1. 写下你的安全策略
出色的安全性不可能一蹴而就。如果你的企业文化趋向于凡事都不正规,要想达到出色的安全性基本上就只有靠运气。要想获得最好的企业安全,必须经过坚持不懈的努力,以及强大的决心。每个公司都需要一个安全策略。不要等到发生入侵之后才想起来制定这个策略;现在就开始制定一个,才能防患于未然。请访问WatchGuard的Security Awareness网站,上面提供了一份免费的白皮书,它描述了如何拟定您的策略(PDF),同时省去昂贵的专家咨询费用或者长达几个季度的自行摸索。
2. 防火墙必不可少
令人吃惊的是,现在许多组织(最典型就是大学)都在运行着没有防火墙保护的公共网络。让我们姑且忽略有关“硬件防火墙好,还是软件防火墙好”的争论,无论采用哪一种防火墙,总比没有防火墙好。这里的重点在于,连接到Internet的每一个人都需要在其网络入口处采取一定的措施来阻止和丢弃恶意的网络通信。当你读到本文的时候,说明您已经有了一个企业防火墙。但是,不要忘了您的远程办公人员和移动用户。最低限度也应该为他们每个人配备一个个人防火墙。虽然Windows XP SP2自带的防火墙也勉强可用,但为了满足您的特殊需要,市场上还存在着大量产品可供挑选。最主要的事情就是去使用它们。
3. 随时更新桌面防病毒系统
有趣的是,1999年我们鼓励用户“每周”检查一次防病毒更新。如今,各个厂商都提供了自动的签名更新。只要你一直都连在Internet上,它们就能在一个新的安全威胁被发现后的数小时内下载到您的机器上。但基本的道理是一样的:良好的安全性要求你在每个桌面都配备防病毒功能,并随时更新它。虽然在一个网络的网关那里建立防病毒机制能解决一部分问题,但在整个防病毒战线中,您只能把网关防病毒视为一道附加的防线,而不能把它视为桌面防病毒的一个替代品。
4. 强化您的服务器
“强化”(Hardening)涉及两个简单的实践法则:购买商业软件时,删除您不需要的所有东西;如果不能删除,就把它禁用。可以通过强化来删除的典型对象包括示例文件、使用向导演示、先用后付费的捆绑软件以及在可以预见的将来不准备使用的高级特性。安装越复杂,越有可能留下安全隐患,所以将您的安装精简到不能再精简的程度。除此之外,设备和软件通常配置了默认用户名/密码访问、来宾(guest)和匿名帐户以及默认共享。删除你不需要的,并修改所有身份验证凭据的默认值(由于有像这样的列表,所以黑客也知道它们)。在这个充斥着大量“臃肿件”(bloatware)的年代,这个实践法则与5年前相比更重要了。
5. 补丁策略必不可少
2001年,当“红色代码”(Code Red)浮现的时候,它攻击的一个漏洞,是Microsoft在9个月前就提供了免费补丁以便用户修补的。但是,这个蠕虫仍然快速和大面积地蔓延,原因是管理员们没有下载和安装这个补丁。今天,从一个新的漏洞被发现开始,到新的大规模攻击工具问世为止,两者间隔时间已经缩短了许多。在厂商发布安全补丁的时候,IT管理员需要做出快速响应。补丁管理目前是最热门的IT主题之一,但是和许多事情一样,80/20规则在这里仍然适用。如果没有商业评估工具以及较多的预算,可以用已经淘汰掉的“太慢”的机器来组建一个小的测试网络。这样一来,只需使用企业级工具来建立一个专业实验室所需的20%的付出,就能获得一个80%有用的测试环境。Microsoft,Apple以及其他许多组织都基本上每个月提供一次安全补丁。访问和安装那些补丁应该成为您的工作内容和计划任务的一部分。不要事后才采取行动。
网络安全对于我们这些个人用户而言,并不是一个遥远的话题。事实上,稍不留神就可能让那些伺机而动的侵入者们有机可乘,把我们的秘密通过网络泄露出去,因此切不可忽视这个问题。至于我们应该怎样应对,这里提出了一些简单的对策。
一、忌“引狼入室”
