企業(yè)信息安全指南 — 您必須了解的十大安全問(wèn)題在今天的全球經(jīng)濟(jì)一體化背景下，各種商業(yè)活動(dòng)已經(jīng)越來(lái)越依賴于互聯(lián)網(wǎng)，企業(yè)利用互聯(lián)網(wǎng)從事電子商務(wù)網(wǎng)上交易，把企業(yè)網(wǎng)絡(luò)資源向供應(yīng)商、商業(yè)伙伴、客戶和遠(yuǎn)程移動(dòng)辦公

企業(yè)信息安全指南 — 您必須了解的十大安全問(wèn)題

在今天的全球經(jīng)濟(jì)一體化背景下，各種商業(yè)活動(dòng)已經(jīng)越來(lái)越依賴于互聯(lián)網(wǎng)，企業(yè)利用互聯(lián)網(wǎng)從事電子商務(wù)網(wǎng)上交易，把企業(yè)網(wǎng)絡(luò)資源向供應(yīng)商、商業(yè)伙伴、客戶和遠(yuǎn)程移動(dòng)辦公的員工開(kāi)放訪問(wèn)。雖然這樣的網(wǎng)上交易和網(wǎng)絡(luò)通信越來(lái)越方便，但是也帶來(lái)了各種數(shù)據(jù)交換和通信的安全隱患，如何面對(duì)這些安全威脅和如何維護(hù)一個(gè)安全的、可信任的在線應(yīng)用環(huán)境對(duì)任何大小的企業(yè)來(lái)講都是一個(gè)必須面對(duì)的挑戰(zhàn)。

本文總結(jié)了企業(yè)必須關(guān)注的最重要的 10 個(gè)安全問(wèn)題及其問(wèn)題解決指南，以幫助企業(yè)創(chuàng)建一個(gè)連接內(nèi)網(wǎng)和外網(wǎng)的在線安全可信的企業(yè)網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)。當(dāng)然，本指南并非沒(méi)有包羅所有安全問(wèn)題，主要關(guān)注了企業(yè)必須解決的核心問(wèn)題 — 企業(yè)不僅要在服務(wù)器端部署 SSL 數(shù)字證書(shū)(SSL證書(shū)) ，而且還要在客戶端部署數(shù)字證書(shū)，從而構(gòu)成一個(gè)完整的、可信的、安全的、連接企業(yè)內(nèi)外網(wǎng)的電子商務(wù)數(shù)據(jù)交換應(yīng)用鏈路。 第 1 ：沒(méi)有 SSL 數(shù)據(jù)加密就不可能保證數(shù)據(jù)的完整性

SSL 加密是目前最領(lǐng)先的最廣泛應(yīng)用的加密技術(shù)來(lái)確保 Web 服務(wù)器、內(nèi)聯(lián)網(wǎng) (Intranet) 、外聯(lián)網(wǎng) (Extranet) 和其他基于服務(wù)器的所有應(yīng)用。如果沒(méi)有 SSL ，則無(wú)論是通過(guò)公網(wǎng)還是私網(wǎng)傳輸，其傳輸?shù)臄?shù)據(jù)完整性是沒(méi)有保證的，因?yàn)槟鸁o(wú)法控制在整個(gè)傳輸鏈路上的每個(gè)環(huán)節(jié)，導(dǎo)致最終會(huì)影響業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。而有了 SSL 就能保證您的數(shù)據(jù)在從客戶端到服務(wù)器的整個(gè)傳輸過(guò)程中的是加密傳輸?shù)?，是不可能被篡改和被泄露的?/p>

