企业信息安全指南 — 您必须了解的十大安全问题
在今天的全球经济一体化背景下,各种商业活动已经越来越依赖于互联网,企业利用互联网从事电子商务网上交易,把企业网络资源向供应商、商业伙伴、客户和远程移动办公的员工开放访问。虽然这样的网上交易和网络通信越来越方便,但是也带来了各种数据交换和通信的安全隐患,如何面对这些安全威胁和如何维护一个安全的、可信任的在线应用环境对任何大小的企业来讲都是一个必须面对的挑战。
本文总结了企业必须关注的最重要的 10 个安全问题及其问题解决指南,以帮助企业创建一个连接内网和外网的在线安全可信的企业网络及其应用系统。当然,本指南并非没有包罗所有安全问题,主要关注了企业必须解决的核心问题 — 企业不仅要在服务器端部署 SSL数字证书(SSL证书),而且还要在客户端部署数字证书,从而构成一个完整的、可信的、安全的、连接企业内外网的电子商务数据交换应用链路。
第1:没有SSL数据加密就不可能保证数据的完整性
SSL 加密是目前最领先的最广泛应用的加密技术来确保 Web 服务器、内联网 (Intranet) 、外联网 (Extranet) 和其他基于服务器的所有应用。如果没有 SSL ,则无论是通过公网还是私网传输,其传输的数据完整性是没有保证的,因为您无法控制在整个传输链路上的每个环节,导致最终会影响业务的正常运转。而有了 SSL 就能保证您的数据在从客户端到服务器的整个传输过程中的是加密传输的,是不可能被篡改和被泄露的。
最近几年来,人们越来越认识到 SSL 加密技术的重要用途,越来越多的用户在输入机密信息时会检查浏览器下面是否有“安全锁”标志,而全球上百万个网站已经部署了 SSL数字证书(SSL证书)来保证服务器到浏览器之间的数据传输安全。几乎所有的服务器端软件和浏览器都支持 SSL ,这样使得企业部署 SSL 就只需简单的在服务器安装 SSL数字证书(SSL证书)了。一旦部署了 SSL数字证书(SSL证书),则浏览器和服务器之间就建立了一个安全通道,所有从客户端浏览器到服务器之间的数据传输是加密传输的,从而有效地防止了任何危害数据安全和数据完整性的非法窃听行为。
建议:企业应该对所有服务器或部分重要服务器部署 SSL数字证书(SSL证书)来保护任何从浏览器到服务器之间传输的任何机密信息和个人重要信息。
第2:免费黑客软件可以在30分钟内破解您的口令
现在几乎所有网上应用都依赖于口令密码,但口令密码已经变得越来越脆弱,使得您的系统也越来越容易受到攻击。所以,加强各种密码口令使用管理也就变得越来越重要。
现在计算机的计算能力越来越强,使得破解口令密码变得越来越容易,同时,由于各种重要的应用都已经网络化,这使得破解口令密码的收获和诱惑力也越来越大。现在,已经非常容易地在互联网上找到和下载一个口令密码破解软件,使得 6 位数的密码只需 30 分钟就可以破解,而 8 位数的密码也只需要 6 个小时。
所以,您应该立刻制订口令密码管理规则,如使用大小写混合、加上数字和标点符号、不要使用您的个人信息、至少 8 位以上的长度以及经常修改密码等。最重要的是,您的应用程序应该有如下密码安全机制:凡是连续输入密码 3-5 次都无效的应该终止用户使用,这样就可以有效地防止恶意使用穷举法破解。建议系统管理员使用密码破解软件来发现脆弱的密码。
建议:最安全的解决方案是使用客户端数字证书来替代简单的口令密码验证机制,客户端数字证书能确保您的关键应用的安全性。
第3:电子邮件正在泄露您的商业机密
安全通信 ( 目前主要指电子邮件,当然也适合于即时通信、 VoIP 等等 ) 是指确保只有应该阅读此信息的接收者才能看到此信息,而电子邮件在企业通信中越来越重要,使得电子邮件的保密管理也越来越重要,因为电子邮件从用户的电脑发出到接收者的电子邮件服务器是经过公网以明文文本方式传输的,凡是在邮件传输过程中经过的任何环节 ( 服务器、路由器及其他网络设备 ) 都有可能、也都可以得到您的邮件明文信息,而且几乎所有邮件系统都允许接收者把收到的电子邮件转发给任何第三方而没有任何审计。
