貌“小兒科兒”的建議使企業(yè)遠離安全夢魘

對于全球、尤其是美國的計算機安全來講，過去的半年實在是糟糕透了。接二連三的安全事故給IT界當頭一棒。為了竭力減小企業(yè)面臨的風(fēng)險，我們不妨看看今年計算機安全大事記當中的幾個糟糕時刻，專家們也對該如何采取對策提供了建議。

2005年上半年的每個月，媒體幾乎沒有一天不在報道影響面巨大的計算機安全漏洞事件。其中被媒體大肆報道的名譽掃地的對象包括: 美國第二大銀行美洲銀行、網(wǎng)上經(jīng)紀公司Ameritrade、保羅拉爾夫勞倫集團（Polo Ralph Lauren）和律商聯(lián)訊（Lexis-Nexis）。

重大安全漏洞不為公眾所知的日子已一去不復(fù)返了。譬如說，《加利福尼亞安全漏洞信息法案》規(guī)定: 向加州居民收集個人信息的州政府機構(gòu)和公司企業(yè)如果發(fā)現(xiàn)某些安全漏洞，就要立即公布，否則將面臨巨額罰金。由于連知名的IT公司似乎都無法控制某些安全事件的局面，所以政府只好親自出面保護。因此我們說這是十分糟糕的事態(tài)，并不是危言聳聽。

改善糟糕局面的快慢將主要取決于有多少IT人員能夠從別人所犯的錯誤當中汲取教訓(xùn)？為了竭力減小企業(yè)面臨的風(fēng)險，我們不妨看看今年計算機安全大事記當中的幾個糟糕時刻，專家們也對該如何采取對策提供了建議。你也許認為這些建議過于“小兒科”，但它們卻是造成這些重大安全事故的“蟻穴”。

對備份數(shù)據(jù)進行加密

截止到今年5月，美洲銀行和Ameritrade都未能對在送往數(shù)據(jù)存儲和恢復(fù)場地途中丟失的數(shù)據(jù)備份磁帶做出解釋。不過，美洲銀行承認: 今年2月丟失了內(nèi)有近120萬名聯(lián)邦員工賬戶信息的幾盤磁帶。該銀行女發(fā)言人說，“少數(shù)幾盤計算機數(shù)據(jù)磁帶在通過商務(wù)班機送到備份數(shù)據(jù)中心的途中丟失了。”她又說，沒有證據(jù)表明磁帶已被人濫用，她推測磁帶已經(jīng)丟失。銀行官員不愿對磁帶上的數(shù)據(jù)是不是經(jīng)過加密表態(tài)。但值得回味的是，加州的數(shù)據(jù)安全法規(guī)定，如果丟失數(shù)據(jù)經(jīng)過加密，公司可以不必把數(shù)據(jù)丟失事件通知客戶。

Ameritrade在4月也遭遇了類似情況。該公司告知全國的20多萬客戶: 由于一只箱子從鹽湖城的一個安全場地送往另一個場地的途中受損，結(jié)果少了四盤數(shù)據(jù)備份磁帶，里面保存著客戶的個人賬戶信息。該公司官員同樣聲稱，他們沒有表示客戶信息已被小偷竊取。不過，他們的確透露: 磁帶上的數(shù)據(jù)沒有經(jīng)過加密，但經(jīng)過了壓縮，數(shù)據(jù)很難提取出來。

所以，安全專家們提出了一條簡單的忠告: 在備份數(shù)據(jù)時進行加密。

Mark Loveless是IT安全和目錄管理軟件提供商BindView公司的高級安全分析師，他對美洲銀行丟失的磁帶提出了質(zhì)疑: “信息有沒有經(jīng)過加密？恐怕沒有，因為大多數(shù)備份磁帶都是沒有加密的?！逼髽I(yè)策略集團的一項近期調(diào)查也證實了他的說法: 多達60%的存儲專業(yè)人員說，自己從不對備份磁帶進行加密?；卮鸾?jīng)常加密的只有7%; 其余的人說偶爾加密，或者根本就不知道怎么加密。Loveless說: “如果你對數(shù)據(jù)進行了加密，別人想非法利用你的數(shù)據(jù)就困難得多。應(yīng)當養(yǎng)成這個非常好的習(xí)慣?！?

