防范７大安全風(fēng)險(xiǎn)

前不久，SANS研究所對(duì)外公布了2007年20大互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)報(bào)告。該報(bào)告列舉了2007年對(duì)于個(gè)人，公司和政府機(jī)構(gòu)危害最嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這20大互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)是由來(lái)自六個(gè)國(guó)家的政府、行業(yè)和學(xué)術(shù)界的43位網(wǎng)絡(luò)安全問(wèn)題專家評(píng)選出的，詳細(xì)列表可以登陸www.sans.org/top20查詢。

鑒于文章篇幅所限，這里，我們精選了這20大互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)中最新而且最難防范的7大風(fēng)險(xiǎn)，并給出了目前相應(yīng)的最佳防范措施，希望能對(duì)大家有所幫助。

風(fēng)險(xiǎn)1：網(wǎng)絡(luò)應(yīng)用中的致命漏洞，導(dǎo)致網(wǎng)站被感染，網(wǎng)站數(shù)據(jù)丟失，也使得連接于該網(wǎng)站的電腦處在危險(xiǎn)之中!

最佳防范措施：網(wǎng)絡(luò)應(yīng)用防火墻、網(wǎng)絡(luò)應(yīng)用安全掃描器、應(yīng)用源代碼測(cè)試工具、應(yīng)用滲透測(cè)試服務(wù)。其實(shí)，這已經(jīng)是老生常談了，但要想根本解決這個(gè)問(wèn)題，還是得依靠軟件開(kāi)發(fā)、監(jiān)管行業(yè)的管理機(jī)制。重要的網(wǎng)絡(luò)應(yīng)用必須用經(jīng)過(guò)驗(yàn)證的安全過(guò)程進(jìn)行開(kāi)發(fā)，并且只能由那些通過(guò)測(cè)試證明具備了編寫(xiě)安全應(yīng)用程序技能與知識(shí)的軟件開(kāi)發(fā)商來(lái)編寫(xiě)相關(guān)的網(wǎng)絡(luò)應(yīng)用程序，從而真正從開(kāi)發(fā)階段就盡量杜絕這些致命漏洞的發(fā)生。

風(fēng)險(xiǎn)2：易受騙的、忙碌的以及新的電腦用戶，包括高級(jí)管理人員、IT員工以及其他具有訪問(wèn)特權(quán)的人。

他們可能在含有釣魚(yú)軟件的郵件中按其指令進(jìn)行操作，從而導(dǎo)致銀行賬戶損失。其實(shí)，目前看來(lái)，全球主要的軍事系統(tǒng)以及政府承包商也都面臨著此類威脅，這也正成為近來(lái)日益猖獗的商業(yè)間諜等惡意盜取行為的目標(biāo)。

最佳防范措施：這或許是目前最具挑戰(zhàn)性的風(fēng)險(xiǎn)，因?yàn)樗婕疤嗟姆菍I(yè)人士，所以安全知識(shí)培訓(xùn)是非常重要的，盡管這樣并不能完全解決該問(wèn)題。我們建議可以采取兩種措施加以防范：

(a)定期給用戶發(fā)送無(wú)惡意的釣魚(yú)郵件，測(cè)試用戶反映。對(duì)于防范意識(shí)薄弱者進(jìn)行教育或懲處。

(b)應(yīng)該不斷監(jiān)控網(wǎng)絡(luò)流量和系統(tǒng)，及時(shí)發(fā)現(xiàn)入侵問(wèn)題。

風(fēng)險(xiǎn)3：個(gè)人電腦中軟件的致命漏洞會(huì)導(dǎo)致公司系統(tǒng)癱瘓，使系統(tǒng)成為僵尸網(wǎng)絡(luò)(Botnet)，并使得這些電腦被當(dāng)作后門(mén)，供攻擊者竊取大型機(jī)構(gòu)信息和控制其服務(wù)器。

