馬奇諾防線曾被法國政府譽(yù)為固若金湯，但精心構(gòu)筑的鋼筋混凝土陣地還是被德國裝甲部隊(duì)奇襲突破，最終成為擺設(shè)和累贅。對于很多通過常見的信息安全技術(shù)和產(chǎn)品精心構(gòu)筑起內(nèi)網(wǎng)安保體系的大公司而言，盡管看似安全穩(wěn)固，但一些容易忽視的漏洞，就會很容易讓企業(yè)安全防護(hù)體系被“突破”，導(dǎo)致危險的后果。本文將探討十個經(jīng)常被企業(yè)（甚至那些看似重兵部署了安全措施的大公司）所忽略的安全漏洞。

1. 忽視安全產(chǎn)品體系本身的漏洞

安全產(chǎn)品和設(shè)備，本身也是一種信息系統(tǒng)，其具有其他軟硬件IT設(shè)備一樣的屬性，即難免有軟件BUG或硬件缺陷所導(dǎo)致的漏洞產(chǎn)生。以防火墻為例，別以為安裝了硬件防火墻就萬無一失了，因?yàn)榻?jīng)過它們的IP數(shù)據(jù)痕跡照樣能夠被讀取。黑客只要跟蹤內(nèi)含系統(tǒng)網(wǎng)絡(luò)地址的IP痕跡，就能了解服務(wù)器及與它們相連的計算機(jī)的詳細(xì)信息，然后利用這些信息漏洞實(shí)施網(wǎng)絡(luò)入侵。

再以IDS（入侵檢測系統(tǒng)）為例，很大一部分IDS都會有識別方式的設(shè)計漏洞。對比已知攻擊手法與入侵檢測系統(tǒng)監(jiān)視到的在網(wǎng)上出現(xiàn)的字符串，是大部分網(wǎng)絡(luò)入侵檢測系統(tǒng)都會采取的一種方式。例如，在早期Apache Web服務(wù)器版本上的phf CGI程序，就是過去常被黑客用來讀取服務(wù)器系統(tǒng)上的密碼文件(/etc/password)，或讓服務(wù)器為其執(zhí)行任意指令的工具之一。當(dāng)黑客利用這種工具時，在其URL request請求中多數(shù)就會出現(xiàn)類似“GET /cgi-bin/phf?.....”的字符串。因此許多入侵檢測系統(tǒng)就會直接對比所有的URL request 中是否出現(xiàn)/cgi-bin/phf 的字符串，以此判斷是否出現(xiàn)phf 的攻擊行為。

2. 忽視SSL安全應(yīng)用，數(shù)據(jù) 完整性受威脅

企業(yè)應(yīng)盡快為整個信息系統(tǒng)部署SSL服務(wù)器證書。SSL是世界上部署最廣泛的安全協(xié)議，它應(yīng)當(dāng)部署在任何服務(wù)器上，以保護(hù)從瀏覽器傳輸?shù)椒?wù)器的各種機(jī)密和個人信息。

安全套接層(SSL)加密是如今用來保護(hù)網(wǎng)站、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)以及基于服務(wù)器的其他應(yīng)用的最主要的技術(shù)之一。如果沒有它，通過公共和專用網(wǎng)絡(luò)交換的數(shù)據(jù)其完整性就會受到危及，最終影響業(yè)務(wù)連續(xù)性和利潤。SSL可以保護(hù)網(wǎng)絡(luò)訪問、網(wǎng)上聯(lián)系和數(shù)字交易，因?yàn)樗軌蛟诜?wù)器和用戶之間建立一條安全通道。一旦瀏覽器和服務(wù)器進(jìn)行了信號交換，從一方傳送到另一方的所有數(shù)據(jù)都經(jīng)過了加密，從而可以防止可能會危及傳送數(shù)據(jù)的安全性或者完整性的任何竊聽行為。

3. 忽視無線網(wǎng)絡(luò)中的未經(jīng)授權(quán)智能手機(jī)

智能手機(jī)給企業(yè)安全帶來了巨大的安全風(fēng)險，主要是因?yàn)橹悄苁謾C(jī)非常普遍，有些員工會在辦公室使用個人設(shè)備，即使他們的雇主部署了有效的政策來禁止他們的使用，由于智能手機(jī)支持的設(shè)備。通過鼓勵使用被批準(zhǔn)的手機(jī)，IT部門可以集中在為單一平臺設(shè)備部署安全措施，而不必處理眾多品牌和平臺。

如果你使用像智能手機(jī)一樣跨越多個無線頻譜的設(shè)備，“攻擊者可能使用‘藍(lán)牙狙擊’從一英里外讀取藍(lán)牙信息，”Hansen表示。藍(lán)牙是讓攻擊者訪問無線網(wǎng)絡(luò)然后攻擊企業(yè)網(wǎng)絡(luò)的開放端口。