如今不乏在文件存儲時為加密提供便利的公司，其中就有NeoScale和Decru。這兩家公司生產(chǎn)的設(shè)備都可以在數(shù)據(jù)拷貝到存儲介質(zhì)之前先進行加密。NeoScale的營銷副總裁Dore Rosenblum說: “加密是解決美洲銀行和Ameritrade所遭遇事件的明顯辦法之一。要是數(shù)據(jù)事先經(jīng)過加密，外界恐怕根本不會聽說此事?！?

Frank Slootman是同時生產(chǎn)存儲設(shè)備的磁盤備份公司Data Domain的CEO，他認為，整個備份方法應(yīng)當重新設(shè)計。他說: “公司應(yīng)當開始考慮取代磁帶存儲，對數(shù)據(jù)進行壓縮及加密，然后通過網(wǎng)絡(luò)發(fā)送。公司應(yīng)當不要再利用磁帶進行備份，然后送到不同的地方?，F(xiàn)有的技術(shù)可以把磁帶丟失或者失竊的風(fēng)險降低到最小?！?

鎖定物理安全

今年3月，加州大學(xué)伯克利分校通知98000余名研究生和報考生: 由于研究生院辦公室“限制區(qū)”的一臺便攜式電腦失竊，他們的姓名、社會保障號碼及其他個人信息落到了不法分子的手里。事件發(fā)生后不久，加州圣何塞的一家醫(yī)療集團又聲稱，存有大約185000人的機密醫(yī)療信息的兩臺計算機失竊。

安全情報公司iDefense負責研究惡意代碼的主管Ken Dunham堅稱，由于移動計算迅速發(fā)展，牢牢控制物理安全的難度大大增加。他又說: “遺忘在出租車和機場的便攜式電腦數(shù)量非常多。”據(jù)BindView的Loveless介紹，小偷竊取計算機極可能是為了倒手賣掉?！叭缃竦谋銛y式電腦功能非常強大，所以能賣個好價錢，而且攜帶起來比DVD播放機來得方便?！?

Jim Stickley對計算機盜竊了如指掌。在他看來，失去筆記本電腦算不了什么。他說: “我曾把整臺服務(wù)器悄無聲息地弄出一家公司的大門?！盨tickley不是計算機竊賊，實際上是Trace Security的創(chuàng)辦人之一兼CTO。

許多公司聘請安全軟件和咨詢公司Trace Security進行漏洞審查，例如利用偽裝和詭計進入銀行或公司的辦公室。Stickley說: “一旦你進入了工作場地，繞開了第一道防線，

似乎就毫無障礙可言。一旦你進入里面，就完全與任何員工一樣得到信任?！盨tickley說，缺乏安全主要歸因于工作環(huán)境在過去十年的變化?！肮纠锩嬗性S多新員工和臨時員工，這樣一來，進入辦公室、隨意獲得控制權(quán)就非常容易。”

為了防止類似加州大學(xué)的失竊事件，Stickley建議嚴格監(jiān)控進出公司大樓的每個人員。Stickley說: “要始終陪著客人。如果有人進來是成雙搭對，就不要讓他們分開。如果他們抱怨，就說這是公司制定的政策?！?

電腦廠商稱，至于含有敏感數(shù)據(jù)的便攜式電腦，應(yīng)當把跟蹤設(shè)備如RFID標簽貼在電腦的硬盤上。IT服務(wù)提供商Savvis的首席安全官Bill Hancock積極主張給移動電腦貼標簽?！拔乙娺^許多便攜式電腦，大多數(shù)上面根本沒有任何標記。所以萬一丟失了，怎樣才能物歸原主呢？”Hancock說，花錢買一些標簽貼在便攜式電腦上，不失為簡單易行的一條安全措施。

