企业容易忽略的十大安全漏洞

2016-02-22 11:22:00
shendun
转贴:
51cto.com
6062
摘要:毫无疑问,IT世界从来不存在100%的安全,攻击与防范,从来都是动态地不断变化,因此企业也不可能阻止所有这些潜在的安全攻击。

    毫无疑问,IT世界从来不存在100%的安全,攻击与防范,从来都是动态地不断变化,因此企业也不可能阻止所有这些潜在的安全攻击。


    马奇诺防线曾被法国政府誉为固若金汤,但精心构筑的钢筋混凝土阵地还是被德国装甲部队奇袭突破,最终成为摆设和累赘。对于很多通过常见的信息安全技术和产品精心构筑起内网安保体系的大公司而言,尽管看似安全稳固,但一些容易忽视的漏洞,就会很容易让企业安全防护体系被突破,导致危险的后果。本文将探讨十个经常被企业(甚至那些看似重兵部署了安全措施的大公司)所忽略的安全漏洞。


    1. 忽视安全产品体系本身的漏洞


    安全产品和设备,本身也是一种信息系统,其具有其他软硬件IT设备一样的属性,即难免有软件BUG或硬件缺陷所导致的漏洞产生。以防火墙为例,别以为安装了硬件防火墙就万无一失了,因为经过它们的IP数据痕迹照样能够被读取。黑客只要跟踪内含系统网络地址的IP痕迹,就能了解服务器及与它们相连的计算机的详细信息,然后利用这些信息漏洞实施网络入侵。


    再以IDS(入侵检测系统)为例,很大一部分IDS都会有识别方式的设计漏洞。对比已知攻击手法与入侵检测系统监视到的在网上出现的字符串,是大部分网络入侵检测系统都会采取的一种方式。例如,在早期Apache Web服务器版本上的phf CGI程序,就是过去常被黑客用来读取服务器系统上的密码文件(/etc/password),或让服务器为其执行任意指令的工具之一。当黑客利用这种工具时,在其URL request请求中多数就会出现类似GET /cgi-bin/phf?.....的字符串。因此许多入侵检测系统就会直接对比所有的URL request 中是否出现/cgi-bin/phf 的字符串,以此判断是否出现phf 的攻击行为。


    2. 忽视SSL安全应用,数据 完整性受威胁 


    企业应尽快为整个信息系统部署SSL服务器证书。SSL是世界上部署最广泛的安全协议,它应当部署在任何服务器上,以保护从浏览器传输到服务器的各种机密和个人信息。 


    安全套接层(SSL)加密是如今用来保护网站、内联网、外联网以及基于服务器的其他应用的最主要的技术之一。如果没有它,通过公共和专用网络交换的数据其完整性就会受到危及,最终影响业务连续性和利润。SSL可以保护网络访问、网上联系和数字交易,因为它能够在服务器和用户之间建立一条安全通道。一旦浏览器和服务器进行了信号交换,从一方传送到另一方的所有数据都经过了加密,从而可以防止可能会危及传送数据的安全性或者完整性的任何窃听行为。


    3. 忽视无线网络中的未经授权智能手机<