开元棋牌- 开元棋牌官方网站- APP下载十种最糟糕的不安全行为

　　开元棋牌,开元棋牌官方网站,开元棋牌APP下载

　　[摘要]编者按:信息系统的安全保障来自于安全工具与安全策略和行动共同的配合，实践中，不少企业尽管选择非常好的工具，但采取的安全策略和行为却很不恰当，有些甚至会带来隐患。如下十种不安全的策略和行为来自十多名安全专家在平时工作中的经验总结，前车之鉴，后人之师，读者不妨做一对比，看看哪些就发生在自己身上或者周围。

　　编者按: 信息系统的安全保障来自于安全工具与安全策略和行动共同的配合，实践中，不少企业尽管选择非常好的工具，但采取的安全策略和行为却很不恰当，有些甚至会带来隐患。如下十种不安全的策略和行为来自十多名安全专家在平时工作中的经验总结，前车之鉴，后人之师，读者不妨做一对比，看看哪些就发生在自己身上或者周围。

　　安全专家们一直在不断寻觅那些经实践证明切实可行的方法，以便我们可以用来确保网络和数据的安全。而实际上，这些专家们最多看到的往往是一些不正确的危及系统安全的行为和想法，有些甚至是非常危险的。鉴于一个重大错误有时比一大堆最佳实践更具有指导意义，本文列出了十个最糟糕的不安全行为，这是采访了十多名安全顾问后写成的，读者不妨看看哪些就发生在自己身上，然后听听相关建议。

　　信息安全专业人员当中存在一种普遍而危险的看法: 每个问题总有相应的工具可以解决。只要我们采用了合理的技术: 防病毒、防垃圾邮件、防火墙、补丁管理器、虚拟专用网（VPN）、公钥基础设施（PKI）、入侵预防系统（IPS）和入侵检测系统（IDS），我们就高枕无忧。

　　问题在于，产品的效果完全取决于配置及监控产品的人。优利系统公司的安全顾问John Pironti说: “工具只能帮助你，却不能为你完成所有工作。要始终记住，我们至少比计算机聪明50%，计算机只知道‘是’和‘不’，而我们还知道‘也许是’。我们可以评估更多的不确定因素，因为我们可以从诸多方面来利用工具。”

　　以入侵检测和入侵防御系统为例。它们从盒子里拿出来后并不能直接很好地发挥作用，你必须教它们如何进行检测。一旦投入使用后，你就得监控日志，寻找攻击模式。就连有些在配置IDS及IPS产品方面做得很到位的IT公司也会出岔子，原因就是它们对这些工具生成的大量日志报告监控不力。

　　马萨诸塞州萨德伯里的安全专业公司的安全顾问Mark Mellis说: “问题在于，没有明确由谁负责这项工作。“这些产品很烦人。它们会生成大量的日志信息。人们只有在磁盘被占满后才会去看一下，然后丢弃许多数据。”

　　Mellis和他的同行说，这是一个错误，因为只要认真查看日志――哪怕是迅速浏览一下，就可以了解系统运行状况及有人试图发动哪些攻击方面的许多信息。那样，你就可以设置工具，从而寻找攻击模式、发出报警。这是个不断调整的过程。

　　过于依赖工具也会导致矫枉过正，这可能会导致看不到全局。如果你面临垃圾邮件问题，购买功能强大的过滤器显然是个办法。但如果这个工具设置的规则过严，就会发生误报――许多合法的电子邮件就会受到影响。

　　用户往往会因为同样的原因禁用桌面防火墙的功能。如果在下载实用程序或者MP3文件时，频频遇到弹出的警告信息，他们就会感到恼火。顾问们说，从中得出的教训是，确保数据安全绝不仅仅是采用一大堆产品。Mellis说:“安全不是可以用钱买来的，而是看你怎么去做。”

　　正确做法: 如果你面临大量的日志数据，不妨考虑购买安全信息管理系统（SIM），譬如GuardedNet公司的neuSecure。

　　一旦你接受了这个事实: 安全不但是技术问题，更是行为问题，就会开始知道制订及执行安全策略是多么重要。

　　伯顿集团的安全分析师Eric Maiwald说: “目前大家在谈论的热点问题是什么？那就是网页仿冒！网页仿冒涉及社会工程学，就是骗用户做自己希望他们做的事，譬如把个人信息透露给自己。安全产品防范这种事情作用有多大？作用不大。这涉及安全意识。”

　　公司的安全策略结合了技术和员工行为。策略的制订需要业务和IT领导人的共同努力。当然，有些策略主要依靠技术（如根据PC配置限制其使用），而其他策略纯粹依靠行为（如不要把口令写在黄颜色粘贴便条上)。两者同样重要。

