|
在此,我想與你們分享五種最差的做法:
1.使用有線等效加密(WEP)技術(shù)����。經(jīng)常閱讀這個SearchSecurity.com文章的讀者知道我經(jīng)常抨擊WEP。實際上����,這個協(xié)議的弱點是正是幾個月前我寫的名為《最佳方式》文章里的一個議題:“TJX心得:公司無線加密的最佳方式”(Lessons learned from TJX: Best practices for enterprise wireless encryption)。如果你在公司中仍然使用WEP加密��,現(xiàn)在就該面對殘忍的現(xiàn)實了:使用免費工具就可以在幾秒鐘攻破WEP所使用的簡單化加密技術(shù)���。這一點在“TJX數(shù)據(jù)破壞得以證明�,WEP先天不足����,無法真正提供安全”(TJX data breach proved, WEP's inherent flaws provide little real security)中提到了�����。如果你尋找另一種安全工具��,可以試試WPA2���,詳見文章secure alternative to WEP, try WPA2。
2.踐行“安全劇場”�����。一些人認為這個術(shù)語借用了安全界博學(xué)家Bruce Schneier的著名文章In Praise of Security Theater中的話語���。“安全劇場”本質(zhì)上是一種執(zhí)行復(fù)雜昂貴安全措施的方式����,這種方式僅僅為了引起人們的注意�����,認為你在安全上投入了大量的時間和精力����,但實際情況是你的控件容易受到攻擊并且效率低下。比如���,最近FFIEC(聯(lián)邦金融機構(gòu)檢查委員會)要求銀行在敏感交易時使用雙因素認證�。為了回避這條規(guī)則��,銀行在其標(biāo)準(zhǔn)的登錄進程中加入了一系列“安全問題”�。任何安全專業(yè)人士都知道,使用兩個“你知道的一些情況”因素��,實際上不是真正的雙因素認證�����。這種情況下����,安全劇場提供了一種安全幻想,逃避推行新IAM技術(shù)����。
3.加密郵件的附件,僅包括信息中的加密密鑰���。這種情況我一個月進行一次����。一些人通過電子郵件發(fā)給我一份敏感文件,在傳輸過程中使用Microsoft Office的加密技術(shù)�,以保護文件的機密性。接著這個人會在消息主體中表揚他自己�����,說一些諸如“邁克�,我知道你總是告訴我郵件中的安全問題,所以我給這個機密文件加密了����。密碼是足球。”我畏縮了����,溫和地解釋這不能真正解決問題。簡單的解決方法是密碼采用帶外傳輸方式����。比如�����,發(fā)送郵件,然后拿起電話給接收者打電話��,提供給他密碼���。一個人同時截取你的郵件和電話的可能性很小�。
4.不進行修補�。雖然我們都知道應(yīng)用安全更新是保護系統(tǒng)和應(yīng)用程序管理的重要組成部分,但是��,我們?yōu)槭裁床贿M行安全更新呢����?舉一個Oracle數(shù)據(jù)庫的例子。最近一項調(diào)查表明三分之二的工商管理博士們從來都不使用Oracle公司定期發(fā)布的安全補丁CPU(Critical Patch Update)�。盡管事實上是Oracle公司請求工商管理博士們使用補丁,有些時候會把這種可怕的后果警告為“嚴(yán)重的安全漏洞……�����,可以導(dǎo)致系統(tǒng)癱瘓�、遠程執(zhí)行代碼并升級特權(quán)”。切記����,黑客可以和我們閱讀同樣的安全補丁公告���。不修補網(wǎng)絡(luò)、數(shù)據(jù)庫和第三方應(yīng)用程序�����,就會帶來麻煩���。
5.不對筆記本電腦進行加密�����。在安全職業(yè)生涯中�����,許多人已經(jīng)至少遇到過一次這樣的情況:有些人把包含員工或者客戶敏感信息的筆記本給弄丟了���,你不得不發(fā)出尷尬的布告,并為成千上萬人購買身份盜竊保護����。所幸的是��,有一種簡單的辦法可以完全防止這種情況的發(fā)生:使用磁盤加密產(chǎn)品,把數(shù)據(jù)復(fù)制到磁盤上�����,這樣如果某個設(shè)備失竊��,那么數(shù)據(jù)仍然是不可用的��。2008年2月一篇名為《PrivacyRights.org Chronology of Data Breaches》的文章值得關(guān)注�����,其中列出了由丟失不加密筆記本所導(dǎo)致的五大嚴(yán)重破壞性問題�����。這些都發(fā)生在一些知名度較高的企業(yè)����,它們本可以了解更多這方面的知識。列表中包括一些像卡夫食品公司����、Blue-Cross Blue-Shield公司和美國國立衛(wèi)生研究院之類的公司和組織��。
有趣的是���,這些差勁的做法中超過半數(shù)是來自相同的技術(shù)領(lǐng)域:加密。這一事實����,讓我們得到一個教訓(xùn):作為一個組織,我們要么不十分了解加密����,要么武裝知識奮力向前,使這份列表中有關(guān)各種禁忌的術(shù)語延續(xù)下去����。
這些例子中存在一個明顯的問題:作為專業(yè)人士,為什么我們重復(fù)犯相同的錯誤呢����?最近提出的“最差做法”不只一種。即使是WEP加密中的缺陷都存在了五年多了��。我們所有人需要吸取的教訓(xùn)是:一定要時刻緊記信息安全的基本知識�����。雖然嘗試并推行新的、綜合的安全系統(tǒng)是不錯的做法����,但是不要因為這樣做而忘記實施歷史悠久的最佳做法。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