最近幾年來(lái)，人們?cè)絹?lái)越認(rèn)識(shí)到 SSL 加密技術(shù)的重要用途，越來(lái)越多的用戶在輸入機(jī)密信息時(shí)會(huì)檢查瀏覽器下面是否有“安全鎖”標(biāo)志，而全球上百萬(wàn)個(gè)網(wǎng)站已經(jīng)部署了 SSL 數(shù)字證書(shū)(SSL證書(shū)) 來(lái)保證服務(wù)器到瀏覽器之間的數(shù)據(jù)傳輸安全。幾乎所有的服務(wù)器端軟件和瀏覽器都支持 SSL ，這樣使得企業(yè)部署 SSL 就只需簡(jiǎn)單的在服務(wù)器安裝 SSL 數(shù)字證書(shū)(SSL證書(shū)) 了。一旦部署了 SSL 數(shù)字證書(shū)(SSL證書(shū)) ，則瀏覽器和服務(wù)器之間就建立了一個(gè)安全通道，所有從客戶端瀏覽器到服務(wù)器之間的數(shù)據(jù)傳輸是加密傳輸?shù)?，從而有效地防止了任何危害?shù)據(jù)安全和數(shù)據(jù)完整性的非法竊聽(tīng)行為。

建議 ：企業(yè)應(yīng)該對(duì)所有服務(wù)器或部分重要服務(wù)器部署 SSL 數(shù)字證書(shū)(SSL證書(shū)) 來(lái)保護(hù)任何從瀏覽器到服務(wù)器之間傳輸?shù)娜魏螜C(jī)密信息和個(gè)人重要信息。

第 2 ：免費(fèi)黑客軟件可以在 30 分鐘內(nèi)破解您的口令

現(xiàn)在幾乎所有網(wǎng)上應(yīng)用都依賴于口令密碼，但口令密碼已經(jīng)變得越來(lái)越脆弱，使得您的系統(tǒng)也越來(lái)越容易受到攻擊。所以，加強(qiáng)各種密碼口令使用管理也就變得越來(lái)越重要。

現(xiàn)在計(jì)算機(jī)的計(jì)算能力越來(lái)越強(qiáng)，使得破解口令密碼變得越來(lái)越容易，同時(shí)，由于各種重要的應(yīng)用都已經(jīng)網(wǎng)絡(luò)化，這使得破解口令密碼的收獲和誘惑力也越來(lái)越大。現(xiàn)在，已經(jīng)非常容易地在互聯(lián)網(wǎng)上找到和下載一個(gè)口令密碼破解軟件，使得 6 位數(shù)的密碼只需 30 分鐘就可以破解，而 8 位數(shù)的密碼也只需要 6 個(gè)小時(shí)。

所以，您應(yīng)該立刻制訂口令密碼管理規(guī)則，如使用大小寫(xiě)混合、加上數(shù)字和標(biāo)點(diǎn)符號(hào)、不要使用您的個(gè)人信息、至少 8 位以上的長(zhǎng)度以及經(jīng)常修改密碼等。最重要的是，您的應(yīng)用程序應(yīng)該有如下密碼安全機(jī)制：凡是連續(xù)輸入密碼 3-5 次都無(wú)效的應(yīng)該終止用戶使用，這樣就可以有效地防止惡意使用窮舉法破解。建議系統(tǒng)管理員使用密碼破解軟件來(lái)發(fā)現(xiàn)脆弱的密碼。

建議： 最安全的解決方案是使用客戶端數(shù)字證書(shū)來(lái)替代簡(jiǎn)單的口令密碼驗(yàn)證機(jī)制，客戶端數(shù)字證書(shū)能確保您的關(guān)鍵應(yīng)用的安全性。