　　正确做法: 如果你没有安全策略，就拟写一份，并且确保贵组织的每个人都了解该策略。

　　最近进行的安全战略部署调查发现，大约43%的公司没有安全策略。IBM的企业安全战略部门主管Stuart McIrvine认为，他知道个中原委。McIrvine领导的八人小组负责监督IBM的整个产品组合的安全策略，他说: “他们是根据一个个具体的事件做出决策的，而缺少全面的风险管理策略。”

　　让这个问题更严重的是这一事实: 数据安全历来是IT部门的一项职能，而技术专长被认为起着至关重要的作用。得克萨斯州奥斯丁的Veridyn安全专业公司的顾问Doug Landoll说，结果是，交叉部门（人力资源、法律与培训等部门）的工作被安全人员认为是别人的工作。技术专家的培训方式就是学会利用技术解决问题。

　　幸好，企业风险管理策略有助于弥补各种IT领域之间的缝隙。赛门铁克全球服务部门的开发主管Chris Wysopal说，譬如讲，许多系统管理员在推广新服务器时，根本不进行任何安全测试工作。他说: “他们没有采取额外措施，看看我实施的系统有没有危及网络安全？”比如说，使用某个系统上的默认口令有可能为访问其他系统提供机会。

　　另外，使用综合方法可以解决一些最重要的安全问题。Mellis说: “通过更改思科路由器的访问控制列表，我就可以解决许多Windows问题。”

　　企业风险管理策略可以让所有相关方知道需要优先处理哪些工作。McIrvine说，如果你是网上零售商，文件服务器每天会创造1700万美元的收入，那么与员工门户网站相比，你需要下更多的力气来保护这些服务器。马萨诸塞州纳提克的数据安全系统公司的总裁Sanford Sherizen建议，在进行任何重大的系统改进或者工作场所变化之前，需要评估一下对安全的影响。

　　信息安全管理员最喜欢说的一个词就是“不行！”。有些IT部门已经养成了以安全的名义规定你不能做什么的陋习。

　　但长期下去这种做法是有害的。Maiwald说: “安全人员倾向于否定其他人的想法，不仅否定用户的想法，还否定管理人员的想法。如果这些人老是说不行，他们会遭到大家的排斥。”

　　芝加哥安全咨询公司Neohapsis的CEO Kelly Hansen说，说声不行是一种偷懒的办法。Hansen说: “许多时候回答不行是出于害怕。他们认为可能会出问题，自己又没有时间去调查，所以只要回答不行就比较省事。他们只会误事，对公司没有任何帮助。”

　　Hansen效力的一个信息安全部门制订了“说可以”的计划。譬如说，如果一位业务经理来到安全管理员跟前，咨询在大楼的敏感区域安装无线接入点方面的事宜，如今管理员更有可能会说: “我明白这一请求，听上去不错。这是我简要列出的风险清单，你是否愿意在上面签字？”如果业务经理看了列出的安全陷阱后，他或她更可能会向管理员征求建议，并且接受建议。这种做法使业务经理和安全管理员能够共同解决问题。

　　的确，我们不要把安全措施看成是阻碍因素，而要看成是促动因素。Maiwald说: “采用安全措施后，与以前相比，你现在可以做什么事？它如何开辟了新的业务领域？”

　　正确做法: 在确保安全的同时行之有效地启动新的业务项目的一个办法就是，实施变更管理系统。

　　在许多企业网络上，一旦你获得了利用用户名和口令进行访问的权限，就可以随意浏览。尽管你是只需要访问某个内部Web服务器的业务合作伙伴。你的数字护照到处适用，从而可以畅通无阻。

　　如果内部系统没有授权或者访问控制机制，就很可能带来灾难。Wysopal说: “一旦攻击者进入，或者内部有人变坏，就完了。对内部网络进行隔离有一定成效，那样不至于就因为一个漏洞而危及整个网络。”

　　如果你考虑一下有几家组织拥有或者在部署无线局域网，这个问题显得特别严重。许多组织仍没有配置接入点，以便限制员工的访问权限进入，所以实际上允许谁都可以进入网络，只要他在网络覆盖范围内。 Mellis说，只要把笔记本电脑拿到纽约的金融区或者市中心，就会发现那里有许多敞开无阻的接入点。

　　有必要投入时间和精力，只为员工和访问者授予完成工作所需的访问权――不能授予更多的权限。另外别忘了系统管理员，同样也不能为系统管理员授予全权委托的访问权。

　　系统专家公司的负责人Dick Mackey说，一旦你集中进行身份管理，就要采取其他可靠的安全实践，譬如跟踪登录失败次数，就可以知道是否有人试图使用不同的口令组合进行有预谋地闯入。另外，还要养成这个习惯: 检查未使用的网络服务是否已关闭，有人离开公司后其访问权是否尽早被取消。

