支持驗證?!背薟EP外,另一種功能有限的傳統(tǒng)安全方法就是輕便可擴展驗證協(xié)議(LEAP),這是思科用來傳輸驗證數(shù)據(jù)的一種協(xié)議。如今,思科正逐步淘汰LEAP及其他方案,改用受保護的可擴展驗證協(xié)議(PEAP),這是它與微軟和RSA Security聯(lián)合開發(fā)的一種協(xié)議。
此外,大多數(shù)比較新的Wi-Fi網(wǎng)絡(luò)部署的802.1x采用了更強的口令保護功能和先進加密標(biāo)準(zhǔn)(AES)驗證??墒菍υS多大公司來說,Wi-Fi網(wǎng)絡(luò)需要多年的推廣,這往往使得每次在引入一種比較新的技術(shù)后,無法回到起點,升級接入點和客戶設(shè)備。
Colubris Networks公司負責(zé)企業(yè)發(fā)展的副總裁Roger Sands說,如果公司無法升級到AES(AES需要接入點采用速度更快的處理器),公司就應(yīng)當(dāng)考慮在內(nèi)部為Wi-Fi網(wǎng)絡(luò)使用VPN。Sands說: “或者起碼要用暫時密鑰完整性協(xié)議(TKIP),TKIP的效果好于靜態(tài)的WEP密鑰?!?
其實,總體上來說,無線技術(shù)有著有線網(wǎng)絡(luò)所沒有的固有缺陷: 物理屏障保護不了無線。Rushing說,一旦無線網(wǎng)絡(luò)離開了大樓,無異于把以太網(wǎng)連接放到了大樓外面。
因為三年前黑客所用的基本伎倆幾乎都有可能故伎重演,如雙面惡魔攻擊(Evil Twin)、拒絕服務(wù)攻擊,或者在系統(tǒng)重新啟動時,讓所有接入點陷于癱瘓,以便安裝非法接入點。所以惟一真正有效的防御就是監(jiān)控及掃描無線電波,尋找入侵者,AirMagnet的副總裁Rich Mironov說。
JGold Associates的合伙人Jack Gold說,盡管所有高科技裝置被好人和壞人所使用,但許多安全規(guī)則都是常識性的。他說: “確保用戶退出后,設(shè)備不要隨處亂放; 確保你在輸密碼時,沒有人在后面偷看?!?
專家們一致認為,無線是塊放大鏡。如果你的公司出現(xiàn)了一個安全漏洞,無線就會把它放大。
主要的因特網(wǎng)安全漏洞
大部分蠕蟲及其他攻擊之所以能夠得逞,是因為少數(shù)幾種常用的操作系統(tǒng)服務(wù)存在著漏洞。以下是最常見的漏洞:
Windows系統(tǒng)
● Web服務(wù)器和服務(wù)
● 工作站服務(wù)
● Windos遠程接入服務(wù)
● 微軟SQL服務(wù)器
● Windows驗證
● Web瀏覽器
● 文件共享應(yīng)用軟件
Unix系統(tǒng)
● BIND(伯克利因特網(wǎng)名字域)DNS
● Web服務(wù)器
● 版本控制系統(tǒng)
● 郵件傳輸服務(wù)
● SNMP
● 開放式SSL
來源:CCW
- 1談項目管理和軟件測試過程(三)
- 2瞬索給現(xiàn)存信息系統(tǒng)帶來了革新
- 32005年度SSL VPN網(wǎng)關(guān)公開比較測試報告
- 4知識管理的價值矩陣和優(yōu)先級矩陣
- 5網(wǎng)絡(luò)安全避開新陷阱
- 6MPLS VPN困于邊界?
- 7歸檔變得更容易
- 8協(xié)作區(qū)在泛普OA軟件的應(yīng)用
- 9CMM通過信息化實現(xiàn)跨越式發(fā)展
- 10行為識別垃圾郵件
- 11批處理過程的監(jiān)控
- 12為什么交互式特性會與安全性相沖突?
- 13城域網(wǎng)安全建議
- 14所謂的集團OA就是適合大型企業(yè)使用的OA辦公自動化系統(tǒng)
- 15計算機輔助工業(yè)設(shè)計技術(shù)發(fā)展?fàn)顩r與趨勢
- 16了解思科訪問控制列表其他方法
- 17信息安全:IT安全團隊的責(zé)任簡析
- 18組態(tài)軟件的現(xiàn)狀與發(fā)展趨勢
- 19垃圾郵件的“雞尾酒療法”
- 20實施軟件能力成熟度CMM的新思路
- 21警惕按鍵記錄設(shè)備
- 22信息系統(tǒng)科學(xué)預(yù)測的“水晶球”
- 23未來移動操作系統(tǒng)的格局分析
- 24互聯(lián)網(wǎng)環(huán)境下決策支持系統(tǒng)的發(fā)展變遷
- 25全新的業(yè)務(wù)連續(xù)性思路
- 26主數(shù)據(jù)管理經(jīng)驗談
- 27一種計算的雙層解讀
- 28防火墻的技術(shù)精粹
- 29無線網(wǎng)絡(luò)的安全從WEP到WPA
- 30OA軟件的新增功能:系統(tǒng)基礎(chǔ)數(shù)據(jù)導(dǎo)出功能擴展
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