十个不该被忽略安全隐患.doc

十个不该被忽略安全隐患 　　 摘 要：IT管理员们整天都忙于阻挡安全雷达上显示的各种大型攻击，而下面要列出的十个安全隐患，可能一直存在于企业中，却没有被IT管理员察觉。 　　 关键词：终端安全；Web安全；VPN；安全隐患 　　 　　 1.常规代码错误 　　 　　 编程过程中出现错误的情况在现在的技术条件下依然会出现。大多数常见的编码错误会导致SQL注入以及跨站脚本漏洞。这种情况是经常出现的，就连一些大型软件厂商也不能避免(WordPress就是个例子)。而且对于企业来说，一旦购买并安装了某个商业软件，就很难立即将其废弃，因此，企业必须及时地为软件的安全漏洞进行修补，防止漏洞被黑客利用。 　　 　　 2.未验证的终端设备 　　 　　 此类现象非常普遍。有些员工会将自己家里的老PC搬到办公室，用老PC做一些公司电脑不能做的事情。他们可能会觉得，在IT部门的各种限制下，这样的做法能带来很大方便。比如：如果IT部门没有给某个部门建立自己的Web网站或BBS，这个部门可能会自己弄个PC放在办公室角落，并在其上搭建一个Web服务网站，方便部门同事之间进行交流。但这样做风险很大。而预防此类问题的最佳方法就是执行严格的IP地址审核策略，同时经常扫描并列出网络上的终端设备。如果新加入的终端无法获取IP地址，它们带来的安全威胁也就相对小一些了。 　　 　　 3.古老的服务器 　　 　　 每个企业都有这样的服务器，多年来一直呆在机房的角落，就是不肯退休。一般来说，这种服务器都在运行某种无法被移植到其他服务器上的软件包，但是这类服务器确实是一个极大的安全隐患，因为它们太古老，可能已经没有厂商再为它们提供安全补丁了，或者就算有补丁，IT管理员们也怕万一弄不好，把这个服务器弄瘫了，其上的服务软件将再也无法恢复运行。另外，那些古老的操作系统本身就会包含很多安全漏洞，并且厂商也早已不再提供对应的补丁了。总之，IT管理员必须通过各种办法更换掉这些陈旧的服务器。第一步最好是将其虚拟化，然后就可以比较方便地对它们进行升级了。 　　 　　 4.遗留程序 　　 　　 严重的安全风险来源并不只存在于老旧的服务器系统，还包括其上运行的各种软件，甚至我们在日常办公中使用的古老软件。如果能及时打补丁，这些老旧软件的安全风险并不会太大，但是现实中能及时打补丁的老程序不多。而且由于管理不及时，我们经常会错过重要的升级版本。另一种情况就是该软件的开发厂商已经不再为软件提供升级服务了。因此，企业要么对全部程序进行检查并想办法升级到最新版本，要么就更换相同功能的替代软件。 　　 　　 5.企业雇员 　　 　　 企业自己的雇员就是企业最大的安全风险来源。有时候，企业雇员导致的安全事故是蓄意的，有时候则是无意的。但不管怎么说，企业雇员是接触企业系统和数据最频繁的人员。我们经常过度地担心来自外部的安全攻击，但是老实说，病毒可以轻易地从企业雇员的U盘上传播到企业系统中，让企业长久以来巨资搭建的防护网络形同虚设。有时候，对企业不满的员工会通过破坏企业系统的方式发泄不满情绪。而且，就算没有故意行为，员工的工作失误也是经常出现的。良好的管理、安全教育、安全策略，都是预防此类风险的必要措施，此外，还要意识到雇员才是企业安全屏障的最大漏洞。 　　 　　 6.本地管理员 　　 　　 我们都知道让用户总是以管理员特权登录系统是非常危险的，但是很多企业的用户仍然是以本地管理员身份登录终端系统。这种情况很常见，其原因可能是由于用户在使用系统过程中出现了某些问题，IT管理员让用户以本地管理员权限登录系统，通过电话指导其排除故障，但事后却没有将权限恢复。不管是什么原因导致的，这种现象都是企业安全的定时炸弹。企业IT管理员可以通过集中化的管理工具确保只有特定用户拥有本地管理员权限。 　　 　　 7.不正确的共享和文件权限 　　 　　 文件的读取权限是一个很复杂的问题，而且很多普通用户根本不知道该如何对其进行设置。因此，企业用户在联网的环境中建立了一个敏感文件，却使用了默认的读取权限，导致同一网络环境的其他用户可以直接查看该文件的内容。企业的IT安全管理员要做的是预先设置好共享和文件权限方面的架构。比如：给每个员工一个独立的根目录，用来存放个人文档，并根据员工职责、工作项目以及团队等建立共享文件夹，并设置相应的读取权限。同时，要培训员工正确使用这种文件存放规则，但这应该比教会员工为每个文档设置访问权限要简单得多。 　　 　　 8.隐藏软件本身的Web服务 　　 　　 我最近发现越来越多的应用程序使用Web服务作为管理控制台。大多数情况下，此类程序都是未经许可，由企业员工自行安装的，但是有时候IT部门也不清楚这些软件会带来什么样的问题。虽然此类管理控