企业安全从细节入手

来源 :计算机世界 | 被引量 : 0次 | 上传用户:rghaijun23
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  无论是行业大鳄,还是微不足道的SOHO家庭办公,一样都会遭到黑客攻击,而且危害不仅仅是销掉几张信用卡那么简单。如何保护企业网络和用户的安全?以下这些细节切记不可忽视。
  
  细节1:知道谁会被黑客盯上,怎样、以及为何被盯上由于最近时而爆出知名公司(包括谷歌)网络受到攻击的新闻,许多企业主可能会想:“这种事不会发生在我身上—我的服务器上又没什么非常宝贵的资料值得攻击者下手”。事实上,许多攻击根本不是针对性的,而是自我选择的结果。也就是说,攻击者广撒鱼网:将成千上万封邮件发送到采集来的一批邮件地址上,给予回复的邮件地址(无论是通过点击邮件里面的链接,还是发送回应信息的嵌入式图片)都是自我选择的目标,然后对其下手。
  针对性攻击有另一个广为人知的说法,那就是“鱼叉式网络钓鱼(spear phishing)”,这是一种比较危险的攻击。一名出色的攻击者会采取侦查手段—搜索目标组织的网站、上市公司向证券交易委员会提交的季度报告以及新闻稿,从中找出重要人物的姓名和邮件地址。如果这一招不灵,攻击者可能会混迹于众多行业会议和公开演讲活动(会议网站上几乎总是保存了幻灯片,其中演讲者的姓名、头衔和邮件地址一应俱全);他们还会光顾社交网络网站—黑客只要通过Facebook粉丝页面和LinkedIn个人档案,摸清楚谁是企业负责人,然后就比较容易设圈套了。
  一般的垃圾邮件发送者注重数量,而鱼叉式网络钓鱼攻击者注重质量。经常处理敏感文档,或者在公司文件服务器方面拥有更高权限的任何高管,都可能会成为受害者。虽然一家公司的头儿,比如首席执行官,会是鱼叉式网络钓鱼攻击者的主要目标,但同样不能忽视了首席执行官的行政助理。行政助理平时每天替首席执行官收取陌生发件人发来的成百上千封邮件,可能还负责整理收到的所有邮件,往往压力很大,丝毫不敢延迟对重要邮件的回复,因而更可能会在计算机安全方面作出糟糕的决定。
  由于相似的原因,企业的法律顾问或专职律师也很容易成为攻击目标,特别是遭到Adobe PDF攻击。律师经常彼此之间交换大容量的PDF文档。所以不难想象,当有人利用某律师常联系的一家颇有影响力的知识产权律师事务所的虚假地址,发送传达停止不正当竞争命令的假冒邮件,或者将恶意代码添加到PDF文档中,这名律师会不假思索地打开这样的邮件;一旦PDF文档里面的恶意代码得到执行,律师的电脑实际上就已被攻击者所“掌控”。
  
  细节2:当心圈套
  企图获取竞争情报或实施企业间谍行为的鱼叉式网络钓鱼攻击,可能会采用极具针对性的邮件或即时消息(如IM和Twitter消息等),以使受害者更容易上钩。一家研究机构的知名核物理学家不太可能会点击兜售假冒劳力士手表或纯天然壮阳药的链接,但是如果邮件邀请受害者在一场知名的核物理学讨论会上发表专题演讲,就极容易中招。
  你可能觉得,在2010年,大多数用户(尤其是技术员工)会对声称“我们在改进安全措施”的任何要求用户密码重置的伎俩或邮件产生怀疑;但不幸的是,还是有多得惊人的用户在上这种当。Special Ops Security公司在为企业组织和政府部门进行安全评估时,会进行一些有控制的试验:有意地针对该组织的某些人进行网络钓鱼攻击,跟踪在加密网站上的点击操作和密码输入。试验甚至为组织的CIO们开设了自助服务门户网站PhishMe.com,CIO们可以对自己的员工进行模拟的鱼叉式网络钓鱼攻击。模拟测试的结果往往让人大吃一惊,人们的安全意识真的不如CIO们想象的那样强。
  
