10个可被简单解决安全疏漏问题.docVIP

10个可被简单解决安全疏漏问题比遭遇安全漏洞更糟糕的是什么？是这个漏洞本应该被及时弥补但却没有。 不论我们做多大的努力，终端用户甚至是企业的IT部门，仍然会忽视那些本来很容易避免的安全疏漏。本文将与大家讨论10个可以避免的安全疏漏，并告诉大家该如何避免这种疏忽。 1.使用脆弱的密码 曾经有段时间，有些人自作聪明地用“password”作为密码，用来愚弄那些千方百计猜测密码的黑客和其他恶意分子。毕竟很多人都不会用这么明显的词语作为密码。如今，很多人意识到了用这种密码所能实现的安全性实在是脆弱，但仍然有很多人乐意使用这种简单易猜的密码，尤其是在如今高度社交化的网络中。比如：有人会用自己的名字缩写加上生日作为密码，而这方面的信息数据很容易通过Facebook或其他渠道获取，有心的黑客只要将少量的信息组合一下就能破解这种密码。而就算是在一些拥有强力密码策略的企业中，只要有人存在，就会有这种脆弱的密码存在。 解决方案：不要用明显的模式来设置密码。将各种因素混杂起来，比如用感叹号代替数字1，标记代替数字8。密码设置的越复杂，被破解的几率就越小。如果你在为企业设置密码策略，应该要求密码中使用多个字符集。 2.从来不改密码 这种情况我见得次数太多了。很多人多年来一直不曾更改密码，而且这个密码还被用于多个网站。这是一个很大的安全漏洞。在企业里，就算有密码修改的策略，但是很多员工还是能找到办法绕过这种强制策略。比如：我的公司里曾经有一个拥有域管理员权限的员工，他将自己的账户排除在了密码策略之外。发现后我严厉地批评了他，并让他将自己的账户至于密码策略规范之内(后来我觉得真的应该开除这个人，因为他滥用了自己的权利)。当然，我说的情况可能比较特殊，但是我们可以想想，有多少人在使用相同或近似的密码来访问不同的网站呢?而到了必须修改密码的时候，是不是有很多人只改掉一个字符来应付密码策略的强制要求呢? 解决方案：对员工或用户进行培训，让他们知道一个强壮的密码有多么重要，以及为什么要定期更换密码。作为密码策略的一部分，你也可以考虑采用第三方软件来禁止用户使用类似的密码应付密码策略的强制要求。 3.不安装杀毒软件 这个疏忽是完全可以避免的。如果你的工作环境中没有安装反病毒软件，那么你真的是大错特错了。就算有最好的防火墙，仍然要记住安全屏障的层次概念。一旦防火墙没有成功拦截恶意代码，反病毒软件将成为终端系统上最后的屏障。 解决方案：马上安装杀毒软件。 4.不使用防火墙或设置不严谨 不论是在家还是在企业IT环境中，都应该使用防火墙设备。虽然Windows和其他操作系统现在都自带有内置的防火墙，我仍然建议大家购置一部硬件防火墙设备，或类似的设备，硬件防火墙与软件防火墙相配合，是最好的安全方案。另外，如果使用防火墙，就要对其进行严谨的设置。 解决方案：有条件就在家或在企业环境都配备上防火墙硬件设备。确保防火墙不会允许不必要的数据从外部流入内网环境。 5.从不给系统打补丁 操作系统开发商和应用程序开发商定期推出补丁程序是有其原因的。虽然很多升级或更新都是为了增加新功能，但仍然有不少更新是纯粹为了弥补系统和软件的安全漏洞的。我见过很多家用电脑系统中，用户都将系统自动更新选项关闭了。而在企业环境，很多时候人们觉得网络边缘有了防火墙，就不需要再为系统安装升级补丁了。这并不正确，因为很多攻击代码会通过防火墙的防护进入企业内网。 解决方案：为系统打补丁!打开系统和软件的自动更新功能，并立即为企业建立补丁管理策略并实施。 6.不安全的数据存储 你将多少敏感数据(比如个人信息、公司业务数据等)存放在了U盘里?你是不是曾经带着这种存有敏感信息的U盘外出过?我见过很多人将U盘作为钥匙链，带在身上到处走动。有的时候，U盘就和钥匙一起放在了食堂的饭桌上忘记拿走。 现在，还有多少人会将企业数据备份在磁带上?这些磁带是否会被搬离备份场所，这个过程是否处于你的控制之中? 不受保护的数据是安全的一大问题。一次简单的丢失U盘、笔记本、iPad或备份磁带的事件，就会让企业面临财务、司法以及公共关系上的巨大挑战。 解决方案：对任何可移动的存储数据进行加密保存。大多数备份软件都支持对备份数据进行加密，比如BitLocker以及BitLocker To Go可以用来保护笔记本设备和U盘。对于其他设备，比如iPad，可以考虑使用移动安全管理软件对其中的数据进行加密保存。 7.过于慷慨的权限 在企业环境中，权限决定了一个用户能做什么和不能做什么。要让员工顺利工作，最简单的方式是给他们赋予管理员权限，以便让他们能够访问企业网络的所有内容。但是这种方式很快就会带来混乱。因此大多数公司都会根据员工的工作关系，通过权限策略为其赋予适