第 3 ：電子郵件正在泄露您的商業(yè)機(jī)密

安全通信 ( 目前主要指電子郵件，當(dāng)然也適合于即時(shí)通信、 V oIP 等等 ) 是指確保只有應(yīng)該閱讀此信息的接收者才能看到此信息，而電子郵件在企業(yè)通信中越來(lái)越重要，使得電子郵件的保密管理也越來(lái)越重要，因?yàn)殡娮余]件從用戶的電腦發(fā)出到接收者的電子郵件服務(wù)器是經(jīng)過(guò)公網(wǎng)以明文文本方式傳輸?shù)模彩窃卩]件傳輸過(guò)程中經(jīng)過(guò)的任何環(huán)節(jié) ( 服務(wù)器、路由器及其他網(wǎng)絡(luò)設(shè)備 ) 都有可能、也都可以得到您的郵件明文信息，而且?guī)缀跛朽]件系統(tǒng)都允許接收者把收到的電子郵件轉(zhuǎn)發(fā)給任何第三方而沒(méi)有任何審計(jì)。 但是，只要您的員工擁有單位數(shù)字證書(shū)，員工之間相互交換數(shù)字證書(shū)信息，員工之間的電子郵件就可以簽名和加密，這樣就可以確保員工之間交換的機(jī)密信息不會(huì)被篡改和被非法竊取，對(duì)于通過(guò)電子郵件發(fā)送機(jī)密信息的企業(yè)應(yīng)該采取此措施。此外，即時(shí)通信 (IM) 已經(jīng)在企業(yè)獲得了廣泛應(yīng)用，但同樣應(yīng)該使用安全加密的方式使用即時(shí)通信服務(wù)，否則通過(guò)即時(shí)通信傳輸?shù)臋C(jī)密信息會(huì)非常容易被竊取的。

建議 ：為企業(yè)員工頒發(fā)單位數(shù)字證書(shū)來(lái)為電子郵件簽名和加密以保護(hù)企業(yè)的重要商業(yè)機(jī)密，從而確保企業(yè)通信的機(jī)密性、確定性和信任性。

第 4 ：傳統(tǒng)的安全訪問(wèn)控制解決方案不僅無(wú)效而且投資大

SSL 支持兩端 ( 服務(wù)器端和客戶端 ) 的身份認(rèn)證，當(dāng)服務(wù)器裝有 SSL 數(shù)字證書(shū)(SSL證書(shū)) 時(shí)，表明服務(wù)器是通過(guò)驗(yàn)證的 ( 此服務(wù)器的域名所有者申請(qǐng)了 SSL 數(shù)字證書(shū)(SSL證書(shū)) 并獲得有效頒發(fā) ) ; 而客戶端 ( 瀏覽器 ) 則驗(yàn)證此證書(shū)的域名與服務(wù)器域名是匹配的、是有效的、是由信任的機(jī)構(gòu)頒發(fā)的。當(dāng)客戶端也使用 SSL 數(shù)字證書(shū)(SSL證書(shū)) 訪問(wèn)服務(wù)器時(shí)，表明此客戶端也是通過(guò)驗(yàn)證的 ( 使用此電腦的人是已經(jīng)通過(guò)身份認(rèn)證而獲得數(shù)字證書(shū)的 ) ，客戶端數(shù)字證書(shū)可以嵌在任何客戶端軟件中 ( 包括瀏覽器、 Outlook 等 ) 來(lái)代替簡(jiǎn)單的密碼驗(yàn)證 ( 當(dāng)然，可以同時(shí)也有密碼驗(yàn)證 ) 來(lái)獲得服務(wù)器的授權(quán)訪問(wèn)。

使用客戶端數(shù)字證書(shū)要比簡(jiǎn)單的口令密碼驗(yàn)證安全許多，因?yàn)橐粋€(gè)人的數(shù)字證書(shū)是不可能被另一個(gè)人偽造的，即使安裝有數(shù)字證書(shū)的電腦被盜，仍然需要密碼來(lái)激活數(shù)字證書(shū)。而由于數(shù)字證書(shū)是一個(gè)經(jīng)濟(jì)實(shí)用的安全解決方案，所以，越來(lái)越多的重要網(wǎng)絡(luò)應(yīng)用 ( 如 CRM 和企業(yè)內(nèi)聯(lián)網(wǎng) ) 都開(kāi)始采用 SSL 數(shù)字證書(shū)(SSL證書(shū)) 。

許多公司開(kāi)始或?qū)⒁_(kāi)始安裝 VPN 系統(tǒng) ( 虛擬內(nèi)部網(wǎng) ) ，方便遠(yuǎn)程用戶通過(guò)互聯(lián)網(wǎng)訪問(wèn)企業(yè)內(nèi)部

