[转载] 十种最糟的不安全行为

粉色羽绒服

安全专家们一直在不断寻觅那些经实践证明切实可行的方法，以便我们可以用来确保网络和数据的安全。而实际上，这些专家们最多看到的往往是一些不正确的危及系统安全的行为和想法，有些甚至是非常危险的。鉴于一个重大错误有时比一大堆最佳实践更具有指导意义，本文列出了十个最糟糕的不安全行为，这是采访了十多名安全顾问后写成的，读者不妨看看哪些就发生在自己身上，然后听听相关建议。 9 S: d4 {2 }: k1 t 8 E& y" Z* S" y# \5 w- C- Z　　1.过于依赖工具 2 I: C" z T5 v6 [+ ` 　　信息安全专业人员当中存在一种普遍而危险的看法： 每个问题总有相应的工具可以解决。只要我们采用了合理的技术： 防病毒、防垃圾邮件、防火墙、补丁管理器、虚拟专用网（VPN）、公钥基础设施（PKI）、入侵预防系统（IPS）和入侵检测系统（IDS），我们就高枕无忧。 " o% c- r% f. F; K3 k9 f+ E/ J/ @　　问题在于，产品的效果完全取决于配置及监控产品的人。优利系统公司的安全顾问John Pironti说： “工具只能帮助你，却不能为你完成所有工作。要始终记住，我们至少比计算机聪明50%，计算机只知道‘是’和‘不’，而我们还知道‘也许是’。我们可以评估更多的不确定因素，因为我们可以从诸多方面来利用工具。” 　　以入侵检测和入侵防御系统为例。它们从盒子里拿出来后并不能直接很好地发挥作用，你必须教它们如何进行检测。一旦投入使用后，你就得监控日志，寻找攻击模式。就连有些在配置IDS及IPS产品方面做得很到位的IT公司也会出岔子，原因就是它们对这些工具生成的大量日志报告监控不力。 　　马萨诸塞州萨德伯里的安全专业公司的安全顾问Mark Mellis说： “问题在于，没有明确由谁负责这项工作。“这些产品很烦人。它们会生成大量的日志信息。人们只有在磁盘被占满后才会去看一下，然后丢弃许多数据。” . @& h& o. i. Q+ [$ U　　Mellis和他的同行说，这是一个错误，因为只要认真查看日志——哪怕是迅速浏览一下，就可以了解系统运行状况及有人试图发动哪些攻击方面的许多信息。那样，你就可以设置工具，从而寻找攻击模式、发出报警。这是个不断调整的过程。 / Y S( u7 o5 f5 x4 S$ \. y 8 J& \! g- H' @8 I7 {) \/ E2 B　　过于依赖工具也会导致矫枉过正，这可能会导致看不到全局。如果你面临垃圾邮件问题，购买功能强大的过滤器显然是个办法。但如果这个工具设置的规则过严，就会发生误报——许多合法的电子邮件就会受到影响。 k k' C. J9 y4 N　　用户往往会因为同样的原因禁用桌面防火墙的功能。如果在下载实用程序或者MP3文件时，频频遇到弹出的警告信息，他们就会感到恼火。顾问们说，从中得出的教训是，确保数据安全绝不仅仅是采用一大堆产品。Mellis说：“安全不是可以用钱买来的，而是看你怎么去做。” 　　正确做法： 如果你面临大量的日志数据，不妨考虑购买安全信息管理系统（SIM），譬如GuardedNet公司的neuSecure。

粉色羽绒服

2.忽视人为因素 　　一旦你接受了这个事实： 安全不但是技术问题，更是行为问题，就会开始知道制订及执行安全策略是多么重要。 　　伯顿集团的安全分析师Eric Maiwald说： “目前大家在谈论的热点问题是什么？那就是网页仿冒！网页仿冒涉及社会工程学，就是骗用户做自己希望他们做的事，譬如把个人信息透露给自己。安全产品防范这种事情作用有多大？作用不大。这涉及安全意识。” 6 q8 s0 ]1 |/ i5 z* T y 　　公司的安全策略结合了技术和员工行为。策略的制订需要业务和IT领导人的共同努力。当然，有些策略主要依靠技术（如根据PC配置限制其使用），而其他策略纯粹依靠行为（如不要把口令写在黄颜色粘贴便条上)。两者同样重要。 4 t6 Z w* a# E) E+ A　　正确做法： 如果你没有安全策略，就拟写一份，并且确保贵组织的每个人都了解该策略。

