|
来源:天极yesky
陋习六、对所有数据一视同仁
大型的网络攻击和对信息进行选择性窃取是不一样的。访问权控制和网络隔离只是对未授权数据访问进行防护的方法之一。
“不对数据进行分类会导致公司很多重要数据的泄漏。” 一家安全咨询公司的CEO Bill Burk说,“相比较,政府就精于此道:从一级机密、机密、内部数据,一直到向大众公开的信息,分类详尽清晰。”
数据分类不但适用于存在计算机中的数字文件,同样也适用于打印出来的文本文件。“一份明年的市场战略计划不应该随便出现在某人的桌面上。” Burk说。
正确做法:对数据按重要程度进行划分,并采取相应的保护措施。
陋习七、频繁备份所有数据却不检查数据正确性
自9?11恐怖袭击以来,各企业投入了大量的资金用于建立热备份站点,将企业数据镜像到另外一个物理位置,这样不管是由于发生物理灾难或是出现黑客攻击而导致主数据中心失效,备份站点同样能支持企业的运作。
“但是,太多的IT人员在建立这些镜像备份站点时引入了安全隐患而自己却毫不知情。” Pironti说道。一般来说镜像过程在每个晚上自动完成,所有数据,不管好的坏的有用的没用的,通通一股脑儿镜像起来,但却不进行任何数据完整性和正确性的检查。
这种做法可能产生很严重的后果。如果攻击恰好发生在备份正在进行的时候,那么攻击就有可能被引向备份站点。
“我确实亲身经历过这种事情。” Pironti说,“攻击者在几个星期前就把攻击代码埋在企业数据中,一旦你在备份站点上使用已受到感染的镜像数据,攻击就开始了,也就是说,站点A先遭到攻击,一旦你启动备份站点B后,同样的攻击马上就会发生在B身上。”
正确做法:所有数据在被从站点A传到站点B之前都应该首先被扫描,进行数据完整性和正确性检查。在建立热备份站点时应该考虑使用不同的软硬件平台,这样如果病毒和特洛伊木马专门攻击你的主平台的话,那备份站点就有可能逃过一劫。
陋习八、极少进行全局安全审查和防火墙穿透试验,即使有也只是在内部进行
在搭建IT设施和升级操作系统与应用程序时,网络结构有可能变得面目全非。“由于升级和补丁发生的频繁性和IT工作的重要性,你不能隔两年才来做一次全局安全审查。” Burk说道,“审查至少每年必须进行一次,而漏洞分析和防火墙穿透试验则应该更频繁一些,也许每个季度就应该进行一次。”
安全专家认为,投在安全方面的预算至少还应该包括雇佣第三方团体来进行这些审查和测试的费用。“一个常见的错误是我们经常会说‘这小伙子擅长这个,就让他自己检查自己的工作吧’”Landoll说,“你的工作不应该由你自己来检查。如果我的木屋是由某个木匠搭建的,我会让其他木匠来检查他做得到底好不好。”
正确做法:要有好的安全审查和测试计划,并且尽量让其他专业人士来完成这些事情,而不是一切都自己来。
陋习九、重视了网络的安全,却忽视了外来终端机的安全性
不管安全专家如何喋喋不休地建议大家在加强对外网络防御能力的同时也不能忽略那些“受信任”的外部用户的威胁性,可许多公司对此仍然缺乏相应的保护措施。
原因之一就是公司允许太多的临时用户或外部用户使用公司的网络资源。我们会为那些需要在家里办公或外出进行产品展示的员工提供SSL VPN以便连入公司内部,我们也会为访客或者设备维修人员提供无线接入。为方便起见我们还会为商业合作伙伴提供登录内部销售系统的密码,在提供这些接入方式时我们也许能用加密等方式来保障数据的传输安全,但问题是我们经常忘了检查这些外部机器本身是否足够安全。从外部连进来的机器也许本身没有恶意,但谁又知道它们是否老早就已经在其他地方感染了病毒了呢?
解决办法就是用户在接入网络之前必须接受相应的安全检查。“当你用VPN连进来时,首先将通过一段非信任区,在那里你的计算机要被扫描和验证是否安全,然后才会被允许访问内部资源。”
而且还应该对VPN进行配置以限制外部用户的权限。“你需要访问公司所有的资源吗?应不应该允许你在家里做开发?如果对公司来说软件是绝对机密的,那么从公司外部连入的用户就不应该有访问这些软件资源的权限。” Wysopal说道。
密码策略如果设计不好,也会有安全隐患。这是一个很微妙的“如何平衡”的问题,如果密码策略太严格了,比如要求你必须同时使用字符和数字,至少八位长度而且还得经常更换的话,那么用户很可能就会因为怕记不住而把密码写在纸条上;但如果密码策略太宽松了,那些简单的密码又很容易被猜出来。就看你如何找到平衡点了。
正确做法:除了有网络访问控制系统之外还应该部署外来用户安全检疫系统。
陋习十、对用户有太多要求,有些甚至是强迫性的
有时候过分要求安全反而会促使用户采取一些消极的手段来逃避。举个例子,员工早上来上班,首先,进入Windows需要密码,进入Novell服务器也需要密码,进入销售管理程序还需要密码,好不容易等输完所有密码进去了,还得忍受各种各样来自桌面防火墙、防垃圾邮件、防病毒软件的警告信息。
结果怎样呢?一旦用户登录以后,他们就再也不想退出了,即使是晚上下班回家也不退出,因为第二天来又要重复这个过程,这实在是太讨厌了。为了让桌面防火墙和防病毒程序能安静点,很多用户都选择把它们的安全级别设到最低。
因此,Unisys的顾问Pironti建议允许使用短而好记的密码。他举出银行的例子来证明这种策略是可行的。
“银行一直以来都很小心,不对用户做太多要求。” Pironti说,“看看PIN码,使用的是四位数字,数字安全领域的专家可能会觉得这远远不够保险,利用随机数字产生器很容易就能猜出来,而且用户很可能会选择用出生年月做密码。那银行为什么还决定这么做呢?因为它们考虑到绝大多数人的记性不会差到需要把四位数字写在纸上的地步。”
对银行来说,短密码带来的好处要胜过它的安全隐患。今天大家在使用ATM的时候都不会考虑太多的安全问题,因为大家都相信银行。
当然,解决安全中的复杂性,最好的方案就是采用统一用户身份管理系统,有了它,一张智能卡不但能开公司的门还能帮你登录计算机系统,不用密码,省了麻烦。但这种方案需要物理安全和数字安全的紧密配合,而一般这种系统都很昂贵。
正确做法:不要对用户要求太多,一套用户身份管理系统能帮你解决不少问题。
|
网络技术
