知己知彼 針對企業網絡安全的十大漏洞

 對日益依賴互聯網應用的現代企業來說，不斷變化的安
全威脅和不斷變化的法規標準使得維護可信賴的網絡環境成為一
大難題。
　　在如今的全球化經濟環境下，公司企業從來沒有像現在這樣
離不開互聯網——企業通過因特網開展電子商務交易，并為供應
商、業務合作伙伴、客戶及遠程員工提供訪問網絡資源的便利。
　　不過，盡管在網上做生意變得更方便了，要確保數據交換和
通信安全、可靠卻變得更困難了。對大大小小的企業來說，不斷
變化的安全威脅和不斷變化的法規標準使得維護可信賴的網絡環
境成為一大難題。
　　這里介紹了十個安全策略，以便在企業內外建立網上信任關系。雖然這些策略并不全面，但它們側重
于企業面臨的十個最大威脅:電子郵件系統、傳統的口令安全機制、身份認證、網絡釣魚等。
　　1. 缺少SSL的保護，數據完整性就會受到危及。
　　應盡快為你的整個企業部署SSL服務器證書。SSL是世界上部署最廣泛的安全協議，它應當部署在任何
服務器上，以保護從瀏覽器傳輸到服務器的各種機密和個人信息。
　　安全套接層(SSL)加密是如今用來保護網站、內聯網、外聯網以及基于服務器的其他應用的最主要的技
術之一。如果沒有它，通過公共和專用網絡交換的數據其完整性就會受到危及，最終影響業務連續性和利
潤。SSL可以保護網絡訪問、網上聯系和數字交易，因為它能夠在服務器和用戶之間建立一條安全通道。
　　在過去幾年間，人們對SSL技術所具有的優點的認識和理解有了大為提高。越來越多的用戶留意表明會
話采用SSL加密的那個掛鎖符號
　　如今成千上萬的網站安裝了X.509特殊服務器數字證書，它可以激活瀏覽器和服務器之間的SSL。所有
現代的Web瀏覽器和服務器里面已經集成了支持SSL的功能，因此，從企業角度來看，只要在服務器上安裝
證書即可。一旦瀏覽器和服務器進行了信號交換，從一方傳送到另一方的所有數據都經過了加密，從而可
以防止可能會危及傳送數據的安全性或者完整性的任何竊聽行為。
　　2. 沒有可靠的物理和網絡安全，敏感的企業數據就會岌岌可危。
　　使用防火墻、入侵檢測、客戶端PC病毒軟件、基于服務器的病毒檢查，并且確保所有系統上的安全補
丁版本最新，這可以防止大多數類型的威脅影響公司業務、破壞敏感數據或者威脅業務連續性。
　　網絡安全涉及計算機系統和網絡訪問控制、檢測及響應入侵活動。安全不力會帶來巨大風險:數據失
竊、服務中斷、物理破壞、系統完整性受到危及、未授權披露公司專有信息。
　　為了保護網絡訪問通道，就要從基本方面著手，譬如把沒有使用的計算機鎖起來。除了基本方面之
外，更可靠的解決方案包括:利用密鑰卡、硬件令牌和生物識別技術來控制訪問特別敏感的地方。
　　防火墻是網絡安全的必要組成部分。防火墻限制從一個網絡到另一個網絡的訪問，并且檢查及限制通
過網絡的所有流量。防火墻應當限制從因特網及一個內部網絡(如應用服務器)進入到另一個網絡(如數據
庫)。認真考慮防火墻應該允許開放哪些IP地址和端口，這很有必要。此外，建議為網絡上功能明顯不同的
部分使用多層防火墻——一個防火墻用于非軍事區(DMZ)、第二個用于Web服務器、第三個用于應用服務
器，第四個可能用于數據庫。
　　入侵檢測系統可以監視攻擊、分析審查日志、出現攻擊時向管理員報警、保護系統文件、揭示黑客的
手法、表明哪些漏洞需要加以堵住，并且有助于跟蹤實施攻擊的不法分子。
　　另一個必不可少的手段就是確保所有客戶機上的病毒和特洛伊木馬檢查軟件版本最新。外面有成千上
萬的病毒，每個新病毒都比原來的那種病毒來得狡猾、更具破壞性。最近通過電子郵件傳播、在全球肆虐