但是,只要您的员工拥有单位数字证书,员工之间相互交换数字证书信息,员工之间的电子邮件就可以签名和加密,这样就可以确保员工之间交换的机密信息不会被篡改和被非法窃取,对于通过电子邮件发送机密信息的企业应该采取此措施。此外,即时通信 (IM) 已经在企业获得了广泛应用,但同样应该使用安全加密的方式使用即时通信服务,否则通过即时通信传输的机密信息会非常容易被窃取的。
建议:为企业员工颁发单位数字证书来为电子邮件签名和加密以保护企业的重要商业机密,从而确保企业通信的机密性、确定性和信任性。
第4:传统的安全访问控制解决方案不仅无效而且投资大
SSL 支持两端 ( 服务器端和客户端 ) 的身份认证,当服务器装有 SSL数字证书(SSL证书)时,表明服务器是通过验证的 ( 此服务器的域名所有者申请了 SSL数字证书(SSL证书)并获得有效颁发 ) ;而客户端 ( 浏览器 ) 则验证此证书的域名与服务器域名是匹配的、是有效的、是由信任的机构颁发的。当客户端也使用 SSL数字证书(SSL证书)访问服务器时,表明此客户端也是通过验证的 ( 使用此电脑的人是已经通过身份认证而获得数字证书的 ) ,客户端数字证书可以嵌在任何客户端软件中 ( 包括浏览器、 Outlook 等 ) 来代替简单的密码验证 ( 当然,可以同时也有密码验证 ) 来获得服务器的授权访问。
使用客户端数字证书要比简单的口令密码验证安全许多,因为一个人的数字证书是不可能被另一个人伪造的,即使安装有数字证书的电脑被盗,仍然需要密码来激活数字证书。而由于数字证书是一个经济实用的安全解决方案,所以,越来越多的重要网络应用 ( 如 CRM 和企业内联网 ) 都开始采用 SSL数字证书(SSL证书)。
许多公司开始或将要开始安装 VPN 系统 ( 虚拟内部网 ) ,方便远程用户通过互联网访问企业内部的重要的数据库系统,这是一个非常好的远程联网和远程访问解决方案,但千万不要只是使用简单的口令验证,应该在部署 VPN 时使用 SSL数字证书(SSL证书)来实现身份验证和数据传输加密。
时间同步动态口令系统 (tokens) 是一种能够动态产生一串数字可用做口令的小装置来实现用户访问身份认证,但此装置太贵,而且容易丢失或急用时没电了,使用者还有可能会不按规定转借给其他人使用。
建议:使用 SSL数字证书(SSL证书)来替换脆弱的静态口令密码验证手段和昂贵的时间同步动态口令系统,此解决方案比前者更加安全,比后者便宜许多,同时非常容易部署。
第5:建立一个有效的内部公钥管理系统(PKI)是一个费时费钱的事情
公钥管理系统 ( PKI ) 是一个确保在线业务安全的最重要的不可缺少的工具,如果没有一套颁发、吊销、续期等管理数字证书的手段,则企业不可能部署一个安全的内联网和外联网,特别是对于一个有许多分支机构和移动办公员工的大型机构来讲。同时,如果不能实现安全的访问,企业员工也无法随时随地访问企业的核心数据系统,用户也不可能放心地从事网上交易。现在,许多企业已经充分认识到电子邮件和即时通信的不安全性,加强电子邮件的管理和禁止使用即时通信,也正在寻求安全通信解决方案。
PKI 系统理论上是非常成熟的技术,但是实际实施时需要复杂的硬件和软件系统,还需要专业的懂得 PKI 理论的 IT 人才,需要专业的专用的系统来保护其安全,这无疑会是一大笔投资。但是,现在您可以无需以上投资,而是把 PKI 系统外包给可信任的专业的第三方 CA ( 认证中心 ) 来根据企业的需要来管理、维护企业自己的 PKI 系统,外包的 PKI 系统 ( 企业 CA ) 可以让企业方便地使用浏览器来根据自己的业务需要在线颁发自己所需要的服务器 SSL数字证书 ( SSL证书 ) 和客户端数字证书,已经有许多应用而且越来越多的应用都支持数字证书,如基于浏览器的应用、电子邮件系统和 VPN 系统等。
对于外包的 PKI 服务,有几个因素要考虑:是否提供灵活认证机制 ( 我怎么知道他 / 她是谁,又怎样确认他 / 她就是他 / 她说的谁 ) ?是否提供方便的管理界面 ( 由谁来管理和控制整个过程 ) ?是否提供方便操作的用户界面 ( 最终用户如何申请自己的数字证书 )?
