最差做法 加密失誤

在此，我想與你們分享五種最差的做法：

1．使用有線等效加密(WEP)技術(shù)。經(jīng)常閱讀這個(gè)SearchSecurity.com文章的讀者知道我經(jīng)常抨擊WEP。實(shí)際上，這個(gè)協(xié)議的弱點(diǎn)是正是幾個(gè)月前我寫(xiě)的名為《最佳方式》文章里的一個(gè)議題：“TJX心得：公司無(wú)線加密的最佳方式”（Lessons learned from TJX: Best practices for enterprise wireless encryption）。如果你在公司中仍然使用WEP加密，現(xiàn)在就該面對(duì)殘忍的現(xiàn)實(shí)了：使用免費(fèi)工具就可以在幾秒鐘攻破WEP所使用的簡(jiǎn)單化加密技術(shù)。這一點(diǎn)在“TJX數(shù)據(jù)破壞得以證明，WEP先天不足，無(wú)法真正提供安全”（TJX data breach proved, WEP's inherent flaws provide little real security）中提到了。如果你尋找另一種安全工具，可以試試WPA2，詳見(jiàn)文章secure alternative to WEP, try WPA2。

2．踐行“安全劇場(chǎng)”。一些人認(rèn)為這個(gè)術(shù)語(yǔ)借用了安全界博學(xué)家Bruce Schneier的著名文章In Praise of Security Theater中的話(huà)語(yǔ)。“安全劇場(chǎng)”本質(zhì)上是一種執(zhí)行復(fù)雜昂貴安全措施的方式，這種方式僅僅為了引起人們的注意，認(rèn)為你在安全上投入了大量的時(shí)間和精力，但實(shí)際情況是你的控件容易受到攻擊并且效率低下。比如，最近FFIEC（聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)）要求銀行在敏感交易時(shí)使用雙因素認(rèn)證。為了回避這條規(guī)則，銀行在其標(biāo)準(zhǔn)的登錄進(jìn)程中加入了一系列“安全問(wèn)題”。任何安全專(zhuān)業(yè)人士都知道，使用兩個(gè)“你知道的一些情況”因素，實(shí)際上不是真正的雙因素認(rèn)證。這種情況下，安全劇場(chǎng)提供了一種安全幻想，逃避推行新IAM技術(shù)。

3．加密郵件的附件，僅包括信息中的加密密鑰。這種情況我一個(gè)月進(jìn)行一次。一些人通過(guò)電子郵件發(fā)給我一份敏感文件，在傳輸過(guò)程中使用Microsoft Office的加密技術(shù)，以保護(hù)文件的機(jī)密性。接著這個(gè)人會(huì)在消息主體中表?yè)P(yáng)他自己，說(shuō)一些諸如“邁克，我知道你總是告訴我郵件中的安全問(wèn)題，所以我給這個(gè)機(jī)密文件加密了。密碼是足球。”我畏縮了，溫和地解釋這不能真正解決問(wèn)題。簡(jiǎn)單的解決方法是密碼采用帶外傳輸方式。比如，發(fā)送郵件，然后拿起電話(huà)給接收者打電話(huà)，提供給他密碼。一個(gè)人同時(shí)截取你的郵件和電話(huà)的可能性很小。

4．不進(jìn)行修補(bǔ)。雖然我們都知道應(yīng)用安全更新是保護(hù)系統(tǒng)和應(yīng)用程序管理的重要組成部分，但是，我們?yōu)槭裁床贿M(jìn)行安全更新呢？舉一個(gè)Oracle數(shù)據(jù)庫(kù)的例子。最近一項(xiàng)調(diào)查表明三分之二的工商管理博士們從來(lái)都不使用Oracle公司定期發(fā)布的安全補(bǔ)丁CPU（Critical Patch Update）。盡管事實(shí)上是Oracle公司請(qǐng)求工商管理博士們使用補(bǔ)丁，有些時(shí)候會(huì)把這種可怕的后果警告為“嚴(yán)重的安全漏洞……，可以導(dǎo)致系統(tǒng)癱瘓、遠(yuǎn)程執(zhí)行代碼并升級(jí)特權(quán)”。切記，黑客可以和我們閱讀同樣的安全補(bǔ)丁公告。不修補(bǔ)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)和第三方應(yīng)用程序，就會(huì)帶來(lái)麻煩。

5．不對(duì)筆記本電腦進(jìn)行加密。在安全職業(yè)生涯中，許多人已經(jīng)至少遇到過(guò)一次這樣的情況：有些人把包含員工或者客戶(hù)敏感信息的筆記本給弄丟了，你不得不發(fā)出尷尬的布告，并為成千上萬(wàn)人購(gòu)買(mǎi)身份盜竊保護(hù)。所幸的是，有一種簡(jiǎn)單的辦法可以完全防止這種情況的發(fā)生：使用磁盤(pán)加密產(chǎn)品，把數(shù)據(jù)復(fù)制到磁盤(pán)上，這樣如果某個(gè)設(shè)備失竊，那么數(shù)據(jù)仍然是不可用的。2008年2月一篇名為《PrivacyRights.org Chronology of Data Breaches》的文章值得關(guān)注，其中列出了由丟失不加密筆記本所導(dǎo)致的五大嚴(yán)重破壞性問(wèn)題。這些都發(fā)生在一些知名度較高的企業(yè)，它們本可以了解更多這方面的知識(shí)。列表中包括一些像卡夫食品公司、Blue-Cross Blue-Shield公司和美國(guó)國(guó)立衛(wèi)生研究院之類(lèi)的公司和組織。

有趣的是，這些差勁的做法中超過(guò)半數(shù)是來(lái)自相同的技術(shù)領(lǐng)域：加密。這一事實(shí)，讓我們得到一個(gè)教訓(xùn)：作為一個(gè)組織，我們要么不十分了解加密，要么武裝知識(shí)奮力向前，使這份列表中有關(guān)各種禁忌的術(shù)語(yǔ)延續(xù)下去。

這些例子中存在一個(gè)明顯的問(wèn)題：作為專(zhuān)業(yè)人士，為什么我們重復(fù)犯相同的錯(cuò)誤呢？最近提出的“最差做法”不只一種。即使是WEP加密中的缺陷都存在了五年多了。我們所有人需要吸取的教訓(xùn)是：一定要時(shí)刻緊記信息安全的基本知識(shí)。雖然嘗試并推行新的、綜合的安全系統(tǒng)是不錯(cuò)的做法，但是不要因?yàn)檫@樣做而忘記實(shí)施歷史悠久的最佳做法。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]