企業(yè)信息安全指南 — 您必須了解的十大安全問題在今天的全球經(jīng)濟一體化背景下，各種商業(yè)活動已經(jīng)越來越依賴于互聯(lián)網(wǎng)，企業(yè)利用互聯(lián)網(wǎng)從事電子商務(wù)網(wǎng)上交易，把企業(yè)網(wǎng)絡(luò)資源向供應(yīng)商、商業(yè)伙伴、客戶和遠程移動辦公

企業(yè)信息安全指南 — 您必須了解的十大安全問題

在今天的全球經(jīng)濟一體化背景下，各種商業(yè)活動已經(jīng)越來越依賴于互聯(lián)網(wǎng)，企業(yè)利用互聯(lián)網(wǎng)從事電子商務(wù)網(wǎng)上交易，把企業(yè)網(wǎng)絡(luò)資源向供應(yīng)商、商業(yè)伙伴、客戶和遠程移動辦公的員工開放訪問。雖然這樣的網(wǎng)上交易和網(wǎng)絡(luò)通信越來越方便，但是也帶來了各種數(shù)據(jù)交換和通信的安全隱患，如何面對這些安全威脅和如何維護一個安全的、可信任的在線應(yīng)用環(huán)境對任何大小的企業(yè)來講都是一個必須面對的挑戰(zhàn)。

本文總結(jié)了企業(yè)必須關(guān)注的最重要的 10 個安全問題及其問題解決指南，以幫助企業(yè)創(chuàng)建一個連接內(nèi)網(wǎng)和外網(wǎng)的在線安全可信的企業(yè)網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)。當然，本指南并非沒有包羅所有安全問題，主要關(guān)注了企業(yè)必須解決的核心問題 — 企業(yè)不僅要在服務(wù)器端部署 SSL 數(shù)字證書(SSL證書) ，而且還要在客戶端部署數(shù)字證書，從而構(gòu)成一個完整的、可信的、安全的、連接企業(yè)內(nèi)外網(wǎng)的電子商務(wù)數(shù)據(jù)交換應(yīng)用鏈路。 第 1 ：沒有 SSL 數(shù)據(jù)加密就不可能保證數(shù)據(jù)的完整性

SSL 加密是目前最領(lǐng)先的最廣泛應(yīng)用的加密技術(shù)來確保 Web 服務(wù)器、內(nèi)聯(lián)網(wǎng) (Intranet) 、外聯(lián)網(wǎng) (Extranet) 和其他基于服務(wù)器的所有應(yīng)用。如果沒有 SSL ，則無論是通過公網(wǎng)還是私網(wǎng)傳輸，其傳輸?shù)臄?shù)據(jù)完整性是沒有保證的，因為您無法控制在整個傳輸鏈路上的每個環(huán)節(jié)，導(dǎo)致最終會影響業(yè)務(wù)的正常運轉(zhuǎn)。而有了 SSL 就能保證您的數(shù)據(jù)在從客戶端到服務(wù)器的整個傳輸過程中的是加密傳輸?shù)?，是不可能被篡改和被泄露的?/p>

最近幾年來，人們越來越認識到 SSL 加密技術(shù)的重要用途，越來越多的用戶在輸入機密信息時會檢查瀏覽器下面是否有“安全鎖”標志，而全球上百萬個網(wǎng)站已經(jīng)部署了 SSL 數(shù)字證書(SSL證書) 來保證服務(wù)器到瀏覽器之間的數(shù)據(jù)傳輸安全。幾乎所有的服務(wù)器端軟件和瀏覽器都支持 SSL ，這樣使得企業(yè)部署 SSL 就只需簡單的在服務(wù)器安裝 SSL 數(shù)字證書(SSL證書) 了。一旦部署了 SSL 數(shù)字證書(SSL證書) ，則瀏覽器和服務(wù)器之間就建立了一個安全通道，所有從客戶端瀏覽器到服務(wù)器之間的數(shù)據(jù)傳輸是加密傳輸?shù)?，從而有效地防止了任何危害?shù)據(jù)安全和數(shù)據(jù)完整性的非法竊聽行為。

建議 ：企業(yè)應(yīng)該對所有服務(wù)器或部分重要服務(wù)器部署 SSL 數(shù)字證書(SSL證書) 來保護任何從瀏覽器到服務(wù)器之間傳輸?shù)娜魏螜C密信息和個人重要信息。

第 2 ：免費黑客軟件可以在 30 分鐘內(nèi)破解您的口令

現(xiàn)在幾乎所有網(wǎng)上應(yīng)用都依賴于口令密碼，但口令密碼已經(jīng)變得越來越脆弱，使得您的系統(tǒng)也越來越容易受到攻擊。所以，加強各種密碼口令使用管理也就變得越來越重要。