粉色羽绒服

3.只要能解决掉眼前的问题就行 , Q) F* _& I9 J7 s9 m　　最近进行的安全战略部署调查发现，大约43%的公司没有安全策略。IBM的企业安全战略部门主管Stuart McIrvine认为，他知道个中原委。McIrvine领导的八人小组负责监督IBM的整个产品组合的安全策略，他说： “他们是根据一个个具体的事件做出决策的，而缺少全面的风险管理策略。” 　　让这个问题更严重的是这一事实： 数据安全历来是IT部门的一项职能，而技术专长被认为起着至关重要的作用。得克萨斯州奥斯丁的Veridyn安全专业公司的顾问Doug Landoll说，结果是，交叉部门（人力资源、法律与培训等部门）的工作被安全人员认为是别人的工作。技术专家的培训方式就是学会利用技术解决问题。 / g6 K) `0 L6 n% G 　　幸好，企业风险管理策略有助于弥补各种IT领域之间的缝隙。赛门铁克全球服务部门的开发主管Chris Wysopal说，譬如讲，许多系统管理员在推广新服务器时，根本不进行任何安全测试工作。他说： “他们没有采取额外措施，看看我实施的系统有没有危及网络安全？”比如说，使用某个系统上的默认口令有可能为访问其他系统提供机会。 - w2 z `" J2 n% K* _* f. H; a' X 　　另外，使用综合方法可以解决一些最重要的安全问题。Mellis说： “通过更改思科路由器的访问控制列表，我就可以解决许多Windows问题。” + Z- ~1 M5 @2 P V/ } 9 x9 d# @" w; S8 t# l　　企业风险管理策略可以让所有相关方知道需要优先处理哪些工作。McIrvine说，如果你是网上零售商，文件服务器每天会创造1700万美元的收入，那么与员工门户网站相比，你需要下更多的力气来保护这些服务器。马萨诸塞州纳提克的数据安全系统公司的总裁Sanford Sherizen建议，在进行任何重大的系统改进或者工作场所变化之前，需要评估一下对安全的影响。 　　正确做法： 组建一支跨部门小组，查明组织需要注意的危险区域。

粉色羽绒服

4.安全管理过于专制 　　信息安全管理员最喜欢说的一个词就是“不行！”。有些IT部门已经养成了以安全的名义规定你不能做什么的陋习。 1 y, l% _; L/ [: v　　但长期下去这种做法是有害的。Maiwald说： “安全人员倾向于否定其他人的想法，不仅否定用户的想法，还否定管理人员的想法。如果这些人老是说不行，他们会遭到大家的排斥。” 9 [; e. B" r' ^1 D 　　芝加哥安全咨询公司Neohapsis的CEO Kelly Hansen说，说声不行是一种偷懒的办法。Hansen说： “许多时候回答不行是出于害怕。他们认为可能会出问题，自己又没有时间去调查，所以只要回答不行就比较省事。他们只会误事，对公司没有任何帮助。” , C' N7 j4 F& |' M% N 　　Hansen效力的一个信息安全部门制订了“说可以”的计划。譬如说，如果一位业务经理来到安全管理员跟前，咨询在大楼的敏感区域安装无线接入点方面的事宜，如今管理员更有可能会说： “我明白这一请求，听上去不错。这是我简要列出的风险清单，你是否愿意在上面签字？”如果业务经理看了列出的安全陷阱后，他或她更可能会向管理员征求建议，并且接受建议。这种做法使业务经理和安全管理员能够共同解决问题。 - P8 s) m. n) q" {0 t; T ( Z- f6 s8 a" e3 S3 v) t9 Q. X　　的确，我们不要把安全措施看成是阻碍因素，而要看成是促动因素。Maiwald说： “采用安全措施后，与以前相比，你现在可以做什么事？它如何开辟了新的业务领域？” 8 W! u; n4 w( L5 t1 m1 `" x 　　正确做法： 在确保安全的同时行之有效地启动新的业务项目的一个办法就是，实施变更管理系统。

