企業(yè)信息安全指南 — 您必須了解的十大安全問題在今天的全球經濟一體化背景下，各種商業(yè)活動已經越來越依賴于互聯網，企業(yè)利用互聯網從事電子商務網上交易，把企業(yè)網絡資源向供應商、商業(yè)伙伴、客戶和遠程移動辦公

企業(yè)信息安全指南 — 您必須了解的十大安全問題

在今天的全球經濟一體化背景下，各種商業(yè)活動已經越來越依賴于互聯網，企業(yè)利用互聯網從事電子商務網上交易，把企業(yè)網絡資源向供應商、商業(yè)伙伴、客戶和遠程移動辦公的員工開放訪問。雖然這樣的網上交易和網絡通信越來越方便，但是也帶來了各種數據交換和通信的安全隱患，如何面對這些安全威脅和如何維護一個安全的、可信任的在線應用環(huán)境對任何大小的企業(yè)來講都是一個必須面對的挑戰(zhàn)。

本文總結了企業(yè)必須關注的最重要的 10 個安全問題及其問題解決指南，以幫助企業(yè)創(chuàng)建一個連接內網和外網的在線安全可信的企業(yè)網絡及其應用系統(tǒng)。當然，本指南并非沒有包羅所有安全問題，主要關注了企業(yè)必須解決的核心問題 — 企業(yè)不僅要在服務器端部署 SSL 數字證書(SSL證書) ，而且還要在客戶端部署數字證書，從而構成一個完整的、可信的、安全的、連接企業(yè)內外網的電子商務數據交換應用鏈路。 第 1 ：沒有 SSL 數據加密就不可能保證數據的完整性

SSL 加密是目前最領先的最廣泛應用的加密技術來確保 Web 服務器、內聯網 (Intranet) 、外聯網 (Extranet) 和其他基于服務器的所有應用。如果沒有 SSL ，則無論是通過公網還是私網傳輸，其傳輸的數據完整性是沒有保證的，因為您無法控制在整個傳輸鏈路上的每個環(huán)節(jié)，導致最終會影響業(yè)務的正常運轉。而有了 SSL 就能保證您的數據在從客戶端到服務器的整個傳輸過程中的是加密傳輸的，是不可能被篡改和被泄露的。

最近幾年來，人們越來越認識到 SSL 加密技術的重要用途，越來越多的用戶在輸入機密信息時會檢查瀏覽器下面是否有“安全鎖”標志，而全球上百萬個網站已經部署了 SSL 數字證書(SSL證書) 來保證服務器到瀏覽器之間的數據傳輸安全。幾乎所有的服務器端軟件和瀏覽器都支持 SSL ，這樣使得企業(yè)部署 SSL 就只需簡單的在服務器安裝 SSL 數字證書(SSL證書) 了。一旦部署了 SSL 數字證書(SSL證書) ，則瀏覽器和服務器之間就建立了一個安全通道，所有從客戶端瀏覽器到服務器之間的數據傳輸是加密傳輸的，從而有效地防止了任何危害數據安全和數據完整性的非法竊聽行為。

建議 ：企業(yè)應該對所有服務器或部分重要服務器部署 SSL 數字證書(SSL證書) 來保護任何從瀏覽器到服務器之間傳輸的任何機密信息和個人重要信息。

第 2 ：免費黑客軟件可以在 30 分鐘內破解您的口令

現在幾乎所有網上應用都依賴于口令密碼，但口令密碼已經變得越來越脆弱，使得您的系統(tǒng)也越來越容易受到攻擊。所以，加強各種密碼口令使用管理也就變得越來越重要。

現在計算機的計算能力越來越強，使得破解口令密碼變得越來越容易，同時，由于各種重要的應用都已經網絡化，這使得破解口令密碼的收獲和誘惑力也越來越大?，F在，已經非常容易地在互聯網上找到和下載一個口令密碼破解軟件，使得 6 位數的密碼只需 30 分鐘就可以破解，而 8 位數的密碼也只需要 6 個小時。

所以，您應該立刻制訂口令密碼管理規(guī)則，如使用大小寫混合、加上數字和標點符號、不要使用您的個人信息、至少 8 位以上的長度以及經常修改密碼等。最重要的是，您的應用程序應該有如下密碼安全機制：凡是連續(xù)輸入密碼 3-5 次都無效的應該終止用戶使用，這樣就可以有效地防止惡意使用窮舉法破解。建議系統(tǒng)管理員使用密碼破解軟件來發(fā)現脆弱的密碼。