的幾個病毒已造成了巨大破壞和損失。一種特別可靠的解決方案就是，在電子郵件傳輸系統(如微軟Exchan
ge)上運行基于服務器的病毒軟件，以防止被感染的郵件傳送給用戶或者通過一個客戶機感染其他客戶機。
　　最后，最簡單也是最有效的方法是，確保已打上了針對所有操作系統和應用軟件的每個最新版本的安
全補丁。黑客對微軟的IIS Web服務器存在的漏洞一清二楚，一直把運行IIS Web服務器的站點作為下手目
標。多年來，堵住IIS安全漏洞的補丁可以免費獲得，不過網上仍有30%以上的IIS系統沒有打上最新補丁。
因此，有必要重申這一點:立即打上所有安全補丁。
　　3. 自己開發PKI系統或者選擇托管型PKI服務。
　　值得信賴的第三方在擴建復雜、安全、昂貴的公鑰基礎設施(PKI)并為你管理時，采用完全托管的安全
服務可以讓你把精力集中在促進公司業務發展所需的應用上。
　　公鑰基礎設施(PKI)這種工具能夠以過去不可能實現的方式來使用各種應用。要是缺乏有效的方法來頒
發、撤銷及管理證書，公司在內聯網上部署福利系統后，別指望員工使用該系統只用于查詢福利信息，如
果相當大比例的員工遠地辦公的話，更是如此。同樣，如果訪問不安全、可靠，銷售隊伍就無法完全利用
公司的重要系統:CRM系統。如今不少公司在限制使用電子郵件，許多公司禁止使用即時消息傳送——這一
切都是因為這些系統還不是安全的。
　　上一代PKI從理論上來說很好，但實際上需要安裝復雜的軟硬件，還需要專門的IT人員以及特殊的安全
措施來保護系統。不用說，這一切意味著龐大的財務費用。不過，PKI已不斷成熟，并且技術上有了足夠創
新，可以成為應用系統的一個外包部分。值得信賴的第三方認證中心(CA)可以構建、維護及管理企業所需
的公鑰基礎設施，并確保其安全。提供完全托管型服務的CA在驗證技術和方法方面具有專長。企業就要知
道想要實施的業務規則以及為了實現業務流程自動化需要部署的應用。集成點在于如何在應用中使用證書
以落實安全。許多應用已經具有證書就緒功能(certificate-ready)，譬如瀏覽器、電子郵件和虛擬專用網
(VPN);日益使用證書成了大勢所趨。
　　完全托管的安全服務有幾個重要部分:靈活的驗證模型(我們如何才能知道某人就是他所說的那個人)、
管理界面(組織中的哪個人被授權可進行更改、控制流程)和操作界面(組織中的不同群體如何獲得證書)。
　　大多數組織需要外包給可信第三方的應用滿足以下一種或者多種要求:安全訪問、安全消息傳送和無紙
交易。對所有大組織來說，員工可以安全訪問企業網絡如內聯網、訪問關鍵應用如CRM系統是一項重要需
求。電子郵件或者即時消息傳送程序安全傳送消息為安全地確認消息發送方身份、保護內容避免被人竊聽
提供了一種機制。而無紙交易可以把如今需要用原始簽名(Wet Signature)來表明內容的基于紙張的流程完
全實現數字化，從而節省基于紙張的流程的時間和成本。
　　4. 免費軟件可以在30分鐘內破解口令。
　　口令安全性很差，而且變得越來越差，從而導致你的安全系統易受攻擊?？梢詧绦袊栏竦目诹钍褂靡?br /> 則，從而大大增強這種防御能力。
　　隨著計算機的運行速度加快，破解口令帶來的誘惑加大，對那些不法分子更有吸引力。由于更多的關
鍵業務系統實現了聯網，破解口令能夠得到更大收獲。利用可以下載的免費軟件，誰都能夠在30分鐘內破
解6個字符長的口令、6小時內破解8個字符長的口令。
　　你需要立即在人們如何創建口令以及口令更改頻率方面制訂規則?？诹顒摻ㄒ巹t包括:混合使用大小寫