的重要的數(shù)據(jù)庫(kù)系統(tǒng)，這是一個(gè)非常好的遠(yuǎn)程聯(lián)網(wǎng)和遠(yuǎn)程訪問(wèn)解決方案，但千萬(wàn)不要只是使用簡(jiǎn)單的口令驗(yàn)證，應(yīng)該在部署 VPN 時(shí)使用 SSL 數(shù)字證書(shū)(SSL證書(shū)) 來(lái)實(shí)現(xiàn)身份驗(yàn)證和數(shù)據(jù)傳輸加密。

時(shí)間同步動(dòng)態(tài)口令系統(tǒng) (tokens) 是一種能夠動(dòng)態(tài)產(chǎn)生一串?dāng)?shù)字可用做口令的小裝置來(lái)實(shí)現(xiàn)用戶訪問(wèn)身份認(rèn)證，但此裝置太貴，而且容易丟失或急用時(shí)沒(méi)電了，使用者還有可能會(huì)不按規(guī)定轉(zhuǎn)借給其他人使用。 建議 ：使用 SSL 數(shù)字證書(shū)(SSL證書(shū)) 來(lái)替換脆弱的靜態(tài)口令密碼驗(yàn)證手段和昂貴的時(shí)間同步動(dòng)態(tài)口令系統(tǒng)，此解決方案比前者更加安全，比后者便宜許多，同時(shí)非常容易部署。

第 5 ：建立一個(gè)有效的內(nèi)部公鑰管理系統(tǒng) (PKI) 是一個(gè)費(fèi)時(shí)費(fèi)錢(qián)的事情

公鑰管理系統(tǒng) (PKI) 是一個(gè)確保在線業(yè)務(wù)安全的最重要的不可缺少的工具，如果沒(méi)有一套頒發(fā)、吊銷(xiāo)、續(xù)期等管理數(shù)字證書(shū)的手段，則企業(yè)不可能部署一個(gè)安全的內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)，特別是對(duì)于一個(gè)有許多分支機(jī)構(gòu)和移動(dòng)辦公員工的大型機(jī)構(gòu)來(lái)講。同時(shí)，如果不能實(shí)現(xiàn)安全的訪問(wèn)，企業(yè)員工也無(wú)法隨時(shí)隨地訪問(wèn)企業(yè)的核心數(shù)據(jù)系統(tǒng)，用戶也不可能放心地從事網(wǎng)上交易?，F(xiàn)在，許多企業(yè)已經(jīng)充分認(rèn)識(shí)到電子郵件和即時(shí)通信的不安全性，加強(qiáng)電子郵件的管理和禁止使用即時(shí)通信，也正在尋求安全通信解決方案。

PKI 系統(tǒng)理論上是非常成熟的技術(shù)，但是實(shí)際實(shí)施時(shí)需要復(fù)雜的硬件和軟件系統(tǒng)，還需要專業(yè)的懂得 PKI 理論的 IT 人才，需要專業(yè)的專用的系統(tǒng)來(lái)保護(hù)其安全，這無(wú)疑會(huì)是一大筆投資。但是，現(xiàn)在您可以無(wú)需以上投資，而是把 PKI 系統(tǒng)外包給可信任的專業(yè)的第三方 CA( 認(rèn)證中心 ) 來(lái)根據(jù)企業(yè)的需要來(lái)管理、維護(hù)企業(yè)自己的 PKI 系統(tǒng)，外包的 PKI 系統(tǒng) ( 企業(yè) CA) 可以讓企業(yè)方便地使用瀏覽器來(lái)根據(jù)自己的業(yè)務(wù)需要在線頒發(fā)自己所需要的服務(wù)器 SSL 數(shù)字證書(shū)(SSL證書(shū)) 和客戶端數(shù)字證書(shū)，已經(jīng)有許多應(yīng)用而且越來(lái)越多的應(yīng)用都支持?jǐn)?shù)字證書(shū)，如基于瀏覽器的應(yīng)用、電子郵件系統(tǒng)和 VPN 系統(tǒng)等。

對(duì)于外包的 PKI 服務(wù)，有幾個(gè)因素要考慮：是否提供靈活認(rèn)證機(jī)制 ( 我怎么知道他 / 她是誰(shuí)，又怎樣確認(rèn)他 / 她就是他 / 她說(shuō)的誰(shuí) ) ?是否提供方便的管理界面 ( 由誰(shuí)來(lái)管理和控制整個(gè)過(guò)程 ) ?是否提供方便操作的用戶界面 ( 最終用戶如何申請(qǐng)自己的數(shù)字證書(shū) ) ?