建議： 最安全的解決方案是使用客戶端數字證書來替代簡單的口令密碼驗證機制，客戶端數字證書能確保您的關鍵應用的安全性。

第 3 ：電子郵件正在泄露您的商業(yè)機密

安全通信 ( 目前主要指電子郵件，當然也適合于即時通信、 V oIP 等等 ) 是指確保只有應該閱讀此信息的接收者才能看到此信息，而電子郵件在企業(yè)通信中越來越重要，使得電子郵件的保密管理也越來越重要，因為電子郵件從用戶的電腦發(fā)出到接收者的電子郵件服務器是經過公網以明文文本方式傳輸的，凡是在郵件傳輸過程中經過的任何環(huán)節(jié) ( 服務器、路由器及其他網絡設備 ) 都有可能、也都可以得到您的郵件明文信息，而且?guī)缀跛朽]件系統(tǒng)都允許接收者把收到的電子郵件轉發(fā)給任何第三方而沒有任何審計。 但是，只要您的員工擁有單位數字證書，員工之間相互交換數字證書信息，員工之間的電子郵件就可以簽名和加密，這樣就可以確保員工之間交換的機密信息不會被篡改和被非法竊取，對于通過電子郵件發(fā)送機密信息的企業(yè)應該采取此措施。此外，即時通信 (IM) 已經在企業(yè)獲得了廣泛應用，但同樣應該使用安全加密的方式使用即時通信服務，否則通過即時通信傳輸的機密信息會非常容易被竊取的。

建議 ：為企業(yè)員工頒發(fā)單位數字證書來為電子郵件簽名和加密以保護企業(yè)的重要商業(yè)機密，從而確保企業(yè)通信的機密性、確定性和信任性。

第 4 ：傳統(tǒng)的安全訪問控制解決方案不僅無效而且投資大

SSL 支持兩端 ( 服務器端和客戶端 ) 的身份認證，當服務器裝有 SSL 數字證書(SSL證書) 時，表明服務器是通過驗證的 ( 此服務器的域名所有者申請了 SSL 數字證書(SSL證書) 并獲得有效頒發(fā) ) ; 而客戶端 ( 瀏覽器 ) 則驗證此證書的域名與服務器域名是匹配的、是有效的、是由信任的機構頒發(fā)的。當客戶端也使用 SSL 數字證書(SSL證書) 訪問服務器時，表明此客戶端也是通過驗證的 ( 使用此電腦的人是已經通過身份認證而獲得數字證書的 ) ，客戶端數字證書可以嵌在任何客戶端軟件中 ( 包括瀏覽器、 Outlook 等 ) 來代替簡單的密碼驗證 ( 當然，可以同時也有密碼驗證 ) 來獲得服務器的授權訪問。

使用客戶端數字證書要比簡單的口令密碼驗證安全許多，因為一個人的數字證書是不可能被另一個人偽造的，即使安裝有數字證書的電腦被盜，仍然需要密碼來激活數字證書。而由于數字證書是一個經濟實用的安全解決方案，所以，越來越多的重要網絡應用 ( 如 CRM 和企業(yè)內聯網 ) 都開始采用 SSL 數字證書(SSL證書) 。

許多公司開始或將要開始安裝 VPN 系統(tǒng) ( 虛擬內部網 ) ，方便遠程用戶通過互聯網訪問企業(yè)內部

的重要的數據庫系統(tǒng)，這是一個非常好的遠程聯網和遠程訪問解決方案，但千萬不要只是使用簡單的口令驗證，應該在部署 VPN 時使用 SSL 數字證書(SSL證書) 來實現身份驗證和數據傳輸加密。

時間同步動態(tài)口令系統(tǒng) (tokens) 是一種能夠動態(tài)產生一串數字可用做口令的小裝置來實現用戶訪問身份認證，但此裝置太貴，而且容易丟失或急用時沒電了，使用者還有可能會不按規(guī)定轉借給其他人使用。 建議 ：使用 SSL 數字證書(SSL證書) 來替換脆弱的靜態(tài)口令密碼驗證手段和昂貴的時間同步動態(tài)口令系統(tǒng)，此解決方案比前者更加安全，比后者便宜許多，同時非常容易部署。

第 5 ：建立一個有效的內部公鑰管理系統(tǒng) (PKI) 是一個費時費錢的事情

公鑰管理系統(tǒng) (PKI) 是一個確保在線業(yè)務安全的最重要的不可缺少的工具，如果沒有一套頒發(fā)、吊銷、續(xù)期等管理數字證書的手段，則企業(yè)不可能部署一個安全的內聯網和外聯網，特別是對于一個有許多分支機構和移動辦公員工的大型機構來講。同時，如果不能實現安全的訪問，企業(yè)員工也無法隨時隨地訪問企業(yè)的核心數據系統(tǒng)，用戶也不可能放心地從事網上交易?，F在，許多企業(yè)已經充分認識到電子郵件和即時通信的不安全性，加強電子郵件的管理和禁止使用即時通信，也正在尋求安全通信解決方案。