這里最容易出現(xiàn)的漏洞包括：互聯(lián)網(wǎng)瀏覽器、辦公軟件、郵箱用戶、媒體播放器。

最佳防范措施：嚴(yán)格對(duì)所有應(yīng)用程序進(jìn)行安全配置(在安裝程序時(shí))，始終對(duì)應(yīng)用程序和系統(tǒng)軟件的補(bǔ)丁安裝和升級(jí)過(guò)程進(jìn)行驗(yàn)證，始終對(duì)漏洞進(jìn)行掃描并對(duì)找出的問(wèn)題迅速提出解決方案，嚴(yán)格配置防火墻和防入侵系統(tǒng)，在網(wǎng)關(guān)和電腦中及時(shí)更新殺毒軟件和反間諜軟件。

風(fēng)險(xiǎn)4：為電腦用戶提供操作環(huán)境及主要服務(wù)的軟件和系統(tǒng)中的重要漏洞(服務(wù)器端軟件)

這里最容易出現(xiàn)漏洞的包括：windows服務(wù)、unix和Mac OS(蘋(píng)果)操作系統(tǒng)服務(wù)、備份軟件、殺毒軟件、管理服務(wù)器，數(shù)據(jù)庫(kù)軟件、VOIP服務(wù)器。

最佳防范措施：(與上一條類似)嚴(yán)格對(duì)所有應(yīng)用程序進(jìn)行安全配置(在安裝程序時(shí))，始終對(duì)應(yīng)用程序和系統(tǒng)軟件的補(bǔ)丁安裝和升級(jí)過(guò)程進(jìn)行驗(yàn)證，嚴(yán)格配置防火墻和防入侵系統(tǒng)。

風(fēng)險(xiǎn)5：導(dǎo)致惡意軟件進(jìn)一步侵害系統(tǒng)并使大量數(shù)據(jù)丟失的政策和執(zhí)行問(wèn)題

這里的問(wèn)題主要指：過(guò)度的用戶權(quán)利以及未授權(quán)設(shè)備、未加密的筆記本電腦和可移動(dòng)媒體設(shè)備。

最佳防范措施；在公司內(nèi)部建立“無(wú)例外”政策，即便是高層領(lǐng)導(dǎo)，也要嚴(yán)格接受公司安全制度。始終進(jìn)行全員監(jiān)控，并制定實(shí)質(zhì)性的處罰措施。

風(fēng)險(xiǎn)6：對(duì)于受用戶歡迎的應(yīng)用程序的濫用，導(dǎo)致用戶和服務(wù)器處于危險(xiǎn)之中，致使敏感數(shù)據(jù)丟失。

這些問(wèn)題一般都是由即時(shí)信息、點(diǎn)對(duì)點(diǎn)程序所引發(fā)的。

最佳防范措施：只使用安全版本的此類工具，或徹底禁止使用它們。

風(fēng)險(xiǎn)7：零日攻擊

最佳防范措施創(chuàng)建具有“全部拒絕、部分允許”的防火墻規(guī)則，更嚴(yán)格的外圍配置，并重新設(shè)計(jì)網(wǎng)絡(luò)，以保護(hù)內(nèi)部系統(tǒng)不受面向于互聯(lián)網(wǎng)的系統(tǒng)的侵害。

對(duì)于系統(tǒng)的保護(hù)，我們還有哪些沒(méi)有做?

1)配置系統(tǒng)。從第一天開(kāi)始就采用最安全的配置，并利用自動(dòng)控制限制用戶安裝／卸載軟件。

2)使用自動(dòng)控制來(lái)保證系統(tǒng)處于安全配置中，即時(shí)、全面地安裝軟件最新版本的補(bǔ)丁(包括即時(shí)更新殺毒軟件)。

3)在你的邊界網(wǎng)絡(luò)使用代理，并對(duì)所有用戶服務(wù)進(jìn)行配置(比如HTTP、HTTPS、FTP、DNS)，從而必須通過(guò)這些代理才能夠使用互聯(lián)網(wǎng)。

4)通過(guò)加密、數(shù)據(jù)分級(jí)進(jìn)行通路控制，以及數(shù)據(jù)泄漏自動(dòng)保護(hù)措施，對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)。

5)使用自動(dòng)“演習(xí)”，提高安全意識(shí)，對(duì)違反使用政策的人進(jìn)行處罰。

6)通過(guò)防火墻對(duì)非軍事區(qū)(DMZ)進(jìn)行劃分。

7)通過(guò)測(cè)試編寫(xiě)人的安全知識(shí)及測(cè)試軟件的缺陷，來(lái)消除安全缺陷。