粉色羽绒服

5.对待访问权限过于极端 7 d, a1 m! a) @& L& N 　　在许多企业网络上，一旦你获得了利用用户名和口令进行访问的权限，就可以随意浏览。尽管你是只需要访问某个内部Web服务器的业务合作伙伴。你的数字护照到处适用，从而可以畅通无阻。 ! }" ~/ p( ]' q8 z7 {4 m 　　如果内部系统没有授权或者访问控制机制，就很可能带来灾难。Wysopal说： “一旦攻击者进入，或者内部有人变坏，就完了。对内部网络进行隔离有一定成效，那样不至于就因为一个漏洞而危及整个网络。” 　　如果你考虑一下有几家组织拥有或者在部署无线局域网，这个问题显得特别严重。许多组织仍没有配置接入点，以便限制员工的访问权限进入，所以实际上允许谁都可以进入网络，只要他在网络覆盖范围内。 Mellis说，只要把笔记本电脑拿到纽约的金融区或者市中心，就会发现那里有许多敞开无阻的接入点。 1 \' g# i! N P& z　　有必要投入时间和精力，只为员工和访问者授予完成工作所需的访问权——不能授予更多的权限。另外别忘了系统管理员，同样也不能为系统管理员授予全权委托的访问权。 8 p8 @7 M9 P9 ?+ {- H( ]6 S　　系统专家公司的负责人Dick Mackey说，一旦你集中进行身份管理，就要采取其他可靠的安全实践，譬如跟踪登录失败次数，就可以知道是否有人试图使用不同的口令组合进行有预谋地闯入。另外，还要养成这个习惯： 检查未使用的网络服务是否已关闭，有人离开公司后其访问权是否尽早被取消。 ( @& S6 H6 Y* ~; E, W2 }& @2 F + v4 w2 u3 {! s6 J　　正确做法： 防止未授权访问。

粉色羽绒服

6.对所有数据一视同仁 " Q }+ u* D }3 b8 L4 ? 　　按照常理，发生大规模入侵网络的可能性远远不如恶意访问有所选择的部分信息。为了防止未授权用户访问数据，对数据进行划分是方法之一。 7 r4 l; z2 V* @% g& A - E1 B+ K, ]+ ~ y+ y) v# d7 q　　新不伦瑞克圣约翰的安全咨询公司的CEO Bill Burk说： “许多数据之所以会泄密，就是因为公司没有对数据进行分类。政府在这方面做到很好： 把信息分为绝密、机密、秘密和私密，直至公共领域。” # b3 q+ K9 _' _# [9 b+ U9 b7 {7 Z & b- d/ {3 |+ h　　对数据进行分类不仅适用于数字文件，还适用于打印文件。Burk说： “一份明年的战略营销计划不应该随便放在某人的桌上。” 　　正确做法： 对数据进行分类，并加以保护。

粉色羽绒服

7.每晚备份所有数据而不审查 ( J! `/ c) N) ^ 　　自9·11恐怖袭击以来，不少企业已投入巨额资金用于建立所谓的热备份站点（Hot Backup Site），即把企业数据的镜像放在另一个地方。这样一来，即便主数据中心因为物理灾难或者网络攻击而瘫痪，你仍可以开展业务。 U: u3 x+ X; O0 k6 _7 t+ n 　　Pironti说，问题在于，太多的IT公司在建立这些备份站点时，无意中引入了许多安全风险。数据镜像往往是每晚自动进行工作。所有数据（不管好坏）都加以复制，却没有人去检查文件的完整性。这可能会产生严重后果： 如果在文件进行复制的同时恰好发生了攻击，你的热站点可能也会遭到攻击。 　　Pironti说： “我确实经历过这种事。攻击者会用几周时间把代码植入数据中，一旦你在第二个站点使用已被感染的备份数据，攻击者就可以长驱直入。于是第一个站点遭到攻击后，等你启动第二个站点时，它同样会遭到攻击。” 　　正确做法： Pironti建议至少采用两种补救办法。首先，所有数据从站点A传送到站点B之前，都应当先进行扫描及分析。其次，考虑采用不同的硬件平台和操作系统来建立热站点，以防范专门针对你的主要平台编写的病毒和特洛伊木马。 ) K2 C0 S! R1 S \' B: Y. O) y 　　8.不经常进行安全审查和渗透试验，即使有，也只在内部进行。 " g7 p- U8 [; K　　你在扩建IT基础设施、升级操作系统和应用程序时，网络的复杂性会出现显著变化。Burk说，升级和补丁是如此频繁，IT任务又是如此专业，以致过不了两年你就需要进行重新审查。他说，如果做不到每年进行两次审查，至少也要每年进行一次。漏洞分析和渗透试验应该更频繁，也许每季度就要进行一次。 # A" R4 `8 M6 Y + y7 ? ]( ^6 m$ g6 {　　顾问们认为，安全预算还应当包括雇用第三方处理这些服务所需的费用。Landoll说： “一个常见的错误就是，‘这个人这方面很擅长，让他负责审查吧。’你的工作不应该由你自己来审查。如果我的房子是由某个木匠造的，会请检验人员来检验他的活做得好不好。” 　　正确做法： 第一步是确认有哪些资产，并加以分类; 第二步是评估威胁和漏洞; 第三步是评估控制机制; 最后一步是分析、决策并编制文档。