　　按照常理，发生大规模入侵网络的可能性远远不如恶意访问有所选择的部分信息。为了防止未授权用户访问数据，对数据进行划分是方法之一。

　　新不伦瑞克圣约翰的安全咨询公司的CEO Bill Burk说: “许多数据之所以会泄密，就是因为公司没有对数据进行分类。政府在这方面做到很好: 把信息分为绝密、机密、秘密和私密，直至公共领域。”

　　对数据进行分类不仅适用于数字文件，还适用于打印文件。Burk说: “一份明年的战略营销计划不应该随便放在某人的桌上。”

　　自9・11以来，不少企业已投入巨额资金用于建立所谓的热备份站点（Hot Backup Site），即把企业数据的镜像放在另一个地方。这样一来，即便主数据中心因为物理灾难或者网络攻击而瘫痪，你仍可以开展业务。

　　Pironti说，问题在于，太多的IT公司在建立这些备份站点时，无意中引入了许多安全风险。数据镜像往往是每晚自动进行工作。所有数据（不管好坏）都加以复制，却没有人去检查文件的完整性。这可能会产生严重后果: 如果在文件进行复制的同时恰好发生了攻击，你的热站点可能也会遭到攻击。

　　Pironti说: “我确实经历过这种事。攻击者会用几周时间把代码植入数据中，一旦你在第二个站点使用已被感染的备份数据，攻击者就可以长驱直入。于是第一个站点遭到攻击后，等你启动第二个站点时，它同样会遭到攻击。”

　　正确做法: Pironti建议至少采用两种补救办法。首先，所有数据从站点A传送到站点B之前，都应当先进行扫描及分析。其次，考虑采用不同的硬件平台和操作系统来建立热站点，以防范专门针对你的主要平台编写的病毒和特洛伊木马。

　　你在扩建IT基础设施、升级操作系统和应用程序时，网络的复杂性会出现显著变化。Burk说，升级和补丁是如此频繁，IT任务又是如此专业，以致过不了两年你就需要进行重新审查。他说，如果做不到每年进行两次审查，至少也要每年进行一次。漏洞分析和渗透试验应该更频繁，也许每季度就要进行一次。

　　顾问们认为，安全预算还应当包括雇用第三方处理这些服务所需的费用。Landoll说: “一个常见的错误就是，‘这个人这方面很擅长，让他负责审查吧。’你的工作不应该由你自己来审查。如果我的房子是由某个木匠造的，会请检验人员来检验他的活做得好不好。”

　　正确做法: 第一步是确认有哪些资产，并加以分类; 第二步是评估威胁和漏洞; 第三步是评估控制机制; 最后一步是分析、决策并编制文档。

　　Mellis说，尽管安全专家们一再强调，与保护边界安全相比，关注保护特定IT资产的安全更为重要，但企业的安全系统通常还是像水果糖: 外强中干。

　　原因之一就是，许多公司允许临时的外部用户进入。我们构建SSL VPN，是为了让员工可以利用家里的电脑或者贸易展上的公用信息亭进入公司网络。我们还提供无线连接，以便来访的顾问或者复印机维修人员可以用便携式电脑连接上网。我们还把进入订单系统的口令告诉给合作伙伴，为自己省却麻烦。

　　我们在建立这些连接时，要对数据进行加密，以确保连接的安全性。但我们往往忘记，这些外部的PC可能无法满足我们的安全标准。因为我们都知道，刚登录进入的某个用户也许是通过早已感染了病毒的PC进行连接的。

　　解决办法就是建立检查区，用户必须通过该区的检查，方可进入网络内部。Wysopal说: “当你通过VPN进入时，先进入到网络的非信任区。在那里，你的PC会被扫描，并进行验证，然后才会被允许访问内部资源。”

　　你还要对VPN进行配置，限制远程用户的权限。“你需要访问公司的全部资源吗？应不应该允许在家里开发软件？如果软件非常重要，就不应该允许。”

　　糟糕的口令策略也会危及安全。这是个特别棘手的平衡问题: 如果策略过于严格――譬如要求口令使用字符和数字，至少要有八个字符，而且定期重新设置，你只会迫使用户把口令记在纸上。但如果过于宽松，口令又很容易被猜中。关键就在于找到合理的平衡点。

　　过分要求安全反而会促使人们采取变通办法来逃避。就拿每天早上通常要完成的例行工作来说吧: 首先，用户利用口令登录Windows，然后再用口令先后进入Novell服务器和销售队伍应用程序。一旦进去了，他们还会不断收到桌面防火墙、防垃圾邮件过滤器及防病毒软件扫描器发出的报警信息。