  细节3:使用惟一的邮件地址,将密码重置邮件拒之门外
  如果你觉得自己不会轻易相信谈论贵公司即将推出的新产品的针对性邮件,或者是关于集体诉讼调解通知的恶意PDF文档,那么还要当心一类始终存在的密码重置和社交网络通知邮件。遗憾的是,由于用户数量众多,大多数网站设有忘记密码后重置密码的功能,通过向用户发送邮件,以便使用户能够正常使用账户。此外,我们往往认为社交网站会发来通知邮件,提醒我们有新朋友请求,或者别人发布了我们自己的照片,黑客却会利用这种人性的弱点,让你无法抗拒—怎样才能忍住不去点击题为“见过你在昨晚狂欢时拍下的这张照片吗”的链接?怎样才能辨别这封邮件是否真是Facebook或MySpace发送的?
  最终,只有足够多的网站采用了电子签名和DNS级安全机制,才能让这些虚假邮件无处藏身。在此之前,我们可以使用一种方法来确保收到的邮件真实无误:为经常访问的每个社交网络网站(或者电子商务网站、航空公司网站等)使用惟一的邮件地址。
  如果你很幸运,拥有自己的域名和邮件服务器(Google Apps在这方面大有帮助),可以获得linkedin@johndoe.name和bankofamerica@janesmith.org之类的邮件地址;如果你收到声称由某网站发来、但接收邮件的地址却不相符的任何通知邮件,要意识到该邮件非常可疑,立即把它删掉。
  大多数人没有自己的域名,或者有些人担心别人可能很容易猜中自己的myspace@alicejones.net地址解析方案;对这些人来说,可以借助一些邮件伪装服务,比如Sneakemail.com。它可以让你创建数量不受限制的邮件别名,每个月只要付2美元就够了。这样一来,你可以为每个网站使用一个惟一的邮件地址,所有邮件都会转发到你的真实邮箱。这项服务甚至还能处理回信,所以你的真实邮件地址根本不会出现在网站上。
  如果你收到的密码重置通知邮件是直接发到你的办公邮件地址,而不是发到你在该网站的惟一地址,那你就会知道这不是垃圾邮件,就是网络钓鱼。这种做法的另一个好处是,你还能发现哪些恬不知耻的网站在与第三方共享你的个人信息。如果你收到一家公司主动发来的几封垃圾邮件,而这个收信地址你只为某家航空公司的飞行常客俱乐部提供过,那不用说,你的个人信息就是被这家航空公司泄露了。赶紧联系该俱乐部的隐私部门,要求他们改正错误,并立即销掉这个账户吧!
  
  细节4:不要点击邮件里面的任何内容
  不要点击邮件里面的链接,连已知发件人发来的邮件链接都不要点击。格式规范的HTML邮件在大大的“点击这里”按钮正下方会有一个ULR,通常在写明“如果你的电子邮件程序不允许链接,请将下列内容拷贝粘贴到你的浏览器”的部分里面。如果仍找不到URL,可以将邮件阅读器切换成显示纯文本(在Gmail中,可以使用回复菜单中的Show original选项),可以在这里找到URL。
  如果真的很想点击某个链接,你可以高亮显示URL,然后把它粘贴到Web浏览器的搜索栏中,这样可以去掉剪贴板上获得的任何HTML或富文本格式,只呈现纯文本格式的URL。这就屏蔽掉了大多数URL混淆伎俩,比如www.yahoo.com.com.attacker.evil.ru,你可能没想到域名服务器(DNS)是从右到左来读取URL的,而人是从左到右来读取URL的(这导致你可能会觉得自己在访问yahoo.com的某个页面)。
  此外,把ULR输入到搜索引擎,也可以保护自己远离同形异义字攻击,比如有人可能会发送www.paypa1.com(注意!这里是数字“1”而不是小写字母“l”)链接。从前几个链接可以明显看出哪里有不对劲的地方,不过国际化域名可能会增加困难。
  