加強口令安全

以提供法律信息搜索服務(wù)而聞名的頂級內(nèi)容聚集商LexisNexis不幸淪為了隱蔽性更強、危害性更大的一種威脅的受害者。今年3月，該公司官員公布了內(nèi)部審查數(shù)據(jù)搜索活動的結(jié)果，結(jié)果表明，發(fā)給其Seisint分公司的口令被人用來竊取了大約3萬名客戶的社會保障號碼、駕駛執(zhí)照號碼、姓名和地址。此后不久，官員把個人信息可能遭到危及的客戶數(shù)量提高到了28萬名。最后，LexisNexis聲稱有人利用竊取的口令以欺詐手段闖入其數(shù)據(jù)庫共達59次之多。

BindView的Loveless說，大型數(shù)據(jù)中心，如LexisNexis維護的那些數(shù)據(jù)中心是最受黑客青睞的攻擊目標，因為里面的信息提供了有可能闖入其他地方的金庫的密碼。他說，有可能是黑客發(fā)現(xiàn)了沒有從系統(tǒng)當中清除的口令。

Savvis的Hancock提到了口令保護和驗證策略方面不能接受的一種現(xiàn)象。他說: “許多公司采用了還算管用的方法，但后來由于人為錯誤而出現(xiàn)了問題?！彼J為，自動化則可以避免這種失誤。TraceSecurity的Stickley說，只要黑客能夠進入大樓，等到吃午飯時候，他就能從辦公桌上的便條上收集到一大堆口令，他的“工作”就有把握了。其實，補救的辦法說說容易做起來卻很難: 確保沒有人把口令放在明顯地方; 一旦前任員工離職，就要自動及時撤銷口令。

驗證系統(tǒng)提供商TriCipher的創(chuàng)辦人兼CEO Ravi Ganesan認為，企業(yè)基礎(chǔ)設(shè)施內(nèi)部有三個薄弱環(huán)節(jié): “有人可以從用戶的PC、用戶和真實網(wǎng)址之間以及后端基礎(chǔ)設(shè)施竊取身份數(shù)據(jù)。所有這些地方始終是攻擊對象?！?他建議，公司應(yīng)當使用強化口令（hardened password），從而確保用戶的口令首先傳到受SSL保護的Web服務(wù)器，然后服務(wù)器與身份專用設(shè)備一起進行驗證。這樣的優(yōu)點就是，通?？梢苑奖銖娀诹钆c現(xiàn)有的身份管理產(chǎn)品、目標或者獨立系統(tǒng)結(jié)合使用。除了強化口令外，Ganesan力勸IT部門重新評估加密、驗證、特權(quán)管理系統(tǒng)、強化操作系統(tǒng)和誠實員工等方面的策略。要做到面面俱到。

iDefense的Dunham認為: “上層管理部門加強安全意識非常有助于防范類似LexisNexis遇到的情形。確保安全沒有靈丹妙藥，安全問題錯綜復(fù)雜，但完全取決于管理人員是否重視降低風(fēng)險。一旦CEO認識到了有可能違反法律、失去客戶的信任、身纏官司、股價下跌，安全就突然不再是一種軟成本。這是一種經(jīng)營成本?！?

限制數(shù)據(jù)保留

你的企業(yè)是不是在保存再也沒有用處、反而有可能招惹麻煩的一些累贅的數(shù)據(jù)呢？時裝零售商保羅·拉爾夫·勞倫集團在4月份出現(xiàn)的安全漏洞涉及該公司的信用卡處理系統(tǒng)，保羅顯然保存了過多的信用卡數(shù)據(jù)，而且保留時間過長，從而導(dǎo)致信息容易遭到黑客攻擊。據(jù)保羅聲稱，該公司沒有表明信息已被人非法使用。

BindView的Loveless說，保羅事件讓人認識到了數(shù)據(jù)生命周期管理問題的重要性。Loveless說: “對于數(shù)據(jù)保留，你要問一下: ‘我要保留多久？’對于這種數(shù)據(jù)，你確實不應(yīng)再以任何理由來保留它。這反而成了累贅?！?