字母;至少始終要有一個數字和標點符號;不要使用個人資料當中的名字;長度至少要有8個字符。最重要的
是，如果你需要不斷使用口令，如果五次輸入都不正確后，就要確保所有口令都被禁用，以防范企圖借助
蠻力破解口令的行為。在內部運行口令破解程序，查出安全性很差的口令。然后，開始改用低成本、外包
的驗證和數字SSL證書服務，替換這些弱口令。
　　5. 電子郵件會泄露你的商業機密。
　　為所有員工發放數字客戶端證書，用于簽名/加密的電子郵件，從而保護企業數據，進一步讓員工對企
業所有通信的來源、真實性和機密性都感到放心。
　　安全消息傳送(想想最初的電子郵件以及隨后的即時消息和IP語音傳輸[VoIP]等)旨在確保，只有消息
的預期接收方才能夠讀取。電子郵件使用越頻繁，它對公司的機密信息而言就越重要。發送到企業外
　　面的電子郵件更是如此。電子郵件以明文格式，通過公共網絡從一臺服務器傳送到另一臺服務器上。
一路上的服務器能夠而且確實保存收到的所有消息，也有權利這么做。在大多數電子郵件系統上，發送方
無法控制誰可以接收到轉發的電子郵件消息，也沒有表明有人接到轉發消息的審查蹤跡。
　　任何兩名員工現在只要簡單地交換客戶端證書，就可以對發給對方的消息進行簽名及加密，從而確保:
這些消息沒有被篡改;消息來源得到證實;對兩者之間的任何系統進行竊聽的人都無法讀取消息。公司的機
密電子郵件需要采用這種做法。此外，組織還應當迅速部署安全的即時消息傳送(IM)產品，禁止使用任何
不安全的IM。即時消息傳送已成為公司中的一個常見部分，起到了非常重要的作用。不過，公司的關鍵信
息也在通過IM系統傳送，可能會被沒有證書的人所獲取。有了安全的IM，這將不再成為問題。
　　6. 傳統的訪問控制已經難以勝任。
　　利用數字證書取代使用入口點所用的弱口令和成本高昂的時間同步令牌來保護系統安全。數字證書比
口令安全得多、成本低于安全令牌，而且如果完全托管，易于部署。
　　SSL支持兩端:服務器和客戶機的身份驗證。如果服務器提供證書給客戶機，這表明服務器已通過驗證
(擁有域控制權的組織獲得了證書，并且身份得到驗證)，客戶機(瀏覽器)證實:證書域和服務器域相匹配。
如果客戶機提供證書給服務器，這表明客戶機已通過驗證?？蛻魴C驗證涉及對用戶的身份進行驗證，而該
用戶和證書同與服務器通信的客戶機結合在一起。這些客戶端SSL證書駐留在瀏覽器里面，這樣一來，就取
代了用口令訪問安全網站的機制。
　　證書比口令安全得多，因為竊取另一個人的證書很困難，就算竊取了里面存有證書的電腦也無濟于
事，因為這仍需要口令才能激活證書。由于證書大大提高了安全系統，這樣就可以放心地訪問比較重要的
應用，如CRM系統和企業內聯網。
　　許多公司現在或者很快會安裝VPN，以便遠程用戶安全訪問重要系統。這是一個很好的舉措，但不要通
過口令來確認身份，這樣會削弱VPN的好處，而是需要在VPN安裝客戶端證書才允許進入。
　　時間同步令牌是一種小巧設備，可以生成號碼，用戶可用來輸入到網頁上，從而安全地訪問網絡或者
應用。遺憾的是，時間同步令牌成本高昂、人們會丟失、所用電池也會出問題，你還很容易把它借給別人
使用。應當實施托管型的安全服務，從而頒發及管理客戶端證書的生命周期。
　　7. 你的網站可能會被網絡釣魚所欺騙。
　　你可以通過讓網站使用信任標記(Trust Mark)來表明及保護貴公司的身份，既向訪客表明自己的真實
身份，以能夠讓訪客信任你的網站。
　　在處理敏感數據時，SSL對加密而言至關重要。但SSL并不提供有關被訪問網站的身份——這是“網絡