4. 忽視了被打開的網(wǎng)絡(luò)打印機(jī)端口

辦公室打印機(jī)是另一個看似無害而實(shí)則帶來安全風(fēng)險的設(shè)備，大多數(shù)公司都忽略了這種危害。在過去幾年，打印機(jī)已經(jīng)可以通過無線網(wǎng)絡(luò)連接，有些甚至使用3G連接和電話線來傳真。有些模式確實(shí)可以阻止打印機(jī)的某些端口，如果在一家大型公司，打印機(jī)有200個阻止端口，那么可能會導(dǎo)致另外1000個端口的開放。攻擊者可以通過這些端口侵入企業(yè)網(wǎng)絡(luò)，更惡毒的伎倆就是捕捉所有打印信息以獲取機(jī)密信息。

有安全專家認(rèn)為，處理這個問題的最好方法就是禁用打印機(jī)上的所有無線選項(xiàng)。如果這不可行的話，IT部門需要確保所有端口都阻止了任何未經(jīng)授權(quán)訪問，同樣重要的是，使用安全管理工具來檢測和報告這些開放打印機(jī)端口。

5. 忽視企業(yè)定制軟件程序中可能包含問題代碼的問題

幾乎每個企業(yè)安全專家都很害怕由于編程中的粗心大意而導(dǎo)致的漏洞。 這可能發(fā)生在定制開發(fā)軟件以及行業(yè)軟件和開源軟件。

Web服務(wù)器上的PHP程序也可能輔助攻擊者攻入網(wǎng)絡(luò)。編碼錯誤（例如當(dāng)從應(yīng)用程序調(diào)用遠(yuǎn)程文件時的不適當(dāng)保護(hù)措施）可以讓黑客添加他們自己的嵌入式代碼。這確實(shí)有可能會發(fā)生，如果開發(fā)人員沒有謹(jǐn)慎處理哪些文件可以基于用戶的輸入而被調(diào)用或者企業(yè)博客使用引用功能來報告鏈接回發(fā)布內(nèi)容，而沒有先消毒保存的URL以防止未經(jīng)授權(quán)的數(shù)據(jù)庫查詢。最明顯的解決方法就是避免使用諸如免費(fèi)提供的PHP腳本軟件、博客插件或者其他可疑的代碼。如果確實(shí)需要使用可以進(jìn)行三種連接方式上網(wǎng)，包括藍(lán)牙、無線和GSM無線，由此增加了企業(yè)網(wǎng)絡(luò)被攻擊的潛在威脅。

簡單禁止智能手機(jī)的政策不可能有效，員工總是禁不住誘惑在辦公室使用他們的設(shè)備，即使這是被禁止的。IT部門應(yīng)該只允許被批準(zhǔn)的設(shè)備接入網(wǎng)絡(luò)，并且這種訪問應(yīng)該是基于MAC地址的，該地址是與特定設(shè)備關(guān)聯(lián)的獨(dú)特代碼，這樣就可以追蹤這些設(shè)備。

利用網(wǎng)絡(luò)訪問控制是確保阻止未經(jīng)授權(quán)訪問發(fā)生的另一個技巧。在一個理想世界中，企業(yè)都應(yīng)該將客戶接入無線網(wǎng)絡(luò)與重要的企業(yè)網(wǎng)絡(luò)分開，即使有兩個無線局域網(wǎng)絡(luò)意味著更多的冗余和管理開支。 

另一個方法是提供強(qiáng)大的公司認(rèn)可的智能手機(jī)，例如谷歌的Android，同時阻止員工使用不被這些軟件，可以部署安全監(jiān)測工具來檢測漏洞。

6. 忽視社交網(wǎng)絡(luò)欺騙攻擊能力

以Facebook網(wǎng)站和Twitter微博為代表的社交網(wǎng)絡(luò)應(yīng)用已經(jīng)風(fēng)靡全球，很多信息泄漏和安全問題也由此產(chǎn)生。企業(yè)員工可能被愚弄至泄漏個人敏感信息，通常這種類型的攻擊都很狡詐，很難被追查。

7. 忽視員工P2P下載帶來的隱患

P2P網(wǎng)絡(luò)是網(wǎng)絡(luò)下載最盛行的一種方式。在一家大型公司，員工使用P2P系統(tǒng)下載非法內(nèi)容或者建立自己的服務(wù)器來發(fā)布軟件并不罕見。

向P2P文件注入惡意代碼并不是難事，并且可能讓企業(yè)陷入困境，根據(jù)代碼涉及的不同，可以采用“資源隔離”的方法，從根本上控制哪些應(yīng)用程序用戶被允許訪問。不同的操作系統(tǒng)處理方法也略有不同，但在企業(yè)政策無法有效執(zhí)行的情況下，這種方法確實(shí)可以嘗試。

