貌“小儿科儿”的建议使企业远离安全梦魇

对于全球、尤其是美国的计算机安全来讲，过去的半年实在是糟糕透了。接二连三的安全事故给IT界当头一棒。为了竭力减小企业面临的风险，我们不妨看看今年计算机安全大事记当中的几个糟糕时刻，专家们也对该如何采取对策提供了建议。

2005年上半年的每个月，媒体几乎没有一天不在报道影响面巨大的计算机安全漏洞事件。其中被媒体大肆报道的名誉扫地的对象包括: 美国第二大银行美洲银行、网上经纪公司Ameritrade、保罗拉尔夫劳伦集团（Polo Ralph Lauren）和律商联讯（Lexis-Nexis）。

重大安全漏洞不为公众所知的日子已一去不复返了。譬如说，《加利福尼亚安全漏洞信息法案》规定: 向加州居民收集个人信息的州政府机构和公司企业如果发现某些安全漏洞，就要立即公布，否则将面临巨额罚金。由于连知名的IT公司似乎都无法控制某些安全事件的局面，所以政府只好亲自出面保护。因此我们说这是十分糟糕的事态，并不是危言耸听。

改善糟糕局面的快慢将主要取决于有多少IT人员能够从别人所犯的错误当中汲取教训？为了竭力减小企业面临的风险，我们不妨看看今年计算机安全大事记当中的几个糟糕时刻，专家们也对该如何采取对策提供了建议。你也许认为这些建议过于“小儿科”，但它们却是造成这些重大安全事故的“蚁穴”。

对备份数据进行加密

截止到今年5月，美洲银行和Ameritrade都未能对在送往数据存储和恢复场地途中丢失的数据备份磁带做出解释。不过，美洲银行承认: 今年2月丢失了内有近120万名联邦员工账户信息的几盘磁带。该银行女发言人说，“少数几盘计算机数据磁带在通过商务班机送到备份数据中心的途中丢失了。”她又说，没有证据表明磁带已被人滥用，她推测磁带已经丢失。银行官员不愿对磁带上的数据是不是经过加密表态。但值得回味的是，加州的数据安全法规定，如果丢失数据经过加密，公司可以不必把数据丢失事件通知客户。

Ameritrade在4月也遭遇了类似情况。该公司告知全国的20多万客户: 由于一只箱子从盐湖城的一个安全场地送往另一个场地的途中受损，结果少了四盘数据备份磁带，里面保存着客户的个人账户信息。该公司官员同样声称，他们没有表示客户信息已被小偷窃取。不过，他们的确透露: 磁带上的数据没有经过加密，但经过了压缩，数据很难提取出来。

所以，安全专家们提出了一条简单的忠告: 在备份数据时进行加密。

Mark Loveless是IT安全和目录管理软件提供商BindView公司的高级安全分析师，他对美洲银行丢失的磁带提出了质疑: “信息有没有经过加密？恐怕没有，因为大多数备份磁带都是没有加密的。”企业策略集团的一项近期调查也证实了他的说法: 多达60%的存储专业人员说，自己从不对备份磁带进行加密。回答经常加密的只有7%; 其余的人说偶尔加密，或者根本就不知道怎么加密。Loveless说: “如果你对数据进行了加密，别人想非法利用你的数据就困难得多。应当养成这个非常好的习惯。”

如今不乏在文件存储时为加密提供便利的公司，其中就有NeoScale和Decru。这两家公司生产的设备都可以在数据拷贝到存储介质之前先进行加密。NeoScale的营销副总裁Dore Rosenblum说: “加密是解决美洲银行和Ameritrade所遭遇事件的明显办法之一。要是数据事先经过加密，外界恐怕根本不会听说此事。”

Frank Slootman是同时生产存储设备的磁盘备份公司Data Domain的CEO，他认为，整个备份方法应当重新设计。他说: “公司应当开始考虑取代磁带存储，对数据进行压缩及加密，然后通过网络发送。公司应当不要再利用磁带进行备份，然后送到不同的地方。现有的技术可以把磁带丢失或者失窃的风险降低到最小。”

锁定物理安全

今年3月，加州大学伯克利分校通知98000余名研究生和报考生: 由于研究生院办公室“限制区”的一台便携式电脑失窃，他们的姓名、社会保障号码及其他个人信息落到了不法分子的手里。事件发生后不久，加州圣何塞的一家医疗集团又声称，存有大约185000人的机密医疗信息的两台计算机失窃。