PKI 系統(tǒng)理論上是非常成熟的技術，但是實際實施時需要復雜的硬件和軟件系統(tǒng)，還需要專業(yè)的懂得 PKI 理論的 IT 人才，需要專業(yè)的專用的系統(tǒng)來保護其安全，這無疑會是一大筆投資。但是，現在您可以無需以上投資，而是把 PKI 系統(tǒng)外包給可信任的專業(yè)的第三方 CA( 認證中心 ) 來根據企業(yè)的需要來管理、維護企業(yè)自己的 PKI 系統(tǒng)，外包的 PKI 系統(tǒng) ( 企業(yè) CA) 可以讓企業(yè)方便地使用瀏覽器來根據自己的業(yè)務需要在線頒發(fā)自己所需要的服務器 SSL 數字證書(SSL證書) 和客戶端數字證書，已經有許多應用而且越來越多的應用都支持數字證書，如基于瀏覽器的應用、電子郵件系統(tǒng)和 VPN 系統(tǒng)等。

對于外包的 PKI 服務，有幾個因素要考慮：是否提供靈活認證機制 ( 我怎么知道他 / 她是誰，又怎樣確認他 / 她就是他 / 她說的誰 ) ?是否提供方便的管理界面 ( 由誰來管理和控制整個過程 ) ?是否提供方便操作的用戶界面 ( 最終用戶如何申請自己的數字證書 ) ?

許多機構希望能把以下需求外包給一個可信任的第三方：安全訪問、安全通信和安全在線交易。安全訪問就是讓企業(yè)的員工能方便的在任何地方通過互聯網安全地訪問企業(yè)的內部網和內部機密數據 ( 如 CRM 、 ERP 和 OA 等 ) ，這對于全球性和全國性的大機構非常急需。安全通信，主要是指電子郵件和即時通信，需要提供一種安全機制來識別信息發(fā)送者的真實身份和確保信息的內容不會被竊取。而安全在線交易則要求把現在的基于紙質文件的手寫簽名方式變?yōu)闊o紙的數字簽名，同樣涉及到加密傳輸和身份認證問題。

建議： 最明智的選擇是購買 PKI 管理外包服務，讓可信任的第三方利用其現成的 PKI 系統(tǒng)來在線管理您企業(yè)的 PKI 系統(tǒng)，這樣，企業(yè)就可以專心做自己的業(yè)務，而不用購買和維護復雜的、昂貴的 PKI 系統(tǒng)。

第 6 ：只需要點擊一下鼠標，您的網站就可以被克隆假冒

SSL 對于敏感數據的加密是非常重要的，但請注意： SSL 不能證明一個網站的真實身份，這是“互聯網安全上的一個不可告人的小秘密”。瀏覽器下面有安全鎖標志只能證明從瀏覽器到正在訪問的服務器之間的數據傳輸是加密的和安全的，但并不等于您正在訪問的服務器就是您希望訪問的企業(yè)的服務器。為了保護企業(yè)和用戶的利益，企業(yè)應該為其企業(yè)網站申請網站身份認證，在網站的醒目位置顯示一個不可假冒的可信真實網站標志。對于企業(yè) ( 或機構 ) 來講，這就有效地預防了網站被假冒的可能，而對于用戶來講，有了可信標志，則讓用戶確信正在訪問的網站確實是他 / 她希望訪問的機構的網站，而用戶也不能僅僅憑網站上講它是哪個單位的網站就相信它就是哪個單位的網站。

不幸的是，目前幾乎所有的網站身份標志產品都不能真正證明其合法身份，因為這類標志 ( 簽章 ) 是靜態(tài)圖片或 Flash 圖片，是非常容易連同網站一起被復制下來的。而目前只有 GeoTrust 全球獨家專利提供動態(tài)生成的與網站域名綁定的網站身份認證簽章，此認證簽章是不可復制的，是由嵌在網站上的一段代碼自動生成的，通不過認證就不會顯示認證簽章。

建議： 在企業(yè)網站上啟用一個醒目的可信任的標志讓網站訪問者非常容易確認您的網站的真實身份和信任網站所有者。

第 7 ：沒有可靠的物理安全和網絡安全，企業(yè)的機密數據是容易遭遇入侵的

網絡安全包括計算機系統(tǒng)安全和網絡訪問控制，以及入侵檢測和反擊。網絡不安全的危險是巨大的：盜賊、中斷服務、物理損壞、系統(tǒng)完整性損害和非授權的機密信息外泄等。而物理上的安全也非常重要，比如離開電腦鎖上屏幕、重要服務器的門禁制度以及進入敏感地區(qū)的指紋身份識別等。