　　结果如何呢？一旦有些用户登录进去，他们就再也不退出，哪怕晚上下班回家也是如此，因为重复利用口令进行登录太麻烦了。而许多用户把桌面防火墙和过滤器的安全级别降到最低，就是为了让它们安静些。

　　正因为如此，优利系统公司的顾问Pironti建议允许使用简短、易记的口令。他以银行为例，证明这种策略可以取得成功。

　　Pironti说“银行一直很小心，不对用户做太多要求。以个人身份号（PIN）为例。我们使用四位数字，数字安全领域的人士会说，这四位数字不安全，因为很容易被随机数字生成器猜出来，用户因而可能会选择用出生年月做口令。那么银行为什么还决定这么做呢？因为使用四位数字做口令，主要是因为许多人用不着写在纸上，又具有一定的安全性。”

　　对银行来说，口令简短带来的好处压倒了风险。而如今人们在使用ATM时，不会去考虑太多的安全问题，因为他们信任银行。

　　当然，要把安全的复杂性隐藏起来，最好的办法就是采用统一身份管理系统。那样，你不仅可以用智能卡登录到PC上，还可以用来进入大楼的正门。无需口令，省了麻烦。但这种方法需要负责处理物理安全和数字安全的人员密切合作，而且这种系统价格不菲。

　　上述总结主要是针对方法和行为，而不是技术。这倒不是说技术并不重要。安全专业人员擅长的是技术细节以及如何进行保护。他们往往缺少大局观，不知道每次改变网络的某个部分会对整体产生什么影响。只有我们接受了风险总会存在这一事实后，才有可能获得可靠的安全实践。就像糟糕的恋爱关系那样，尽管我们千方百计想解决每个问题，但问题似乎越来越多。

　　尽管不断有人提醒要注意保护口令，不要打开不请自来的邮件附件，你或许会认为网络用户肯定变聪明了，知道黑客会使用哪些常用伎俩。但事实并非如此。

　　就在今年夏天，英国国防部遭到了特洛伊木马攻击。当时国防部的人员收到了内有营销资料的光盘，而光盘里早就植入了旨在收集机密信息的特洛伊木马。

　　结论就是，连聪明人也上最普通骗术的当。专家认为，实现保护的第一步就是要对用户进行安全教育，就这么简单。

　　每个安全问题似乎总是有相应的技术办法可以解决，而实际上这种观念正是导致问题的根源。人们非常善于寻找技术漏洞，却不是非常善于分析流程，看看哪些环节易出漏洞。也许是某流程缺乏监管机制，也许是有人忘了检查本该检查的方面，但结果都一样：一旦没有检查，就会带来很多问题。

　　今年早些时候的Choicepoint案例就是流程存在缺陷的一个典例。犯罪分子在Choicepoint开设欺诈性账户，因为开设账户的流程并没有检查某客户是不是一家真正的公司。就是这么简单。

　　另外，如果公司准备采用网络、无线和移动设备这些技术，就必须谨防麻痹大意及恶意破坏的员工。当然，错误难免会发生，但如果你不采取有效对策，就会变成灾难。

　　企业网络有大批路由器、交换机、接入点及其他各种硬件，无疑是一个复杂的整体。而问题就出在这里。如果只有一道门，很容易把门看住，而如果还有几道门、几扇窗户和天窗，安全风险就会陡增。由于网络上有那么多的设备和连接，自然极有可能顾此失彼。

　　到了一定时候，自然会有某些系统没打上补丁，或者某些系统没有合理配置，这会使整个网络易受攻击。复杂性是安全的大敌，而CIO和CSO的基本工作就是管理复杂性。

　　谁也不会怀疑自家人，但应当加以怀疑。在过去的五年中，计算机安全协会和FBI的计算机犯罪联合调查发现，至少一半安全破坏事件源自网络内部，年年如此。

　　内部滥用是网络安全的公开秘密。我们一直过于相信内部人。但别忘了这一现实：有些人居心不良，有时会出现意外事件。所以需要安全策略来防范居心不良的人，并尽量减少意外事件。

　　问题的一方面在于，没人会相信问题出现在自己人身上，而内部滥用事件往往被掩盖起来。不过就看不到问题或者不愿看到问题，并不表明问题就没有了。

　　归根结蒂，所有这些常见威胁都能得到有效处理，就看你是否愿意规范流程、给系统打补丁、确保用户在做他们应该要做的事。专家们认为说，必须要改变态度，同时还要采用更新颖、更智能的技术。这意味着，重新设计安全网络，这牵涉到人和技术。