許多機(jī)構(gòu)希望能把以下需求外包給一個(gè)可信任的第三方：安全訪問(wèn)、安全通信和安全在線交易。安全訪問(wèn)就是讓企業(yè)的員工能方便的在任何地方通過(guò)互聯(lián)網(wǎng)安全地訪問(wèn)企業(yè)的內(nèi)部網(wǎng)和內(nèi)部機(jī)密數(shù)據(jù) ( 如 CRM 、 ERP 和 OA 等 ) ，這對(duì)于全球性和全國(guó)性的大機(jī)構(gòu)非常急需。安全通信，主要是指電子郵件和即時(shí)通信，需要提供一種安全機(jī)制來(lái)識(shí)別信息發(fā)送者的真實(shí)身份和確保信息的內(nèi)容不會(huì)被竊取。而安全在線交易則要求把現(xiàn)在的基于紙質(zhì)文件的手寫(xiě)簽名方式變?yōu)闊o(wú)紙的數(shù)字簽名，同樣涉及到加密傳輸和身份認(rèn)證問(wèn)題。

建議： 最明智的選擇是購(gòu)買(mǎi) PKI 管理外包服務(wù)，讓可信任的第三方利用其現(xiàn)成的 PKI 系統(tǒng)來(lái)在線管理您企業(yè)的 PKI 系統(tǒng)，這樣，企業(yè)就可以專心做自己的業(yè)務(wù)，而不用購(gòu)買(mǎi)和維護(hù)復(fù)雜的、昂貴的 PKI 系統(tǒng)。

第 6 ：只需要點(diǎn)擊一下鼠標(biāo)，您的網(wǎng)站就可以被克隆假冒

SSL 對(duì)于敏感數(shù)據(jù)的加密是非常重要的，但請(qǐng)注意： SSL 不能證明一個(gè)網(wǎng)站的真實(shí)身份，這是“互聯(lián)網(wǎng)安全上的一個(gè)不可告人的小秘密”。瀏覽器下面有安全鎖標(biāo)志只能證明從瀏覽器到正在訪問(wèn)的服務(wù)器之間的數(shù)據(jù)傳輸是加密的和安全的，但并不等于您正在訪問(wèn)的服務(wù)器就是您希望訪問(wèn)的企業(yè)的服務(wù)器。為了保護(hù)企業(yè)和用戶的利益，企業(yè)應(yīng)該為其企業(yè)網(wǎng)站申請(qǐng)網(wǎng)站身份認(rèn)證，在網(wǎng)站的醒目位置顯示一個(gè)不可假冒的可信真實(shí)網(wǎng)站標(biāo)志。對(duì)于企業(yè) ( 或機(jī)構(gòu) ) 來(lái)講，這就有效地預(yù)防了網(wǎng)站被假冒的可能，而對(duì)于用戶來(lái)講，有了可信標(biāo)志，則讓用戶確信正在訪問(wèn)的網(wǎng)站確實(shí)是他 / 她希望訪問(wèn)的機(jī)構(gòu)的網(wǎng)站，而用戶也不能僅僅憑網(wǎng)站上講它是哪個(gè)單位的網(wǎng)站就相信它就是哪個(gè)單位的網(wǎng)站。

不幸的是，目前幾乎所有的網(wǎng)站身份標(biāo)志產(chǎn)品都不能真正證明其合法身份，因?yàn)檫@類標(biāo)志 ( 簽章 ) 是靜態(tài)圖片或 Flash 圖片，是非常容易連同網(wǎng)站一起被復(fù)制下來(lái)的。而目前只有 GeoTrust 全球獨(dú)家專利提供動(dòng)態(tài)生成的與網(wǎng)站域名綁定的網(wǎng)站身份認(rèn)證簽章，此認(rèn)證簽章是不可復(fù)制的，是由嵌在網(wǎng)站上的一段代碼自動(dòng)生成的，通不過(guò)認(rèn)證就不會(huì)顯示認(rèn)證簽章。