  细节5:要经常并且及时打补丁
  打补丁绝对有必要,而且几乎总是免费的。你需要核实的第一件事是:打的所有补丁是不是最新版本。设置iCal/Outlook提醒功能,以便每个月打一次补丁。定在每个月的第二个星期三打补丁是个好日子,因为微软会在每月的第二个星期二发布安全补丁。你也可以安排在付按揭或房租时,捎带打补丁—在付钱时,也要记得打补丁。
  打补丁并不是说只要双击Windows Update就行了。如果你还没有激活Microsoft Update(Windows Update的变种),就接收不到任何微软Office更新程序。不要满足于此!你要确保时常访问Adobe网站,更新Flash插件和PDF Reader软件。Firefox在这方面做得很到位:能够自动分发更新程序,不需要用户干预,但它不会把你升级到新的重大版本,所以同样要访问Firefox网站。
  期盼有一天,微软会向所有Windows软件发布者开放Windows Update基础架构,以便大家通过一个集中的地方来发布各自的更新程序,而用户则只要点击一下就可以升级所有的相关软件。而在这一天到来之前,不妨使用像Secunia的Personal Software Inspector(个人用户可免费使用)这类软件,它会扫描计算机上的所有软件,以便集中查看哪些还没有打上安全补丁。
  有些企业的IT管理人员很自豪地声称,该公司每隔5分钟就更新反病毒软件的特征库,但是其关键服务器使用的却还是老版本的IE和Adobe,2007年以后的操作系统补丁居然都没有打上!
  有人称,谷歌之所以遭到攻击,原因就是其一名员工使用了过时的Web浏览器。
  硬件也需要更新。记得清查一下硬件,检查固件是否需要更新(这与软件补丁一样重要)。只要硬件有网站端口,就要半年访问一次该硬件厂商的网站—不仅仅是路由器和交换机,还有多功能复印机、餐馆的销售点(POS)终端、蓝光播放机、专用小交换机(PBX)以及具有Twitter功能的咖啡壶等。
  
  细节6:别让某人阻止你运行安全网络
  有的企业CIO会说,自己公司的服务器没有打补丁,是因为“某人说可以不打补丁”,这个某人可能是公司的产品开发经理或销售副总裁。这种风险企业其实无法接受。没有打补丁的服务器绝对不可以访问互联网。员工只有通过“不太安全”的专用网络上的专用计算机(不是用来读取邮件、浏览互联网的那种计算机),才能访问这些因为没有打补丁而变得很危险的服务器。
  要是公司下面某个部门运行的软件导致无法使用最新的安全补丁,IT部门就需要把这些服务器与网络其余部分隔离开来,就像把机密网络与非机密网络隔离开来那样。
  此外,除非企业很重视信息安全,否则就避免不了信息窃取和成本高昂的系统停运问题。只要有可能受到过污染,一罐罐的花生酱就要在厂商开始召回的几小时内从商场货架上撤下;然而奇怪的是,一台用来为数百个员工处理工资的财务服务器明明有安全漏洞,企业却任其运行好几个月。
  记住,绝对不能因为某人说可以不打补丁,而在网络上运行那些没有打补丁的服务器。
  
  细节7:P2P应该
  远离企业网络
  应该说,P2P就不该出现在办公计算机上。P2P网络上的恶意软件带来的危险,远远超出了对BitTorrent或KaZaa的任何正当需要。应该选择信誉可靠的网站来获得共享软件。
  如果非得使用P2P,就使用单独的非管理员用户账户来进行这些操作。千万不要在使用管理员账户的情况下,运行从P2P网络上下载的软件。记得还要一直用几个不同的反病毒软件包来不断扫描这些下载的软件。如果没有像Norton Internet Security 2010这样可靠的安全软件包,使用Virustotal.com也很不错,它可以快速扫描可疑的下载内容。如果是精通技术的高级用户,不妨在虚拟机里面运行P2P软件,把主机操作系统隔离开来。
  