粉色羽绒服

9.缺少对外部登录用户的审查 " I7 g$ L8 }3 A, c: E 　　Mellis说，尽管安全专家们一再强调，与保护边界安全相比，关注保护特定IT资产的安全更为重要，但企业的安全系统通常还是像水果糖： 外强中干。 5 v7 q& c5 [9 ]; x* m1 m 　　原因之一就是，许多公司允许临时的外部用户进入。我们构建SSL VPN，是为了让员工可以利用家里的电脑或者贸易展上的公用信息亭进入公司网络。我们还提供无线连接，以便来访的顾问或者复印机维修人员可以用便携式电脑连接上网。我们还把进入订单系统的口令告诉给合作伙伴，为自己省却麻烦。 * _6 }/ y% g, j0 O$ U# R% O # _/ R: V0 N) w1 f& W( {* y　　我们在建立这些连接时，要对数据进行加密，以确保连接的安全性。但我们往往忘记，这些外部的PC可能无法满足我们的安全标准。因为我们都知道，刚登录进入的某个用户也许是通过早已感染了病毒的PC进行连接的。 3 ~2 Z" [" f9 Z ( |$ y4 T7 e. v& i/ Q' M　　解决办法就是建立检查区，用户必须通过该区的检查，方可进入网络内部。Wysopal说： “当你通过VPN进入时，先进入到网络的非信任区。在那里，你的PC会被扫描，并进行验证，然后才会被允许访问内部资源。” - R0 ^1 k6 v' q$ O2 u( d 　　你还要对VPN进行配置，限制远程用户的权限。“你需要访问公司的全部资源吗？应不应该允许在家里开发软件？如果软件非常重要，就不应该允许。” 0 C7 J8 e. g5 `4 E　　糟糕的口令策略也会危及安全。这是个特别棘手的平衡问题： 如果策略过于严格——譬如要求口令使用字符和数字，至少要有八个字符，而且定期重新设置，你只会迫使用户把口令记在纸上。但如果过于宽松，口令又很容易被猜中。关键就在于找到合理的平衡点。 6 O* r- B H( p2 I9 {8 `# S 　　正确做法： 考虑部署网络访问控制系统。

粉色羽绒服

10.过度追求安全高度可见，甚至是强迫性的。 　　过分要求安全反而会促使人们采取变通办法来逃避。就拿每天早上通常要完成的例行工作来说吧： 首先，用户利用口令登录Windows，然后再用口令先后进入Novell服务器和销售队伍应用程序。一旦进去了，他们还会不断收到桌面防火墙、防垃圾邮件过滤器及防病毒软件扫描器发出的报警信息。 , t0 |7 S1 c9 D2 k3 q2 B9 z * d# {) C1 B/ p3 e) C! M+ a* L　　结果如何呢？一旦有些用户登录进去，他们就再也不退出，哪怕晚上下班回家也是如此，因为重复利用口令进行登录太麻烦了。而许多用户把桌面防火墙和过滤器的安全级别降到最低，就是为了让它们安静些。 , V4 M0 t: ]. b/ P9 T 　　正因为如此，优利系统公司的顾问Pironti建议允许使用简短、易记的口令。他以银行为例，证明这种策略可以取得成功。 0 D/ {5 `7 R5 J2 f$ q! X, m8 A2 _" Y　　Pironti说“银行一直很小心，不对用户做太多要求。以个人身份号（PIN）为例。我们使用四位数字，数字安全领域的人士会说，这四位数字不安全，因为很容易被随机数字生成器猜出来，用户因而可能会选择用出生年月做口令。那么银行为什么还决定这么做呢？因为使用四位数字做口令，主要是因为许多人用不着写在纸上，又具有一定的安全性。” 7 U$ V* q( ?# X4 ?% _% ^　　对银行来说，口令简短带来的好处压倒了风险。而如今人们在使用ATM时，不会去考虑太多的安全问题，因为他们信任银行。 F8 o1 g, n& i5 {0 [: P) X0 Q+ a, g 　　当然，要把安全的复杂性隐藏起来，最好的办法就是采用统一身份管理系统。那样，你不仅可以用智能卡登录到PC上，还可以用来进入大楼的正门。无需口令，省了麻烦。但这种方法需要负责处理物理安全和数字安全的人员密切合作，而且这种系统价格不菲。 % r4 \0 m* H" C 　　正确做法： 采用身份管理系统加以控制。