建議： 在企業(yè)網(wǎng)站上啟用一個(gè)醒目的可信任的標(biāo)志讓網(wǎng)站訪問(wèn)者非常容易確認(rèn)您的網(wǎng)站的真實(shí)身份和信任網(wǎng)站所有者。

第 7 ：沒(méi)有可靠的物理安全和網(wǎng)絡(luò)安全，企業(yè)的機(jī)密數(shù)據(jù)是容易遭遇入侵的

網(wǎng)絡(luò)安全包括計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)訪問(wèn)控制，以及入侵檢測(cè)和反擊。網(wǎng)絡(luò)不安全的危險(xiǎn)是巨大的：盜賊、中斷服務(wù)、物理?yè)p壞、系統(tǒng)完整性損害和非授權(quán)的機(jī)密信息外泄等。而物理上的安全也非常重要，比如離開(kāi)電腦鎖上屏幕、重要服務(wù)器的門(mén)禁制度以及進(jìn)入敏感地區(qū)的指紋身份識(shí)別等。

防火墻是網(wǎng)絡(luò)安全中不可缺少的設(shè)施，它限制了從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)的訪問(wèn)，監(jiān)視和限制所有通過(guò)網(wǎng)絡(luò)的各種行為，設(shè)置哪些 IP 地址和哪些端口的訪問(wèn)權(quán)限。同時(shí)，建議不同的網(wǎng)絡(luò)區(qū)域和應(yīng)用層部署不同的防火墻 ( 如 DMZ 區(qū)、 Web 服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等 ) 。

入侵檢測(cè)系統(tǒng)實(shí)時(shí)檢測(cè)各種攻擊，分析和審計(jì)訪問(wèn)日志，當(dāng)有入侵時(shí)及時(shí)通知管理員，保護(hù)系統(tǒng)文件，分析和揭露黑客的伎倆，指出需要盡快解決的安全漏洞和跟蹤攻擊者的行蹤等。

另外，必須在每臺(tái)用戶電腦上安裝防病毒軟件來(lái)有效地防護(hù)越來(lái)越猖狂的病毒攻擊，特別要在電子郵件服務(wù)器上安裝防病毒軟件來(lái)防止通過(guò)電子郵件傳播的病毒。

最后，也是最重要的是確保所有系統(tǒng)及時(shí)升級(jí)和安裝安全補(bǔ)丁，黑客最了解微軟的 IIS Web 服務(wù)器的安全漏洞而最容易受到攻擊，雖然 IIS 的補(bǔ)丁可以免費(fèi)下載，但還是有 30 以上的 IIS 沒(méi)有升級(jí)。再重復(fù)一句：立刻升級(jí)和安裝安全補(bǔ)丁!

建議： 部署防火墻、入侵檢測(cè)、客戶端和服務(wù)器端的病毒檢測(cè)以及升級(jí)所有系統(tǒng)的補(bǔ)丁是抵御常規(guī)的安全威脅、保護(hù)機(jī)密數(shù)據(jù)和保持業(yè)務(wù)的正常運(yùn)轉(zhuǎn)的有利措施。

第 8 ：利用 Modem 遠(yuǎn)程訪問(wèn)的風(fēng)險(xiǎn)

