|
在此���,我想與你們分享五種最差的做法:
1.使用有線等效加密(WEP)技術(shù)��。經(jīng)常閱讀這個SearchSecurity.com文章的讀者知道我經(jīng)常抨擊WEP���。實際上,這個協(xié)議的弱點是正是幾個月前我寫的名為《最佳方式》文章里的一個議題:“TJX心得:公司無線加密的最佳方式”(Lessons learned from TJX: Best practices for enterprise wireless encryption)��。如果你在公司中仍然使用WEP加密��,現(xiàn)在就該面對殘忍的現(xiàn)實了:使用免費工具就可以在幾秒鐘攻破WEP所使用的簡單化加密技術(shù)����。這一點在“TJX數(shù)據(jù)破壞得以證明,WEP先天不足����,無法真正提供安全”(TJX data breach proved, WEP's inherent flaws provide little real security)中提到了�。如果你尋找另一種安全工具����,可以試試WPA2,詳見文章secure alternative to WEP, try WPA2�����。
2.踐行“安全劇場”��。一些人認為這個術(shù)語借用了安全界博學(xué)家Bruce Schneier的著名文章In Praise of Security Theater中的話語�����。“安全劇場”本質(zhì)上是一種執(zhí)行復(fù)雜昂貴安全措施的方式�����,這種方式僅僅為了引起人們的注意��,認為你在安全上投入了大量的時間和精力�����,但實際情況是你的控件容易受到攻擊并且效率低下�。比如,最近FFIEC(聯(lián)邦金融機構(gòu)檢查委員會)要求銀行在敏感交易時使用雙因素認證��。為了回避這條規(guī)則����,銀行在其標(biāo)準(zhǔn)的登錄進程中加入了一系列“安全問題”。任何安全專業(yè)人士都知道��,使用兩個“你知道的一些情況”因素����,實際上不是真正的雙因素認證。這種情況下�����,安全劇場提供了一種安全幻想�����,逃避推行新IAM技術(shù)�����。
3.加密郵件的附件,僅包括信息中的加密密鑰����。這種情況我一個月進行一次。一些人通過電子郵件發(fā)給我一份敏感文件��,在傳輸過程中使用Microsoft Office的加密技術(shù)�,以保護文件的機密性。接著這個人會在消息主體中表揚他自己�����,說一些諸如“邁克���,我知道你總是告訴我郵件中的安全問題,所以我給這個機密文件加密了��。密碼是足球�����。”我畏縮了�����,溫和地解釋這不能真正解決問題。簡單的解決方法是密碼采用帶外傳輸方式�����。比如�����,發(fā)送郵件�����,然后拿起電話給接收者打電話���,提供給他密碼�����。一個人同時截取你的郵件和電話的可能性很小��。
4.不進行修補�。雖然我們都知道應(yīng)用安全更新是保護系統(tǒng)和應(yīng)用程序管理的重要組成部分��,但是,我們?yōu)槭裁床贿M行安全更新呢����?舉一個Oracle數(shù)據(jù)庫的例子。最近一項調(diào)查表明三分之二的工商管理博士們從來都不使用Oracle公司定期發(fā)布的安全補丁CPU(Critical Patch Update)�。盡管事實上是Oracle公司請求工商管理博士們使用補丁,有些時候會把這種可怕的后果警告為“嚴(yán)重的安全漏洞……���,可以導(dǎo)致系統(tǒng)癱瘓���、遠程執(zhí)行代碼并升級特權(quán)”。切記��,黑客可以和我們閱讀同樣的安全補丁公告���。不修補網(wǎng)絡(luò)����、數(shù)據(jù)庫和第三方應(yīng)用程序�����,就會帶來麻煩���。
5.不對筆記本電腦進行加密�。在安全職業(yè)生涯中�����,許多人已經(jīng)至少遇到過一次這樣的情況:有些人把包含員工或者客戶敏感信息的筆記本給弄丟了�,你不得不發(fā)出尷尬的布告,并為成千上萬人購買身份盜竊保護��。所幸的是�����,有一種簡單的辦法可以完全防止這種情況的發(fā)生:使用磁盤加密產(chǎn)品�����,把數(shù)據(jù)復(fù)制到磁盤上���,這樣如果某個設(shè)備失竊��,那么數(shù)據(jù)仍然是不可用的�����。2008年2月一篇名為《PrivacyRights.org Chronology of Data Breaches》的文章值得關(guān)注���,其中列出了由丟失不加密筆記本所導(dǎo)致的五大嚴(yán)重破壞性問題�����。這些都發(fā)生在一些知名度較高的企業(yè)�����,它們本可以了解更多這方面的知識����。列表中包括一些像卡夫食品公司�����、Blue-Cross Blue-Shield公司和美國國立衛(wèi)生研究院之類的公司和組織��。
有趣的是����,這些差勁的做法中超過半數(shù)是來自相同的技術(shù)領(lǐng)域:加密。這一事實�����,讓我們得到一個教訓(xùn):作為一個組織�,我們要么不十分了解加密,要么武裝知識奮力向前�,使這份列表中有關(guān)各種禁忌的術(shù)語延續(xù)下去。
這些例子中存在一個明顯的問題:作為專業(yè)人士�,為什么我們重復(fù)犯相同的錯誤呢?最近提出的“最差做法”不只一種�����。即使是WEP加密中的缺陷都存在了五年多了�。我們所有人需要吸取的教訓(xùn)是:一定要時刻緊記信息安全的基本知識。雖然嘗試并推行新的�����、綜合的安全系統(tǒng)是不錯的做法���,但是不要因為這樣做而忘記實施歷史悠久的最佳做法�。
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
