防范７大安全风险

前不久，SANS研究所对外公布了2007年20大互联网安全风险报告。该报告列举了2007年对于个人，公司和政府机构危害最严重的网络安全风险。这20大互联网安全风险是由来自六个国家的政府、行业和学术界的43位网络安全问题专家评选出的，详细列表可以登陆www.sans.org/top20查询。

鉴于文章篇幅所限，这里，我们精选了这20大互联网安全风险中最新而且最难防范的7大风险，并给出了目前相应的最佳防范措施，希望能对大家有所帮助。

风险1：网络应用中的致命漏洞，导致网站被感染，网站数据丢失，也使得连接于该网站的电脑处在危险之中!

最佳防范措施：网络应用防火墙、网络应用安全扫描器、应用源代码测试工具、应用渗透测试服务。其实，这已经是老生常谈了，但要想根本解决这个问题，还是得依靠软件开发、监管行业的管理机制。重要的网络应用必须用经过验证的安全过程进行开发，并且只能由那些通过测试证明具备了编写安全应用程序技能与知识的软件开发商来编写相关的网络应用程序，从而真正从开发阶段就尽量杜绝这些致命漏洞的发生。

风险2：易受骗的、忙碌的以及新的电脑用户，包括高级管理人员、IT员工以及其他具有访问特权的人。

他们可能在含有钓鱼软件的邮件中按其指令进行操作，从而导致银行账户损失。其实，目前看来，全球主要的军事系统以及政府承包商也都面临着此类威胁，这也正成为近来日益猖獗的商业间谍等恶意盗取行为的目标。

最佳防范措施：这或许是目前最具挑战性的风险，因为它往往涉及太多的非专业人士，所以安全知识培训是非常重要的，尽管这样并不能完全解决该问题。我们建议可以采取两种措施加以防范：

(a)定期给用户发送无恶意的钓鱼邮件，测试用户反映。对于防范意识薄弱者进行教育或惩处。

(b)应该不断监控网络流量和系统，及时发现入侵问题。

风险3：个人电脑中软件的致命漏洞会导致公司系统瘫痪，使系统成为僵尸网络(Botnet)，并使得这些电脑被当作后门，供攻击者窃取大型机构信息和控制其服务器。

这里最容易出现的漏洞包括：互联网浏览器、办公软件、邮箱用户、媒体播放器。

最佳防范措施：严格对所有应用程序进行安全配置(在安装程序时)，始终对应用程序和系统软件的补丁安装和升级过程进行验证，始终对漏洞进行扫描并对找出的问题迅速提出解决方案，严格配置防火墙和防入侵系统，在网关和电脑中及时更新杀毒软件和反间谍软件。

风险4：为电脑用户提供操作环境及主要服务的软件和系统中的重要漏洞(服务器端软件)

这里最容易出现漏洞的包括：windows服务、unix和Mac OS(苹果)操作系统服务、备份软件、杀毒软件、管理服务器，数据库软件、VOIP服务器。

最佳防范措施：(与上一条类似)严格对所有应用程序进行安全配置(在安装程序时)，始终对应用程序和系统软件的补丁安装和升级过程进行验证，严格配置防火墙和防入侵系统。

风险5：导致恶意软件进一步侵害系统并使大量数据丢失的政策和执行问题

这里的问题主要指：过度的用户权利以及未授权设备、未加密的笔记本电脑和可移动媒体设备。

最佳防范措施；在公司内部建立“无例外”政策，即便是高层领导，也要严格接受公司安全制度。始终进行全员监控，并制定实质性的处罚措施。

风险6：对于受用户欢迎的应用程序的滥用，导致用户和服务器处于危险之中，致使敏感数据丢失。

这些问题一般都是由即时信息、点对点程序所引发的。

最佳防范措施：只使用安全版本的此类工具，或彻底禁止使用它们。

风险7：零日攻击

最佳防范措施创建具有“全部拒绝、部分允许”的防火墙规则，更严格的外围配置，并重新设计网络，以保护内部系统不受面向于互联网的系统的侵害。

对于系统的保护，我们还有哪些没有做?

1)配置系统。从第一天开始就采用最安全的配置，并利用自动控制限制用户安装／卸载软件。

2)使用自动控制来保证系统处于安全配置中，即时、全面地安装软件最新版本的补丁(包括即时更新杀毒软件)。

3)在你的边界网络使用代理，并对所有用户服务进行配置(比如HTTP、HTTPS、FTP、DNS)，从而必须通过这些代理才能够使用互联网。

4)通过加密、数据分级进行通路控制，以及数据泄漏自动保护措施，对敏感数据进行保护。

5)使用自动“演习”，提高安全意识，对违反使用政策的人进行处罚。

6)通过防火墙对非军事区(DMZ)进行划分。

7)通过测试编写人的安全知识及测试软件的缺陷，来消除安全缺陷。

推荐访问:防范 风险