為了遠(yuǎn)程維護(hù)方便，許多系統(tǒng)都允許通過(guò) Modem 遠(yuǎn)程訪問(wèn)安全網(wǎng)絡(luò)的核心部分，但這實(shí)際上為黑客入侵開(kāi)了一個(gè)后門(mén)，是最常見(jiàn)的入侵威脅之一，有許多黑客就是通過(guò)自動(dòng)撥號(hào)器自動(dòng)搜索可以通過(guò) Modem 連接的內(nèi)部網(wǎng) ( 包括企業(yè)和政府系統(tǒng) ) ，這些黑客還經(jīng)常能得逞。建議卸下 Modem 接入系統(tǒng)，建立一個(gè) DMZ 區(qū) ( 能訪問(wèn)互聯(lián)網(wǎng)但只能有限地訪問(wèn)內(nèi)部網(wǎng) ) ，通過(guò)多重驗(yàn)證的 VPN 方式遠(yuǎn)程訪問(wèn) DMZ 區(qū)，再?gòu)?DMZ 區(qū)訪問(wèn)核心部分，只要合理配置防火墻，是能有效地保證安全遠(yuǎn)程訪問(wèn)的。

建議： 為遠(yuǎn)程訪問(wèn)或產(chǎn)品測(cè)試服務(wù)專門(mén)設(shè)立一個(gè) DMZ 區(qū)來(lái)降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，這對(duì)于重要的正在正式提供服務(wù)的業(yè)務(wù)非常重要。

第 9 ：最薄弱的環(huán)節(jié)還是人的管理

安全不僅僅是部署各種軟硬件設(shè)備的問(wèn)題，還涉及到人，人是一個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)安全和信息安全環(huán)節(jié)中最重要的部分，入侵者往往非常容易從安全管理中找到漏洞而成功，必須有明文規(guī)定各種網(wǎng)絡(luò)安全和信息安全管理制度，包括各種信息系統(tǒng)物理設(shè)施的訪問(wèn)規(guī)則、信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)規(guī)則以及公司電子郵件系統(tǒng)和上網(wǎng)管理等，并要求所有員工嚴(yán)格執(zhí)行。

應(yīng)該明確列出哪些事情是允許的，哪些是不允許的，包括哪些人能登錄操作系統(tǒng)，哪些人能進(jìn)入某個(gè)機(jī)房等。允許外來(lái)訪客使用會(huì)議室的網(wǎng)絡(luò)插口上網(wǎng)，也是經(jīng)常的事，但殊不知此外來(lái)訪客可能就在您的內(nèi)部網(wǎng)埋下了“木馬”，看似非常安全的內(nèi)部網(wǎng)就埋下了一個(gè)安全威脅。

建議： 制訂網(wǎng)絡(luò)安全和信息安全管理規(guī)定，這也許是最容易忽略的，也很可能是這十大安全問(wèn)題中最可怕的問(wèn)題，趕緊把寫(xiě)下來(lái)、與相關(guān)人員溝通并嚴(yán)格執(zhí)行。

第 10 ：“在網(wǎng)上沒(méi)有人知道你是一只狗”

“在網(wǎng)上沒(méi)有人知道你是一只狗”是來(lái)源于一個(gè)有名的紐約人的漫畫(huà)，現(xiàn)在已經(jīng)被廣泛用于各個(gè)網(wǎng)站、演講、甚至印在 T 恤 衫上，這也反映出在互聯(lián)網(wǎng)上從事在線交易時(shí)的危險(xiǎn)性。傳統(tǒng)標(biāo)準(zhǔn)的人與人之間面對(duì)面的身份驗(yàn)證過(guò)程是對(duì)“暗號(hào)”或查驗(yàn)身份證和對(duì)證件上的照片，而在網(wǎng)上從事業(yè)務(wù)時(shí)就沒(méi)有“暗號(hào)”可對(duì)，也沒(méi)法查驗(yàn)身份證和對(duì)證件上的照片。

一般的做法 ( 如網(wǎng)上銀行 ) 是要求用戶先網(wǎng)上注冊(cè)再提交身份證明文件人工驗(yàn)證，這種做法還是離不開(kāi)人工處理。如果用戶擁有權(quán)威第三方頒發(fā)的單位數(shù)字證書(shū)，則在處理在線業(yè)務(wù)時(shí)就可以根據(jù)用戶的單位數(shù)字證書(shū)確定其真實(shí)身份，從而自動(dòng)核對(duì)他 / 她是否就是說(shuō)他 / 她聲稱的他 / 她是誰(shuí)了。

本文由：代碼簽名證書(shū) http://verisign.itrus.com.cn/ 整理