現(xiàn)在計算機的計算能力越來越強，使得破解口令密碼變得越來越容易，同時，由于各種重要的應(yīng)用都已經(jīng)網(wǎng)絡(luò)化，這使得破解口令密碼的收獲和誘惑力也越來越大。現(xiàn)在，已經(jīng)非常容易地在互聯(lián)網(wǎng)上找到和下載一個口令密碼破解軟件，使得 6 位數(shù)的密碼只需 30 分鐘就可以破解，而 8 位數(shù)的密碼也只需要 6 個小時。

所以，您應(yīng)該立刻制訂口令密碼管理規(guī)則，如使用大小寫混合、加上數(shù)字和標點符號、不要使用您的個人信息、至少 8 位以上的長度以及經(jīng)常修改密碼等。最重要的是，您的應(yīng)用程序應(yīng)該有如下密碼安全機制：凡是連續(xù)輸入密碼 3-5 次都無效的應(yīng)該終止用戶使用，這樣就可以有效地防止惡意使用窮舉法破解。建議系統(tǒng)管理員使用密碼破解軟件來發(fā)現(xiàn)脆弱的密碼。

建議： 最安全的解決方案是使用客戶端數(shù)字證書來替代簡單的口令密碼驗證機制，客戶端數(shù)字證書能確保您的關(guān)鍵應(yīng)用的安全性。

第 3 ：電子郵件正在泄露您的商業(yè)機密

安全通信 ( 目前主要指電子郵件，當然也適合于即時通信、 V oIP 等等 ) 是指確保只有應(yīng)該閱讀此信息的接收者才能看到此信息，而電子郵件在企業(yè)通信中越來越重要，使得電子郵件的保密管理也越來越重要，因為電子郵件從用戶的電腦發(fā)出到接收者的電子郵件服務(wù)器是經(jīng)過公網(wǎng)以明文文本方式傳輸?shù)模彩窃卩]件傳輸過程中經(jīng)過的任何環(huán)節(jié) ( 服務(wù)器、路由器及其他網(wǎng)絡(luò)設(shè)備 ) 都有可能、也都可以得到您的郵件明文信息，而且?guī)缀跛朽]件系統(tǒng)都允許接收者把收到的電子郵件轉(zhuǎn)發(fā)給任何第三方而沒有任何審計。 但是，只要您的員工擁有單位數(shù)字證書，員工之間相互交換數(shù)字證書信息，員工之間的電子郵件就可以簽名和加密，這樣就可以確保員工之間交換的機密信息不會被篡改和被非法竊取，對于通過電子郵件發(fā)送機密信息的企業(yè)應(yīng)該采取此措施。此外，即時通信 (IM) 已經(jīng)在企業(yè)獲得了廣泛應(yīng)用，但同樣應(yīng)該使用安全加密的方式使用即時通信服務(wù)，否則通過即時通信傳輸?shù)臋C密信息會非常容易被竊取的。

建議 ：為企業(yè)員工頒發(fā)單位數(shù)字證書來為電子郵件簽名和加密以保護企業(yè)的重要商業(yè)機密，從而確保企業(yè)通信的機密性、確定性和信任性。

第 4 ：傳統(tǒng)的安全訪問控制解決方案不僅無效而且投資大

SSL 支持兩端 ( 服務(wù)器端和客戶端 ) 的身份認證，當服務(wù)器裝有 SSL 數(shù)字證書(SSL證書) 時，表明服務(wù)器是通過驗證的 ( 此服務(wù)器的域名所有者申請了 SSL 數(shù)字證書(SSL證書) 并獲得有效頒發(fā) ) ; 而客戶端 ( 瀏覽器 ) 則驗證此證書的域名與服務(wù)器域名是匹配的、是有效的、是由信任的機構(gòu)頒發(fā)的。當客戶端也使用 SSL 數(shù)字證書(SSL證書) 訪問服務(wù)器時，表明此客戶端也是通過驗證的 ( 使用此電腦的人是已經(jīng)通過身份認證而獲得數(shù)字證書的 ) ，客戶端數(shù)字證書可以嵌在任何客戶端軟件中 ( 包括瀏覽器、 Outlook 等 ) 來代替簡單的密碼驗證 ( 當然，可以同時也有密碼驗證 ) 來獲得服務(wù)器的授權(quán)訪問。

