十大内网安全漏洞源及其对策.docxVIP

PAGE 1 PAGE 1 十大内网安全漏洞源及其对策  本文介绍了十大内网安全漏洞源（优盘、笔记本电脑、无线接入点、USB接口设备、内部连接、特洛伊人、光盘、智能手机等），以及对抗这些漏洞源应采取的策略。  　　目前先进的网络安全设备在阻挡网络恶人入侵你的企业方面做了极好的工作。但是，当网络恶人的确进入到你的安全环境中时，你该怎么办呢？遗憾的是世界上的全部手段对于目前最恶毒的网络恶人都没有多少效果。以下是你的网络可能被从内部攻破的10个途径，以及你能够采取什么措施来保证企业服务器的安全。  　　1、优盘。不管你是否相信，优盘实际上是你能够从防火墙内部感染一个网络的常用方法，假如不是最常用的方法的话。这有很多理由：优盘价格廉价，体积小、存储很多数据并且能够在多种设备之间使用。优盘的普遍应用促使黑客开发出一种有针对性的恶意软件，如臭名昭著的Conficker蠕虫。这种蠕虫能够在连接到USB端口的时候自动执行。更严重的是默认的操作系统设置一般都允许大多数程序（包括恶意程序）自动运行。这相当于你的邻居每一个人都有一把你的电子车库门的钥匙，并且利用这个钥匙打开其他人的车库门。  　　怎么办：修改计算机默认的自动运行政策。你在这里可以找到在Windows环境中如何去做的资料。网址是：/kb/967715  　　2、笔记本电脑和上网本：笔记本电脑是一种考虑周到的便携式设备，包含完整的操作系统，能够使用内置电池工作并且配置了以太网端口可以直接连接到一个网络。此外，笔记本电脑中或许已经有了在后台运行的恶意代码，其任务是查找网络和发觉其它可供感染的系统。这台笔记本电脑或许属于一个内部的员工或者属于一个从开放的办公室来访或者工作的客户。  　　除了被感染的笔记本电脑破坏内部网络之外，重要的是要考虑这些笔记本电脑本身的问题。全部的公司都拥有肯定不允许带出办公楼的敏感资料（如工资信息、医疗记录、家庭地址、电话号码和社会安全保险号码等）。当这些信息存储在没有安全措施的便携式电脑中的时候，那是很危急的，因为便携式电脑很简单带出去。我们看到过很多存储了敏感数据的笔记本电脑丢失的例子。除非这个笔记本电脑使用一种严格的加密算法，否则，任何文件系统的数据都是很简单恢复的。  　　怎么办：对于敏感的数据采用一个加密的文件系统。有很多现成的解决方案可供选择，还有开源软件解决方案，如TrueCrypt。对于进出内部系统的端点实施掌握也是重要的。虚拟专用网、DV和WiFi接入等敏感信息不应当永久性地存储在笔记本电脑或者上网本等设备上。  　　3、无线接入点：无线接入点为这个网络四周的任何用户供应直接的连接。攻击驾驶员（驾驶汽车搜寻没有安全保护措施的WiFi网络的人）实施的无线攻击是很常见的并且曾造成重大损失。Marshalls和TJMaxx公司的东家TJStores曾经遭受过使用这种方式进行的攻击。入侵者侵入了这家公司处理和存储客户交易数据的计算机系统。这些交易数据包括客户的信用卡、借记卡、支票和退货交易等信息。据报道，这次入侵使TJStores商店的损失超过了5亿美元。  　　无线接入点本身是担心全的，无论是否使用加密措施都是如此。无线加密协议等协议都包含已知的安全漏洞，使用Aircrack等攻击框架就很简单攻破。假如不使用强口令、WPA（无线保护接入）和WPA2等更安全的协议也简单受到字典攻击。  　　怎么办：建议使用带RADIUS（远程认证拨入用户服务协议）的WPA2企业版以及能够进行身份识别和强制执行安全措施的接入点。应当使用强混合口令并且不断地更换口令。一般来说，无线接入点只是为了连接便利，因此，通常没有必要把无线接入点连接到工作环境。  　　4、各种各样的USB接口设备：优盘并不是IT部门需要担忧的唯一的USB接口设备。很多设备都能够把数据存储到平凡的文件系统中并且通过一个USB接口或者类似的连接进行读写。由于这不是这些设备的主要功能，这些设备通常被遗忘是一种潜在的威逼。事实是，假如一个端点能够从这个设备上读取和执行数据，这种设备就能够同优盘一样造成威逼。这些设备包括数码相机、MP3播放机、打印机、扫描仪、传真机、甚至还有数码相框。在2008年，百思买报告称，他们在圣诞节销售的Insignia数码相框中发觉了一种病毒。这种病毒直接来自于厂商。  　　怎么办：实施和强制执行资产掌握和政策，规定什么设备可以进入这个环境以及什么时候可以进入这个环境。然后，定期使用政策提示程序检测这些政策的执行状况。2008年，美国国防部制定了一些政策，禁止优盘和其它可移动介质进/出他们的环境。  　　5、内部连接：公司内部员工也可能意外地或者故意地进入他们不会或者