许多机构希望能把以下需求外包给一个可信任的第三方:安全访问、安全通信和安全在线交易。安全访问就是让企业的员工能方便的在任何地方通过互联网安全地访问企业的内部网和内部机密数据 ( 如 CRM 、 ERP 和 OA 等 ) ,这对于全球性和全国性的大机构非常急需。安全通信,主要是指电子邮件和即时通信,需要提供一种安全机制来识别信息发送者的真实身份和确保信息的内容不会被窃取。而安全在线交易则要求把现在的基于纸质文件的手写签名方式变为无纸的数字签名,同样涉及到加密传输和身份认证问题。
建议:最明智的选择是购买 PKI 管理外包服务,让可信任的第三方利用其现成的 PKI 系统来在线管理您企业的 PKI 系统,这样,企业就可以专心做自己的业务,而不用购买和维护复杂的、昂贵的 PKI 系统。
第6:只需要点击一下鼠标,您的网站就可以被克隆假冒
SSL 对于敏感数据的加密是非常重要的,但请注意:DV SSL 不能证明一个网站的真实身份,浏览器下面有安全锁标志只能证明从浏览器到正在访问的服务器之间的数据传输是加密的和安全的,但并不等于您正在访问的服务器就是您希望访问的企业的服务器。为了保护企业和用户的利益,企业应该为其企业网站申请OV SSL 或者EV SSL,并在网站的醒目位置显示一个不可假冒的可信真实网站标志。对于企业 ( 或机构 ) 来讲,这就有效地预防了网站被假冒的可能,而对于用户来讲,有了可信标志,则让用户确信正在访问的网站确实是他 / 她希望访问的机构的网站,而用户也不能仅仅凭网站上讲它是哪个单位的网站就相信它就是哪个单位的网站。
不幸的是,目前很多的网站身份标志产品都不能真正证明其合法身份,因为这类标志 ( 签章 ) 是静态图片或 Flash 图片,是非常容易连同网站一起被复制下来的。WoSign 的全球独家专利提供动态生成的与网站域名绑定的网站身份认证签章,此认证签章是不可复制的,是由嵌在网站上的一段代码自动生成的,通不过认证就不会显示认证签章。
建议:在企业网站上启用一个醒目的可信任的标志让网站访问者非常容易确认您的网站的真实身份和信任网站所有者。
第7:没有可靠的物理安全和网络安全,企业的机密数据是容易遭遇入侵的
网络安全包括计算机系统安全和网络访问控制,以及入侵检测和反击。网络不安全的危险是巨大的:盗贼、中断服务、物理损坏、系统完整性损害和非授权的机密信息外泄等。而物理上的安全也非常重要,比如离开电脑锁上屏幕、重要服务器的门禁制度以及进入敏感地区的指纹身份识别等。
防火墙是网络安全中不可缺少的设施,它限制了从一个网络到另一个网络的访问,监视和限制所有通过网络的各种行为,设置哪些 IP 地址和哪些端口的访问权限。同时,建议不同的网络区域和应用层部署不同的防火墙 ( 如 DMZ 区、 Web 服务器、应用服务器和数据库服务器等 )。
入侵检测系统实时检测各种攻击,分析和审计访问日志,当有入侵时及时通知管理员,保护系统文件,分析和揭露黑客的伎俩,指出需要尽快解决的安全漏洞和跟踪攻击者的行踪等。
另外,必须在每台用户电脑上安装防病毒软件来有效地防护越来越猖狂的病毒攻击,特别要在电子邮件服务器上安装防病毒软件来防止通过电子邮件传播的病毒。
最后,也是最重要的是确保所有系统及时升级和安装安全补丁,黑客最了解微软的 IIS Web 服务器的安全漏洞而最容易受到攻击,虽然 IIS 的补丁可以免费下载,但还是有 30% 以上的 IIS 没有升级。再重复一句:立刻升级和安装安全补丁!