使用客戶端數(shù)字證書要比簡單的口令密碼驗證安全許多，因為一個人的數(shù)字證書是不可能被另一個人偽造的，即使安裝有數(shù)字證書的電腦被盜，仍然需要密碼來激活數(shù)字證書。而由于數(shù)字證書是一個經(jīng)濟實用的安全解決方案，所以，越來越多的重要網(wǎng)絡(luò)應(yīng)用 ( 如 CRM 和企業(yè)內(nèi)聯(lián)網(wǎng) ) 都開始采用 SSL 數(shù)字證書(SSL證書) 。

許多公司開始或?qū)⒁_始安裝 VPN 系統(tǒng) ( 虛擬內(nèi)部網(wǎng) ) ，方便遠程用戶通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部

的重要的數(shù)據(jù)庫系統(tǒng)，這是一個非常好的遠程聯(lián)網(wǎng)和遠程訪問解決方案，但千萬不要只是使用簡單的口令驗證，應(yīng)該在部署 VPN 時使用 SSL 數(shù)字證書(SSL證書) 來實現(xiàn)身份驗證和數(shù)據(jù)傳輸加密。

時間同步動態(tài)口令系統(tǒng) (tokens) 是一種能夠動態(tài)產(chǎn)生一串數(shù)字可用做口令的小裝置來實現(xiàn)用戶訪問身份認證，但此裝置太貴，而且容易丟失或急用時沒電了，使用者還有可能會不按規(guī)定轉(zhuǎn)借給其他人使用。 建議 ：使用 SSL 數(shù)字證書(SSL證書) 來替換脆弱的靜態(tài)口令密碼驗證手段和昂貴的時間同步動態(tài)口令系統(tǒng)，此解決方案比前者更加安全，比后者便宜許多，同時非常容易部署。

第 5 ：建立一個有效的內(nèi)部公鑰管理系統(tǒng) (PKI) 是一個費時費錢的事情

公鑰管理系統(tǒng) (PKI) 是一個確保在線業(yè)務(wù)安全的最重要的不可缺少的工具，如果沒有一套頒發(fā)、吊銷、續(xù)期等管理數(shù)字證書的手段，則企業(yè)不可能部署一個安全的內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)，特別是對于一個有許多分支機構(gòu)和移動辦公員工的大型機構(gòu)來講。同時，如果不能實現(xiàn)安全的訪問，企業(yè)員工也無法隨時隨地訪問企業(yè)的核心數(shù)據(jù)系統(tǒng)，用戶也不可能放心地從事網(wǎng)上交易?，F(xiàn)在，許多企業(yè)已經(jīng)充分認識到電子郵件和即時通信的不安全性，加強電子郵件的管理和禁止使用即時通信，也正在尋求安全通信解決方案。

PKI 系統(tǒng)理論上是非常成熟的技術(shù)，但是實際實施時需要復(fù)雜的硬件和軟件系統(tǒng)，還需要專業(yè)的懂得 PKI 理論的 IT 人才，需要專業(yè)的專用的系統(tǒng)來保護其安全，這無疑會是一大筆投資。但是，現(xiàn)在您可以無需以上投資，而是把 PKI 系統(tǒng)外包給可信任的專業(yè)的第三方 CA( 認證中心 ) 來根據(jù)企業(yè)的需要來管理、維護企業(yè)自己的 PKI 系統(tǒng)，外包的 PKI 系統(tǒng) ( 企業(yè) CA) 可以讓企業(yè)方便地使用瀏覽器來根據(jù)自己的業(yè)務(wù)需要在線頒發(fā)自己所需要的服務(wù)器 SSL 數(shù)字證書(SSL證書) 和客戶端數(shù)字證書，已經(jīng)有許多應(yīng)用而且越來越多的應(yīng)用都支持數(shù)字證書，如基于瀏覽器的應(yīng)用、電子郵件系統(tǒng)和 VPN 系統(tǒng)等。

對于外包的 PKI 服務(wù)，有幾個因素要考慮：是否提供靈活認證機制 ( 我怎么知道他 / 她是誰，又怎樣確認他 / 她就是他 / 她說的誰 ) ?是否提供方便的管理界面 ( 由誰來管理和控制整個過程 ) ?是否提供方便操作的用戶界面 ( 最終用戶如何申請自己的數(shù)字證書 ) ?