安全領域的公開秘密”。為了保護你網站上公司的身份，就要使用無法復制的信任標記或者安全站點圖標
(Site Seal)。對組織來說，這杜絕了站點上當受騙的可能性;而對客戶來說，這讓他們確信自己是在訪問
合法網站。遺憾的是，許多現有的“身份”產品(站點圖標)提供不了保護——它們可以點擊復制。訪問上
面有圖標或標記的任何網頁，點擊鼠標右鍵，就能看到菜單。
　　相反，應當使用動態生成的無法復制的站點圖標。譬如說，有些公司的站點圖標放在網頁上，以表明
該站點是合法的、真實的，并且已得到可信第三方的證實。首先，站點圖標認為核實站點所有人的身份最
重要。其次，站點圖標旨在打擊盜用現象。第三，它還提供了“自我監管”功能:如果無法證實站點所有人
的身份，圖標就根本不會出現。最后，它會鏈接至收集了有關站點及所有人的驗證信息的龐大資料庫，幫
助用戶、最終幫助站點本身。這讓訪客能夠信任商家，從而促成眾多交易。
　　8. 在生產環境中進行測試無異于玩火。
　　建立非軍事區(DMZ)，以便把有風險的網絡活動隔離在你的關鍵業務型生產網絡部分之外，模擬生產環
境，或者讓客戶可以進行各種驗收測試?！　≡试S通過調制解調器訪問安全網絡的中心部位，這是導致入侵的最常見根源之一。如今許多人使用所
謂的戰爭撥號器(War Dialer)，試圖通過調制解調器組(Modem Bank)來訪問企業或者政府的網絡系統。這
些人往往能夠得逞。
　　建立可以訪問因特網、但只能有限制性地訪問內部網絡的DMZ?？赏ㄟ^認真設置防火墻來做到這一點:
把DMZ封鎖起來，遠離網絡其余部分，同時仍允許可以全面訪問因特網。防火墻可以保護網絡的關鍵部分，
遠離這個DMZ。
　　如果客戶驗收測試必須在公司網絡上進行，只允許這種測試在DMZ進行。
　　9. 最薄弱的安全環節是你的人員。
　　定義安全規范。這也許是最容易被忽視的，也是十條指導準則中最重要的，不過也是最容易、可能也
會帶來最大影響的:把安全規范擬寫成文、傳達下去，并加以執行。
　　安全效果完全取決于貴組織的最薄弱環節。安全從來不是自動就能實現的，它需要人的參與。人員對
組織的一項安全策略會取得多大成功具有最大的影響。不少實踐已表明，從安全人員入手是突破組織安全
體系的最簡單方法。如果組織制訂條文明確、解釋清楚的安全策略，并加以執行，就能有效地對付這一點
及簡單的錯誤。
　　要明文規定有關設施訪問、網絡訪問、合理使用公司系統與網絡以及合理使用公司電子郵件和瀏覽器
的相關流程和規則。
　　列出得到支持的標準和不得到支持的標準。包括允許在網絡上使用的操作系統，并解釋為什么不允許
另外的操作系統。如果允許訪客進入貴組織的會議室，而會議室里面有網絡分接頭，可以接入上網，那么
這種很常見的方法闖入網絡的速度不亞于“特洛伊木馬”。
　　10.繞不過去的身份驗證。
　　開始使用經過全面測試、成熟的驗證技術，以查明網上匿名者的身份。通過無紙交易來簡化你的公司
業務。
　　“沒人知道你在網上是一條狗”是《紐約客》雜志上的一幅著名漫畫，如今被許多網站、簡報甚至T恤
衫所引用。這恰恰表明了使用網絡進行重要交易所面臨的最大的一個威脅。對某個人進行驗證的一套標準
程序是向他們詢問只有你和對方知道的一系列共享秘密，但在網上進行交易所面臨的難題就是，商家并不
知道個人，因而也就沒有共享秘密。
　　需要顧客訂閱、登記或者填寫表格的許多組織正期望消除人工紙張過程和人工審批過程。為了開展網
上應用，商家必須能夠驗證:消費者就是他所說的那個人，并擁有生成電子簽名的能力。