建议:部署防火墙、入侵检测、客户端和服务器端的病毒检测以及升级所有系统的补丁是抵御常规的安全威胁、保护机密数据和保持业务的正常运转的有利措施。
第8:利用Modem远程访问的风险
为了远程维护方便,许多系统都允许通过 Modem 远程访问安全网络的核心部分,但这实际上为黑客入侵开了一个后门,是最常见的入侵威胁之一,有许多黑客就是通过自动拨号器自动搜索可以通过 Modem 连接的内部网 ( 包括企业和政府系统 ) ,这些黑客还经常能得逞。建议卸下 Modem 接入系统,建立一个 DMZ 区 ( 能访问互联网但只能有限地访问内部网 ) ,通过多重验证的 VPN 方式远程访问 DMZ 区,再从 DMZ 区访问核心部分,只要合理配置防火墙,是能有效地保证安全远程访问的。
建议: 为远程访问或产品测试服务专门设立一个 DMZ 区来降低网络安全风险,这对于重要的正在正式提供服务的业务非常重要。
第9:最薄弱的环节还是人的管理
安全不仅仅是部署各种软硬件设备的问题,还涉及到人,人是一个机构的网络安全和信息安全环节中最重要的部分,入侵者往往非常容易从安全管理中找到漏洞而成功,必须有明文规定各种网络安全和信息安全管理制度,包括各种信息系统物理设施的访问规则、信息系统和网络系统的访问规则以及公司电子邮件系统和上网管理等,并要求所有员工严格执行。
应该明确列出哪些事情是允许的,哪些是不允许的,包括哪些人能登录操作系统,哪些人能进入某个机房等。允许外来访客使用会议室的网络插口上网,也是经常的事,但殊不知此外来访客可能就在您的内部网埋下了“木马”,看似非常安全的内部网就埋下了一个安全威胁。
建议:制订网络安全和信息安全管理规定,这也许是最容易忽略的,也很可能是这十大安全问题中最可怕的问题,赶紧把写下来、与相关人员沟通并严格执行。
第10:“在网上没有人知道你是一只狗”
“在网上没有人知道你是一只狗”是来源于一个有名的纽约人的漫画,现在已经被广泛用于各个网站、演讲、甚至印在 T 恤 衫上,这也反映出在互联网上从事在线交易时的危险性。传统标准的人与人之间面对面的身份验证过程是对“暗号”或查验身份证和对证件上的照片,而在网上从事业务时就没有“暗号”可对,也没法查验身份证和对证件上的照片。
一般的做法 ( 如网上银行 ) 是要求用户先网上注册再提交身份证明文件人工验证,这种做法还是离不开人工处理。如果用户拥有权威第三方颁发的单位数字证书,则在处理在线业务时就可以根据用户的单位数字证书确定其真实身份,从而自动核对他 / 她是否就是说他 / 她声称的他 / 她是谁了。
建议:向您的员工和用户颁发单位数字证书,从而确保您公司的在线交易业务的安全。
结束语
互联网让企业有了一个拓展其业务到全球市场的机会,可以充分互联网低成本地方便地连接员工、合作伙伴和客户。企业业务已经搬到了互联网上就意味着一定要保证有一个连接内联网和外联网的安全通信,确保合法用户能机密地、完整地和安全地访问有关数据和交易,从而确保在线业务的成功。当然,企业网络的安全是涉及到方方面面的,这里提出的 10 件最重要的安全问题仅仅指出了在物理安全、数据安全和网络安全方面的一些值得企业最先关注的问题。
WoSign 为企业的信息安全提供了一系列数字证书产品,在服务器端,提供全球通用的支持所有浏览器的真正 128 位 SSL证书,确保从客户端浏览器到服务器之间通过公用互联网传输的机密数据是加密传输的,是不会被非法窃取和泄密的;在客户端,提供企业 CA 外包解决方案,用企业无需投资建设公钥基础设施 (PKI) 就可以方便地给企业的员工、客户和合作伙伴颁发客户端数字证书用于安全访问控制 ( 身份认证 ) 和信息加密传输;同时,提供企业域名和网站的身份认证以及在通过认证的网站上动态显示其身份认证签章,让网站访问者放心地与企业从事线上或线下的业务。