許多機構(gòu)希望能把以下需求外包給一個可信任的第三方：安全訪問、安全通信和安全在線交易。安全訪問就是讓企業(yè)的員工能方便的在任何地方通過互聯(lián)網(wǎng)安全地訪問企業(yè)的內(nèi)部網(wǎng)和內(nèi)部機密數(shù)據(jù) ( 如 CRM 、 ERP 和 OA 等 ) ，這對于全球性和全國性的大機構(gòu)非常急需。安全通信，主要是指電子郵件和即時通信，需要提供一種安全機制來識別信息發(fā)送者的真實身份和確保信息的內(nèi)容不會被竊取。而安全在線交易則要求把現(xiàn)在的基于紙質(zhì)文件的手寫簽名方式變?yōu)闊o紙的數(shù)字簽名，同樣涉及到加密傳輸和身份認證問題。

建議： 最明智的選擇是購買 PKI 管理外包服務(wù)，讓可信任的第三方利用其現(xiàn)成的 PKI 系統(tǒng)來在線管理您企業(yè)的 PKI 系統(tǒng)，這樣，企業(yè)就可以專心做自己的業(yè)務(wù)，而不用購買和維護復(fù)雜的、昂貴的 PKI 系統(tǒng)。

第 6 ：只需要點擊一下鼠標，您的網(wǎng)站就可以被克隆假冒

SSL 對于敏感數(shù)據(jù)的加密是非常重要的，但請注意： SSL 不能證明一個網(wǎng)站的真實身份，這是“互聯(lián)網(wǎng)安全上的一個不可告人的小秘密”。瀏覽器下面有安全鎖標志只能證明從瀏覽器到正在訪問的服務(wù)器之間的數(shù)據(jù)傳輸是加密的和安全的，但并不等于您正在訪問的服務(wù)器就是您希望訪問的企業(yè)的服務(wù)器。為了保護企業(yè)和用戶的利益，企業(yè)應(yīng)該為其企業(yè)網(wǎng)站申請網(wǎng)站身份認證，在網(wǎng)站的醒目位置顯示一個不可假冒的可信真實網(wǎng)站標志。對于企業(yè) ( 或機構(gòu) ) 來講，這就有效地預(yù)防了網(wǎng)站被假冒的可能，而對于用戶來講，有了可信標志，則讓用戶確信正在訪問的網(wǎng)站確實是他 / 她希望訪問的機構(gòu)的網(wǎng)站，而用戶也不能僅僅憑網(wǎng)站上講它是哪個單位的網(wǎng)站就相信它就是哪個單位的網(wǎng)站。

不幸的是，目前幾乎所有的網(wǎng)站身份標志產(chǎn)品都不能真正證明其合法身份，因為這類標志 ( 簽章 ) 是靜態(tài)圖片或 Flash 圖片，是非常容易連同網(wǎng)站一起被復(fù)制下來的。而目前只有 GeoTrust 全球獨家專利提供動態(tài)生成的與網(wǎng)站域名綁定的網(wǎng)站身份認證簽章，此認證簽章是不可復(fù)制的，是由嵌在網(wǎng)站上的一段代碼自動生成的，通不過認證就不會顯示認證簽章。

建議： 在企業(yè)網(wǎng)站上啟用一個醒目的可信任的標志讓網(wǎng)站訪問者非常容易確認您的網(wǎng)站的真實身份和信任網(wǎng)站所有者。

第 7 ：沒有可靠的物理安全和網(wǎng)絡(luò)安全，企業(yè)的機密數(shù)據(jù)是容易遭遇入侵的

網(wǎng)絡(luò)安全包括計算機系統(tǒng)安全和網(wǎng)絡(luò)訪問控制，以及入侵檢測和反擊。網(wǎng)絡(luò)不安全的危險是巨大的：盜賊、中斷服務(wù)、物理損壞、系統(tǒng)完整性損害和非授權(quán)的機密信息外泄等。而物理上的安全也非常重要，比如離開電腦鎖上屏幕、重要服務(wù)器的門禁制度以及進入敏感地區(qū)的指紋身份識別等。

防火墻是網(wǎng)絡(luò)安全中不可缺少的設(shè)施，它限制了從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)的訪問，監(jiān)視和限制所有通過網(wǎng)絡(luò)的各種行為，設(shè)置哪些 IP 地址和哪些端口的訪問權(quán)限。同時，建議不同的網(wǎng)絡(luò)區(qū)域和應(yīng)用層部署不同的防火墻 ( 如 DMZ 區(qū)、 Web 服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等 ) 。

入侵檢測系統(tǒng)實時檢測各種攻擊，分析和審計訪問日志，當有入侵時及時通知管理員，保護系統(tǒng)文件，分析和揭露黑客的伎倆，指出需要盡快解決的安全漏洞和跟蹤攻擊者的行蹤等。

另外，必須在每臺用戶電腦上安裝防病毒軟件來有效地防護越來越猖狂的病毒攻擊，特別要在電子郵件服務(wù)器上安裝防病毒軟件來防止通過電子郵件傳播的病毒。

最后，也是最重要的是確保所有系統(tǒng)及時升級和安裝安全補丁，黑客最了解微軟的 IIS Web 服務(wù)器的安全漏洞而最容易受到攻擊，雖然 IIS 的補丁可以免費下載，但還是有 30 以上的 IIS 沒有升級。再重復(fù)一句：立刻升級和安裝安全補丁!

