编者按:当你使用银行的自动提款机时,你的身份确认是通过两个步骤完成的:你有什么(信用卡)、你知道什么(个人身份号码)。对于公司的资产和数据而言,同样也有两个方面来保障它们的安全:你有什么(防火墙、虚拟专用网等等)和你怎么做(计算机安全策略及实施过程)。
据美国联邦调查局计算机安全学会一项调查表明:在过去的一年中,全美国64%的公司的计算机遭受了来自互联网的攻击,并导致了财政方面的损失。而他们在防止非法登录方面的投资的情况是:公司在信息安全方面的平均投资仅占收入的0.4%。虽然,据称到2011年这个数目将扩大十倍,达到总收入的4%,但显然还是很少的。到2004年,80%的公司将会把互联网的使用作为他们日常业务的一个组成部分,到时候大约有一半的公司还要因为受到攻击而引起财政损失。
解决方案的第一步是使用正确的硬件和软件,设计用来防止类似于对Windows和Unix通用服务器的攻击的安全装置,如:防火墙、虚拟专用网及其它的安全装置,要比同类产品的纯软件版本更早地面世,通过这些装置的限定设置,使它们也支持诸如URL过滤、安全和策略管理甚至病毒扫描的功能。这种产品真正的好处在于即插即用的便利和易于安装,这使得用户能在占用有限的计算机和安全资源的条件下很容易地部署。
但是,导致黑客、病毒攻击和数据丢失的最常见的原因不是由正在使用的安全装置造成的,而是由于安全策略建立的不完善。例如:虚拟专用网不正确的配置系统可能导致允许他人登录企业的数据库和应用程序;没有正确地安装防火墙和使用最新的补丁程序;调制调解器与用户的磁盘数小时的连接给远程登录提供了机会,从而使系统安全漏洞暴露无遗。在许多情况下,防火墙、虚拟专用网和路由器安装后从未修改过出厂时默认的用户名和登录密码,这使得它们易于遭受攻击。
企业用户以前没有考虑过的某些保障安全的硬件设施和软件产品(“你有什么”),现在可能需要安装在网络中。
入侵检测系统能探测到安全策略方面的问题,当检测到端口发生不寻常或可疑的连接时会报警,典型的是用于文件传输协议、简单邮件传输协议和Web传送和删除过程,或者防止特洛伊木马程序进入服务器和客户机。
智能卡,例如应用公开密钥管理体系(PKI)的双因素身份认证系统SecurID,能够通过在口令(你所知道的)之外增加一个唯一的令牌码(你所有的)来确认用户的登录,从而增加了一层物理安全性。
假如计算机使用的是802.11b(无线局域网协议),就等于将无线登录入口公之于众,并“鼓励”所有拥有与之相匹配的网络适配卡的人登录,这时需要使用WEP(一种资料加密的处理方式)和虚拟专用网来保障安全。
如果公司很分散,或者没有能力来安装这些装置及实施安全策略,可以考虑以每月固定的付费方式请网络安全管理服务提供商(MSSP)来协助公司维护网络。
安全重要吗?那么就对每个应用程序设计策略,而不要等出现了问题再做。当然,还要包括对技术方面的考虑。这是每个公司都应当贯彻的策略,以兑现对用户所做出的24×7的全天候服务的承诺,并使得管理工作正常进行。这包括以下几个方面:
使用操作系统的管理功能对文件及目录设置权限,以保证仅被授权的人使用。
下载并安装补丁程序,过时的防病毒程序比没有强不了多少,不要等待从新闻中了解病毒的最新情况后,再从供应商或服务器供应者那里获得自动更新功能。
备份文件,据上月出版的Ziff Davis Market Experts的一项调查表明,由于最近恐怖分子袭击而打算改变备份策略的人中有45%计划使用动态备份系统,它能提供滚动的存储环境的“快照”,从而使得受损的数据库返回到能受损前的状态。
检查由硬件和软件提供的审查日志,端口探测的锁定、失败的口令和其它重复违犯政策可能预示的危机。
培训好用户,要求他们在休息时从系统中注销,口令要选择不规则的字符并保证经常更换,及时报告可疑的情况。