安全情报公司iDefense负责研究恶意代码的主管Ken Dunham坚称，由于移动计算迅速发展，牢牢控制物理安全的难度大大增加。他又说: “遗忘在出租车和机场的便携式电脑数量非常多。”据BindView的Loveless介绍，小偷窃取计算机极可能是为了倒手卖掉。“如今的便携式电脑功能非常强大，所以能卖个好价钱，而且携带起来比DVD播放机来得方便。”

Jim Stickley对计算机盗窃了如指掌。在他看来，失去笔记本电脑算不了什么。他说: “我曾把整台服务器悄无声息地弄出一家公司的大门。”Stickley不是计算机窃贼，实际上是Trace Security的创办人之一兼CTO。

许多公司聘请安全软件和咨询公司Trace Security进行漏洞审查，例如利用伪装和诡计进入银行或公司的办公室。Stickley说: “一旦你进入了工作场地，绕开了第一道防线，

似乎就毫无障碍可言。一旦你进入里面，就完全与任何员工一样得到信任。”Stickley说，缺乏安全主要归因于工作环境在过去十年的变化。“公司里面有许多新员工和临时员工，这样一来，进入办公室、随意获得控制权就非常容易。”

为了防止类似加州大学的失窃事件，Stickley建议严格监控进出公司大楼的每个人员。Stickley说: “要始终陪着客人。如果有人进来是成双搭对，就不要让他们分开。如果他们抱怨，就说这是公司制定的政策。”

电脑厂商称，至于含有敏感数据的便携式电脑，应当把跟踪设备如RFID标签贴在电脑的硬盘上。IT服务提供商Savvis的首席安全官Bill Hancock积极主张给移动电脑贴标签。“我见过许多便携式电脑，大多数上面根本没有任何标记。所以万一丢失了，怎样才能物归原主呢？”Hancock说，花钱买一些标签贴在便携式电脑上，不失为简单易行的一条安全措施。

加强口令安全

以提供法律信息搜索服务而闻名的顶级内容聚集商LexisNexis不幸沦为了隐蔽性更强、危害性更大的一种威胁的受害者。今年3月，该公司官员公布了内部审查数据搜索活动的结果，结果表明，发给其Seisint分公司的口令被人用来窃取了大约3万名客户的社会保障号码、驾驶执照号码、姓名和地址。此后不久，官员把个人信息可能遭到危及的客户数量提高到了28万名。最后，LexisNexis声称有人利用窃取的口令以欺诈手段闯入其数据库共达59次之多。

BindView的Loveless说，大型数据中心，如LexisNexis维护的那些数据中心是最受黑客青睐的攻击目标，因为里面的信息提供了有可能闯入其他地方的金库的密码。他说，有可能是黑客发现了没有从系统当中清除的口令。

Savvis的Hancock提到了口令保护和验证策略方面不能接受的一种现象。他说: “许多公司采用了还算管用的方法，但后来由于人为错误而出现了问题。”他认为，自动化则可以避免这种失误。TraceSecurity的Stickley说，只要黑客能够进入大楼，等到吃午饭时候，他就能从办公桌上的便条上收集到一大堆口令，他的“工作”就有把握了。其实，补救的办法说说容易做起来却很难: 确保没有人把口令放在明显地方; 一旦前任员工离职，就要自动及时撤销口令。

验证系统提供商TriCipher的创办人兼CEO Ravi Ganesan认为，企业基础设施内部有三个薄弱环节: “有人可以从用户的PC、用户和真实网址之间以及后端基础设施窃取身份数据。所有这些地方始终是攻击对象。” 他建议，公司应当使用强化口令（hardened password），从而确保用户的口令首先传到受SSL保护的Web服务器，然后服务器与身份专用设备一起进行验证。这样的优点就是，通常可以方便强化口令与现有的身份管理产品、目标或者独立系统结合使用。除了强化口令外，Ganesan力劝IT部门重新评估加密、验证、特权管理系统、强化操作系统和诚实员工等方面的策略。要做到面面俱到。

iDefense的Dunham认为: “上层管理部门加强安全意识非常有助于防范类似LexisNexis遇到的情形。确保安全没有灵丹妙药，安全问题错综复杂，但完全取决于管理人员是否重视降低风险。一旦CEO认识到了有可能违反法律、失去客户的信任、身缠官司、股价下跌，安全就突然不再是一种软成本。这是一种经营成本。”