  细节8:
  牢牢锁定网络
  赶紧将公司和家里的路由器DNS解析器改成OpenDNS,别使用互联网服务提供商(ISP)提供的默认DNS。OpenDNS拥有大容量的缓存,可以加快查询;还有一项免费的网站过滤服务,一些企业可能会有兴趣。即使不需要过滤服务,其可靠、安全的DNS基础架构也可以在DNS层面让你远离一些众所周知的攻击。
  花5分钟重新配置后,你的互联网连接会变得更快,因为OpenDNS服务器的响应速度通常快于默认的ISP服务器。OpenDNS的网站上会教会你如何将家里的路由器或公司的活动目录域控制器改成其解析器;它的基础架构分布在全世界,确保了快速响应,无论用户在哪里。
  对高级用户或任何IT从业人员来说,在服务器和工作站上都应该使用基于主机的出站防火墙。某个未知或新的进程决定建立出站连接时能接到通知,绝对很有必要。这样一来,即使有什么威胁避开了反病毒和反恶意软件防御机制,还是能在出站防火墙处逮住它。当然,如果用户对技术一窍不通,又总是点击任何弹出窗口上显示的“接受”,那么这一招毫无帮助。
  应该在企业内实施出站防火墙规则。大多数公司为用户制定了“允许所有连接”的出站政策。这在过去也许可以接受,但现在公司不该制定这么宽松的政策了。可以先限制用户只能建立HTTP和HTTPS出站连接;虽然这不会保护企业网络远离一切危险,但可以关闭很大一部分可能未经授权的出站连接。还可以用OpenDNS来限制对不良网站的访问。
  最重要但也最常被忽视的是,服务器和非军事区(DMZ)网络应该只允许少数几个明确的出站连接(比如邮件服务器的出站SMTP连接)。现代的数据包检测防火墙智能化程度非常高,允许Web服务器回应针对网页的入站请求,但让Web服务器与外界建立连接极少有正当的理由。
  当然,也有例外的情况(比如业务合作伙伴的库存交换,或者异地数据备份)。但是一般来说,大多数服务器是响应针对信息的入站请求,自己并不建立连接。要是黑客闯入了你的服务器,他或她最先会做的一件事就是利用你的服务器连接到贵公司内部的另一台机器,或者连接回自己的网络。“允许所有连接”的通用政策只会招惹麻烦。
其他文献
新出台的电子信息产业振兴规划再一次强调“自主创新”。汉王科技正是“自主创新”的一家典型企业,它的规模不大,却拥有获得国家科技进步一等奖的汉字手写识别技术,在国内手写输入和汉字识别领域占有70%以上的市场份额。围绕模式识别这一核心技术,汉王还推出了汉王笔、名片通、绘图板、电子书、人脸识别等多个具有自主知识产权的产品。汉王走出了一条怎样的创新路?新推出的电子书,又将给汉王带来怎样的商机与活力?本报总编
如何在电力行业中,充分挖掘现有资源的利用率,提升硬件性能和效率?整合服务器,可以降低运营成本,提高信息化的效率。    于电煤资源供不应求,煤价不断上涨,直接导致了发电成本增加,进而导致电力市场供应紧张,全国范围内缺电、拉闸限电现象时有发生。因此,如何降低发电成本成为电力企业的一大挑战。另外,随着国家在绿色环保方面施以重拳,电力行业作为能源消耗“大户”,节能降耗的压力也不断升高,所有这些,要求电力
本报讯 7月20日,国内首个全程电子商务平台——伟库网(www.k.cn)发布。与其他电子商务平台不同,伟库网能够为企业客户提供从前端营销到后端管理,从企业内部管理到外部业务协同,贯穿整个商务流程的“一站式”全程化的电子商务服务,包括电子商务平台、企业营销、企业管理和个人服务等4类。并且,伟库网还有互联网和移动互联网两种模式。  据了解,电子商务服务是用友集团近年来重点发展的业务。用友确立了“成就