防火墻是網絡安全中不可缺少的設施，它限制了從一個網絡到另一個網絡的訪問，監(jiān)視和限制所有通過網絡的各種行為，設置哪些 IP 地址和哪些端口的訪問權限。同時，建議不同的網絡區(qū)域和應用層部署不同的防火墻 ( 如 DMZ 區(qū)、 Web 服務器、應用服務器和數據庫服務器等 ) 。

入侵檢測系統(tǒng)實時檢測各種攻擊，分析和審計訪問日志，當有入侵時及時通知管理員，保護系統(tǒng)文件，分析和揭露黑客的伎倆，指出需要盡快解決的安全漏洞和跟蹤攻擊者的行蹤等。

另外，必須在每臺用戶電腦上安裝防病毒軟件來有效地防護越來越猖狂的病毒攻擊，特別要在電子郵件服務器上安裝防病毒軟件來防止通過電子郵件傳播的病毒。

最后，也是最重要的是確保所有系統(tǒng)及時升級和安裝安全補丁，黑客最了解微軟的 IIS Web 服務器的安全漏洞而最容易受到攻擊，雖然 IIS 的補丁可以免費下載，但還是有 30 以上的 IIS 沒有升級。再重復一句：立刻升級和安裝安全補丁!

建議： 部署防火墻、入侵檢測、客戶端和服務器端的病毒檢測以及升級所有系統(tǒng)的補丁是抵御常規(guī)的安全威脅、保護機密數據和保持業(yè)務的正常運轉的有利措施。

第 8 ：利用 Modem 遠程訪問的風險

為了遠程維護方便，許多系統(tǒng)都允許通過 Modem 遠程訪問安全網絡的核心部分，但這實際上為黑客入侵開了一個后門，是最常見的入侵威脅之一，有許多黑客就是通過自動撥號器自動搜索可以通過 Modem 連接的內部網 ( 包括企業(yè)和政府系統(tǒng) ) ，這些黑客還經常能得逞。建議卸下 Modem 接入系統(tǒng)，建立一個 DMZ 區(qū) ( 能訪問互聯網但只能有限地訪問內部網 ) ，通過多重驗證的 VPN 方式遠程訪問 DMZ 區(qū)，再從 DMZ 區(qū)訪問核心部分，只要合理配置防火墻，是能有效地保證安全遠程訪問的。

建議： 為遠程訪問或產品測試服務專門設立一個 DMZ 區(qū)來降低網絡安全風險，這對于重要的正在正式提供服務的業(yè)務非常重要。

第 9 ：最薄弱的環(huán)節(jié)還是人的管理

安全不僅僅是部署各種軟硬件設備的問題，還涉及到人，人是一個機構的網絡安全和信息安全環(huán)節(jié)中最重要的部分，入侵者往往非常容易從安全管理中找到漏洞而成功，必須有明文規(guī)定各種網絡安全和信息安全管理制度，包括各種信息系統(tǒng)物理設施的訪問規(guī)則、信息系統(tǒng)和網絡系統(tǒng)的訪問規(guī)則以及公司電子郵件系統(tǒng)和上網管理等，并要求所有員工嚴格執(zhí)行。

應該明確列出哪些事情是允許的，哪些是不允許的，包括哪些人能登錄操作系統(tǒng)，哪些人能進入某個機房等。允許外來訪客使用會議室的網絡插口上網，也是經常的事，但殊不知此外來訪客可能就在您的內部網埋下了“木馬”，看似非常安全的內部網就埋下了一個安全威脅。

建議： 制訂網絡安全和信息安全管理規(guī)定，這也許是最容易忽略的，也很可能是這十大安全問題中最可怕的問題，趕緊把寫下來、與相關人員溝通并嚴格執(zhí)行。

第 10 ：“在網上沒有人知道你是一只狗”

“在網上沒有人知道你是一只狗”是來源于一個有名的紐約人的漫畫，現在已經被廣泛用于各個網站、演講、甚至印在 T 恤 衫上，這也反映出在互聯網上從事在線交易時的危險性。傳統(tǒng)標準的人與人之間面對面的身份驗證過程是對“暗號”或查驗身份證和對證件上的照片，而在網上從事業(yè)務時就沒有“暗號”可對，也沒法查驗身份證和對證件上的照片。

一般的做法 ( 如網上銀行 ) 是要求用戶先網上注冊再提交身份證明文件人工驗證，這種做法還是離不開人工處理。如果用戶擁有權威第三方頒發(fā)的單位數字證書，則在處理在線業(yè)務時就可以根據用戶的單位數字證書確定其真實身份，從而自動核對他 / 她是否就是說他 / 她聲稱的他 / 她是誰了。

本文由：代碼簽名證書 http://verisign.itrus.com.cn/ 整理