Savvis的Hancock對保羅遇到的問題概括為“不合時宜的數(shù)據(jù)存儲”。Trace Security的Stickley看似隨意地說:“根本就沒有解決人類愚蠢行為的什么補丁，讓我們關(guān)注新聞吧。畢竟，沒有什么能夠取代經(jīng)歷，無論這經(jīng)歷是壞的還是好的?！保ㄉ蚪缇幾g）

鏈接

Wi-Fi安全問題

沒有升級到最新的加密和驗證技術(shù)加大了漏洞的嚴重性。

Wi-Fi安全問題由來已久: 想當年，兩個二十出頭的年輕人坐在密歇根州南菲爾德的Lowe's商店的停車場，長驅(qū)直入Lowe's設(shè)在北卡羅來那州威爾克斯伯勒的數(shù)據(jù)中心，下載了客戶的信用卡號碼。兩年過去了，現(xiàn)在很多公司仍和當年的 Lowe's 一樣容易受到攻擊。大多數(shù)安全專家一致認為，如今的企業(yè)當中最薄弱的環(huán)節(jié)是源于沒有升級到最新的加密和驗證技術(shù)。

AirDefense的首席安全官Richard Rushing說: “早期的許多無線設(shè)備很簡單，最多就是采用40位的有線對等保密（WEP）密鑰，并不支持驗證。”除了WEP外，另一種功能有限的傳統(tǒng)安全方法就是輕便可擴展驗證協(xié)議（LEAP），這是思科用來傳輸驗證數(shù)據(jù)的一種協(xié)議。如今，思科正逐步淘汰LEAP及其他方案，改用受保護的可擴展驗證協(xié)議（PEAP），這是它與微軟和RSA Security聯(lián)合開發(fā)的一種協(xié)議。

此外，大多數(shù)比較新的Wi-Fi網(wǎng)絡(luò)部署的802.1x采用了更強的口令保護功能和先進加密標準（AES）驗證?？墒菍υS多大公司來說，Wi-Fi網(wǎng)絡(luò)需要多年的推廣，這往往使得每次在引入一種比較新的技術(shù)后，無法回到起點，升級接入點和客戶設(shè)備。

Colubris Networks公司負責企業(yè)發(fā)展的副總裁Roger Sands說，如果公司無法升級到AES（AES需要接入點采用速度更快的處理器），公司就應(yīng)當考慮在內(nèi)部為Wi-Fi網(wǎng)絡(luò)使用VPN。Sands說: “或者起碼要用暫時密鑰完整性協(xié)議（TKIP），TKIP的效果好于靜態(tài)的WEP密鑰?！?

其實，總體上來說，無線技術(shù)有著有線網(wǎng)絡(luò)所沒有的固有缺陷: 物理屏障保護不了無線。Rushing說，一旦無線網(wǎng)絡(luò)離開了大樓，無異于把以太網(wǎng)連接放到了大樓外面。

因為三年前黑客所用的基本伎倆幾乎都有可能故伎重演，如雙面惡魔攻擊（Evil Twin）、拒絕服務(wù)攻擊，或者在系統(tǒng)重新啟動時，讓所有接入點陷于癱瘓，以便安裝非法接入點。所以惟一真正有效的防御就是監(jiān)控及掃描無線電波，尋找入侵者，AirMagnet的副總裁Rich Mironov說。

JGold Associates的合伙人Jack Gold說，盡管所有高科技裝置被好人和壞人所使用，但許多安全規(guī)則都是常識性的。他說: “確保用戶退出后，設(shè)備不要隨處亂放; 確保你在輸密碼時，沒有人在后面偷看?！?

專家們一致認為，無線是塊放大鏡。如果你的公司出現(xiàn)了一個安全漏洞，無線就會把它放大。

主要的因特網(wǎng)安全漏洞

大部分蠕蟲及其他攻擊之所以能夠得逞，是因為少數(shù)幾種常用的操作系統(tǒng)服務(wù)存在著漏洞。以下是最常見的漏洞:

Windows系統(tǒng)

● Web服務(wù)器和服務(wù)

● 工作站服務(wù)

● Windos遠程接入服務(wù)

● 微軟SQL服務(wù)器

● Windows驗證

● Web瀏覽器

● 文件共享應(yīng)用軟件

Unix系統(tǒng)

● BIND（伯克利因特網(wǎng)名字域）DNS

● Web服務(wù)器

● 版本控制系統(tǒng)

● 郵件傳輸服務(wù)

● SNMP

● 開放式SSL