建議： 部署防火墻、入侵檢測、客戶端和服務(wù)器端的病毒檢測以及升級所有系統(tǒng)的補丁是抵御常規(guī)的安全威脅、保護機密數(shù)據(jù)和保持業(yè)務(wù)的正常運轉(zhuǎn)的有利措施。

第 8 ：利用 Modem 遠程訪問的風(fēng)險

為了遠程維護方便，許多系統(tǒng)都允許通過 Modem 遠程訪問安全網(wǎng)絡(luò)的核心部分，但這實際上為黑客入侵開了一個后門，是最常見的入侵威脅之一，有許多黑客就是通過自動撥號器自動搜索可以通過 Modem 連接的內(nèi)部網(wǎng) ( 包括企業(yè)和政府系統(tǒng) ) ，這些黑客還經(jīng)常能得逞。建議卸下 Modem 接入系統(tǒng)，建立一個 DMZ 區(qū) ( 能訪問互聯(lián)網(wǎng)但只能有限地訪問內(nèi)部網(wǎng) ) ，通過多重驗證的 VPN 方式遠程訪問 DMZ 區(qū)，再從 DMZ 區(qū)訪問核心部分，只要合理配置防火墻，是能有效地保證安全遠程訪問的。

建議： 為遠程訪問或產(chǎn)品測試服務(wù)專門設(shè)立一個 DMZ 區(qū)來降低網(wǎng)絡(luò)安全風(fēng)險，這對于重要的正在正式提供服務(wù)的業(yè)務(wù)非常重要。

第 9 ：最薄弱的環(huán)節(jié)還是人的管理

安全不僅僅是部署各種軟硬件設(shè)備的問題，還涉及到人，人是一個機構(gòu)的網(wǎng)絡(luò)安全和信息安全環(huán)節(jié)中最重要的部分，入侵者往往非常容易從安全管理中找到漏洞而成功，必須有明文規(guī)定各種網(wǎng)絡(luò)安全和信息安全管理制度，包括各種信息系統(tǒng)物理設(shè)施的訪問規(guī)則、信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的訪問規(guī)則以及公司電子郵件系統(tǒng)和上網(wǎng)管理等，并要求所有員工嚴格執(zhí)行。

應(yīng)該明確列出哪些事情是允許的，哪些是不允許的，包括哪些人能登錄操作系統(tǒng)，哪些人能進入某個機房等。允許外來訪客使用會議室的網(wǎng)絡(luò)插口上網(wǎng)，也是經(jīng)常的事，但殊不知此外來訪客可能就在您的內(nèi)部網(wǎng)埋下了“木馬”，看似非常安全的內(nèi)部網(wǎng)就埋下了一個安全威脅。

建議： 制訂網(wǎng)絡(luò)安全和信息安全管理規(guī)定，這也許是最容易忽略的，也很可能是這十大安全問題中最可怕的問題，趕緊把寫下來、與相關(guān)人員溝通并嚴格執(zhí)行。

第 10 ：“在網(wǎng)上沒有人知道你是一只狗”

“在網(wǎng)上沒有人知道你是一只狗”是來源于一個有名的紐約人的漫畫，現(xiàn)在已經(jīng)被廣泛用于各個網(wǎng)站、演講、甚至印在 T 恤 衫上，這也反映出在互聯(lián)網(wǎng)上從事在線交易時的危險性。傳統(tǒng)標準的人與人之間面對面的身份驗證過程是對“暗號”或查驗身份證和對證件上的照片，而在網(wǎng)上從事業(yè)務(wù)時就沒有“暗號”可對，也沒法查驗身份證和對證件上的照片。

一般的做法 ( 如網(wǎng)上銀行 ) 是要求用戶先網(wǎng)上注冊再提交身份證明文件人工驗證，這種做法還是離不開人工處理。如果用戶擁有權(quán)威第三方頒發(fā)的單位數(shù)字證書，則在處理在線業(yè)務(wù)時就可以根據(jù)用戶的單位數(shù)字證書確定其真實身份，從而自動核對他 / 她是否就是說他 / 她聲稱的他 / 她是誰了。

本文由：代碼簽名證書 http://verisign.itrus.com.cn/ 整理