8. 即時通訊消息欺騙和惡意軟件感染

對企業(yè)信息安全來說，另外一個潛在攻擊介質(zhì)：智能手機(jī)的即時通訊消息。攻擊者可以使用短信來聯(lián)系員工試圖讓他們泄露關(guān)鍵信息，例如網(wǎng)絡(luò)登錄憑證和商業(yè)情報，他們也可以使用短信在手機(jī)上安裝惡意軟件。例如rootkit病毒可以在持有者不知道的情況下打開電話的麥克風(fēng)，攻擊者可以發(fā)送不可見的文本信息到被感染的手機(jī)讓它進(jìn)行呼叫并打開麥克風(fēng)，當(dāng)用戶在開會或者攻擊者想要偷聽時，這種伎倆將會很有效。

阻止這種攻擊的最佳辦法就是與運(yùn)營商合作以確保他們使用惡意攔截軟件、短信過濾器以及重定向這種類型的攻擊。另外，創(chuàng)建智能手機(jī)使用政策，鼓勵或者要求使用公司認(rèn)可或者公司提供的手機(jī)和服務(wù)計劃能夠減少這種風(fēng)險。 

9. 忽視在業(yè)務(wù)系統(tǒng)環(huán)境中進(jìn)行測試的危害

建立非軍事區(qū)(DMZ)，以便把有風(fēng)險的網(wǎng)絡(luò)活動隔離在你的關(guān)鍵業(yè)務(wù)型生產(chǎn)網(wǎng)絡(luò)部分之外，模擬生產(chǎn)環(huán)境，或者讓客戶可以進(jìn)行各種驗(yàn)收測試。 允許通過調(diào)制解調(diào)器訪問安全網(wǎng)絡(luò)的中心部位，這是導(dǎo)致入侵的最常見根源之一。如今許多人使用所謂的戰(zhàn)爭撥號器(War Dialer)，試圖通過調(diào)制解調(diào)器組(Modem Bank)來訪問企業(yè)或者政府的網(wǎng)絡(luò)系統(tǒng)。這些人往往能夠得逞。 

建立可以訪問因特網(wǎng)、但只能有限制性地訪問內(nèi)部網(wǎng)絡(luò)的DMZ?？赏ㄟ^認(rèn)真設(shè)置防火墻來做到這一點(diǎn)：把DMZ封鎖起來，遠(yuǎn)離網(wǎng)絡(luò)其余部分，同時仍允許可以全面訪問因特網(wǎng)。防火墻可以保護(hù)網(wǎng)絡(luò)的關(guān)鍵部分，遠(yuǎn)離這個DMZ。 如果客戶或外來訪問人員需要進(jìn)行任何信息系統(tǒng)技術(shù)和設(shè)備測試，必須在公司網(wǎng)絡(luò)上進(jìn)行，只允許這種測試在DMZ進(jìn)行。 

10. 忽視最特別的安全漏洞可能是某些企業(yè)員工

定義安全規(guī)范。這也許是最容易被忽視的，也是十條指導(dǎo)準(zhǔn)則中最重要的，不過也是最容易、可能也會帶來最大影響的：把安全規(guī)范擬寫成文、傳達(dá)下去，并加以執(zhí)行。 

安全效果完全取決于貴組織的最薄弱環(huán)節(jié)。安全從來不是自動就能實(shí)現(xiàn)的，它需要人的參與。人員對組織的一項(xiàng)安全策略會取得多大成功具有最大的影響。不少實(shí)踐已表明，從安全人員入手是突破組織安全體系的最簡單方法。如果組織制訂條文明確、解釋清楚的安全策略，并加以執(zhí)行，就能有效地對付這一點(diǎn)及簡單的錯誤。 要明文規(guī)定有關(guān)設(shè)施訪問、網(wǎng)絡(luò)訪問、合理使用公司系統(tǒng)與網(wǎng)絡(luò)以及合理使用公司電子郵件和瀏覽器的相關(guān)流程和規(guī)則。 

毫無疑問，IT世界從來不存在100%的安全，攻擊與防范，從來都是動態(tài)地不斷變化，因此企業(yè)也不可能阻止所有這些潛在的安全攻擊。但企業(yè)應(yīng)當(dāng)明了企業(yè)內(nèi)網(wǎng)系統(tǒng)有哪些漏洞所在，如同明了哪些信息資料是企業(yè)的核心機(jī)密一樣清晰明確，那么，再進(jìn)行相應(yīng)管理和技術(shù)上的措施，修補(bǔ)漏洞，應(yīng)急防范，那么，企業(yè)系統(tǒng)環(huán)境就應(yīng)該迎來一片綠色平靜的天空。