限制数据保留

你的企业是不是在保存再也没有用处、反而有可能招惹麻烦的一些累赘的数据呢？时装零售商保罗·拉尔夫·劳伦集团在4月份出现的安全漏洞涉及该公司的信用卡处理系统，保罗显然保存了过多的信用卡数据，而且保留时间过长，从而导致信息容易遭到黑客攻击。据保罗声称，该公司没有表明信息已被人非法使用。

BindView的Loveless说，保罗事件让人认识到了数据生命周期管理问题的重要性。Loveless说: “对于数据保留，你要问一下: ‘我要保留多久？’对于这种数据，你确实不应再以任何理由来保留它。这反而成了累赘。”

Savvis的Hancock对保罗遇到的问题概括为“不合时宜的数据存储”。Trace Security的Stickley看似随意地说:“根本就没有解决人类愚蠢行为的什么补丁，让我们关注新闻吧。毕竟，没有什么能够取代经历，无论这经历是坏的还是好的。”（沈建苗编译）

链接

Wi-Fi安全问题

没有升级到最新的加密和验证技术加大了漏洞的严重性。

Wi-Fi安全问题由来已久: 想当年，两个二十出头的年轻人坐在密歇根州南菲尔德的Lowe's商店的停车场，长驱直入Lowe's设在北卡罗来那州威尔克斯伯勒的数据中心，下载了客户的信用卡号码。两年过去了，现在很多公司仍和当年的 Lowe's 一样容易受到攻击。大多数安全专家一致认为，如今的企业当中最薄弱的环节是源于没有升级到最新的加密和验证技术。

AirDefense的首席安全官Richard Rushing说: “早期的许多无线设备很简单，最多就是采用40位的有线对等保密（WEP）密钥，并不支持验证。”除了WEP外，另一种功能有限的传统安全方法就是轻便可扩展验证协议（LEAP），这是思科用来传输验证数据的一种协议。如今，思科正逐步淘汰LEAP及其他方案，改用受保护的可扩展验证协议（PEAP），这是它与微软和RSA Security联合开发的一种协议。

此外，大多数比较新的Wi-Fi网络部署的802.1x采用了更强的口令保护功能和先进加密标准（AES）验证。可是对许多大公司来说，Wi-Fi网络需要多年的推广，这往往使得每次在引入一种比较新的技术后，无法回到起点，升级接入点和客户设备。

Colubris Networks公司负责企业发展的副总裁Roger Sands说，如果公司无法升级到AES（AES需要接入点采用速度更快的处理器），公司就应当考虑在内部为Wi-Fi网络使用VPN。Sands说: “或者起码要用暂时密钥完整性协议（TKIP），TKIP的效果好于静态的WEP密钥。”

其实，总体上来说，无线技术有着有线网络所没有的固有缺陷: 物理屏障保护不了无线。Rushing说，一旦无线网络离开了大楼，无异于把以太网连接放到了大楼外面。

因为三年前黑客所用的基本伎俩几乎都有可能故伎重演，如双面恶魔攻击（Evil Twin）、拒绝服务攻击，或者在系统重新启动时，让所有接入点陷于瘫痪，以便安装非法接入点。所以惟一真正有效的防御就是监控及扫描无线电波，寻找入侵者，AirMagnet的副总裁Rich Mironov说。

JGold Associates的合伙人Jack Gold说，尽管所有高科技装置被好人和坏人所使用，但许多安全规则都是常识性的。他说: “确保用户退出后，设备不要随处乱放; 确保你在输密码时，没有人在后面偷看。”

专家们一致认为，无线是块放大镜。如果你的公司出现了一个安全漏洞，无线就会把它放大。

主要的因特网安全漏洞

大部分蠕虫及其他攻击之所以能够得逞，是因为少数几种常用的操作系统服务存在着漏洞。以下是最常见的漏洞:

Windows系统

● Web服务器和服务

● 工作站服务

● Windos远程接入服务

● 微软SQL服务器

● Windows验证

● Web浏览器

● 文件共享应用软件

Unix系统

● BIND（伯克利因特网名字域）DNS

● Web服务器

● 版本控制系统

● 邮件传输服务

● SNMP

● 开放式SSL