在“云”中的计算资源和软件服务,仍然面临众多的挑战,RiverBed大中华区产品市场总监丁伟说。  由于云计算使得企业可以整合资源,更快速地提供服务,能够在新的商业模式下更有效地优化成本支出,从而对企业具有非常大的吸引力。这些云服务,有的是私有云服务(服务器和存储等资源都存在企业防火墙后),有的是公共云服务(资源运行在云服务提供商提供的公共云环境)中。不过,随着应用真正的开展,要发挥云的性能,对网
本报综合消息 近日,ABI Research发布数据显示,Wi-Fi集成芯片的全球市场出货量今年将达到7.7亿片,同比上升33%。  802.11n芯片的出货量将超过802.11g芯片的出货量,占总出货量的60%。ABI Research无线及半导体行业分析师CeliaBo表示: “802.11n标准将是Wi-Fi芯片市场增长的主要动力。”  数据显示,未来5年内,移动手持设备仍将是增长最快的带有
近日,全球信息技术管理自动化软件公司Kaseya宣布进入中国市场。在许多国际性的大公司都在收缩业务的时候,Kaseya却采取了扩张战略。    早想进入中国     “此次进入中国市场是Kaseya全球扩张战略的一个重要组成部分、目前,市场对降低IT运营成本、缩短新系统安装时间,并最大限度地提高服务质量和可预测性方面的呼声越来越高,而这种旺盛的市场需求将成为Kaseya迅速成长的助燃剂。”Kase
“物华天宝,人杰地灵”的江西有个奇秀甲天下的庐山,庐山的云雾变幻莫测,让人不识其真面目。云计算大潮下,江西播下了第一颗云计算的种子,让我们逐渐看清了云计算的真面目。    从云计算的概念被提出以来,云计算“热”就一直处于持续升温状态。作为一种有望降低数据中心管理成本、提高数据中心管理效率的技术手段,越来越多的企业加入到了对云计算的研究或部署阵营中。中移动、联通和中国电信等电信运营商也对云计算“跃跃
同样的开放,不同的诉求    要了解Android的核心竞争力到底是什么,就必须了解Android的架构。大体来说,Andriod系统可以分为4大层面,从内到外依次是: 内核层、系统运行库层、应用程序框架层和应用程序层。  虽然使用了Linux内核,Android系统的大部分功能却以虚拟机的形式运行。Java的最大特点是跨平台运行,只要解释器功能版本保持一致,执行相同代码就会得到惟一的结果。这一特
上一期,本栏目介绍了煤炭行业的信息化总体状况。本期继续深入分析行业信息化的三大弊病。这些弊病主要由行业的特殊环境所造成的,生产方式与技术应用不符,管理滞后,缺乏信息化标准等。  下一期,本专栏将解析煤炭行业的信息化难点所在,敬请关注。    煤炭行业作为国家完全开放的市场化行业,煤炭企业数量众多,分布广,没有形成行业垄断性质的企业,没有行业内完全统一和规范化的企业生产、销售和管理的标准。企业各自为
中国行业信息化应用已全面进入“融合”时代,理解客户的IT服务需求、购买行为以及潜在服务要求,对于IT服务商来说至关重要。    近日,在中国产业报协会、中国国际交流促进会等单位联合主办的“全国服务业公众满意度大型公益调查”活动中,神州数码的“锐行服务”一举囊获“中国IT运维服务市场客户满意首选第一品牌”和“全国IT运维服务客户满意最佳典范品牌”两项大奖。  据了解,用户选择使用第三方服务商提供的I