这里,“狼”指的是那些不受欢迎的病毒、木马等危害到爱机健康的程序。我们从网上DOWN下软件和接收邮件时很可能会让这些不受欢迎的家伙混进来,但决不容许它们有干坏事的机会。
为了达到这一目的,我们应采取一系列措施。在谈这些具体措施前,我们还得先对网络的现状有个基本了解:一方面,网上大多数的信息(如发布的软件、传递的E-MAIL等)都是干净的,但也确实有一部分受到了“污染”,最可恨的是网上还有这么一批人,他们利用各种方法在网上扩散病毒、木马等以制造混乱,而且手段十分狡猾、隐蔽,很容易着了他们的道儿;另一方面就是由于因特网的迅捷与无所不在,各式病毒、木马的传播速度、范围达到了空前的地步。一些新的病毒才出现几天,就已经成为“国际罪犯”,在世界各地被围捕。而网上发布的软件、传递的E-MAIL可以说是它们扩散的最佳传媒。因此我们对下载软件和接受的E-MAIL决不可大意。
我们在DOWN软件时应该注意以下两点:
(1)下载软件应尽量选择客流大的专业下载站点。因为它们大都有专人维护,提供的软件一般不会有问题,同时速度也很快。相比较而言,大多数个人站点的技术、维护、拥有的网络资源确实没有那些专业站点雄厚,所提供的软件出问题的机会也较多,更何况还有一些个人站点,利用发布的软件大做文章,恶意放毒。像我早先曾从国内某知名个人站点DOWN过一清除“BO”的程序,这个软件实在狡猾,它首先确确实实地帮你检索并清除本机的“BO”,然后你猜怎样,它又悄悄地让你染上“BO”,我费了好大工夫才弄清是怎么一回事,幸亏那段时间我没上网,否则可有好瞧的了。
2 从网上DOWN来的软件不要立即使用,WORD文档也不宜直接打开,而应先用杀毒软件检测一番,不要嫌麻烦,有备无患嘛。建一专门的目录,设置你的下载软件使其下载时将文件DOWN到那个目录,以便于统一杀毒。对于DOWN下来的ZIP与自解压文件,不管你的杀毒软件是否支持查杀压缩文件中含的病毒,我都建议你先自行解开,以防止杀毒软件漏报。放心,如果ZIP的压缩文件中带毒的话,这样做是不会发动它们的。至于杀毒软件当然应始终保持最新版本的了,我想你一定不愿成为新型病毒、木马的试用者吧。至于杀毒结果,尤其在从个人站点DOWN过软件后往往不会令你失望的。像CIH,颇让人有杀不尽的感觉。
二、忌“自投罗网”
我们知道病毒是潜伏在别的程序体内的,在宿主程序第一次启动时被激活。而木马则不同于病毒,微软的安全公报对木马类软件的评价是:“该软件其实要求你先装入Sever 端, 然后再启动 Client 端进行控制。
虽然要将其作为特洛伊木马安装到欲控制的机器上不算很困难, 但毕竟这不是 Win95/98 的 Bug, 而是利用机器所有者的疏忽而已。”木马无法去感染别的程序、文件,进行自我复制,而且是以单独的个体存在的。因此很关键的一条就是使用户去启动木马SERVER端。我们要想避免自投罗网,就得对木马的工作机制、体系架构有所了解。
先说工作机制,一旦感染木马后,它就会给你的Windows留下后门,秘密监视网络消息,一旦发现远方的控制指令,就会秘密地予以回应,可以让远方的控制者掌握对机器的完全控制权。此后在你不知情的情况下,远方的侵入者可以随时在因特网上无限制地访问你的计算机,就如同访问其他桌上另一台机器一样方便。
基于它的工作体制,其程序也分成服务器端(以下简称S端)、客户机端(以下简称C端)两部分。这里就拿它们的开山鼻主Back Orifice(以下简称BO)为例,BO 是Win95/98平台上的一个客户机/服务器�C/S 应用程序,其客户机端(C端)程序可以监视、管理和使用网络中运行服务器端程序(S端)所在的网络资源。我们所要做的就是避免因疏忽而启动S端。
三、入网帐号与口令的保护
对于个人用户来说,入网帐号与口令应该是需要保护的重中之重,也是侵入者们最感兴趣的东西了。用于破解这类密码的程序大体分为两类:一类较为简单,主要用于跑单机WIindows的,其实只是破解一下95/98的PWL文件,速度会很快,从中可读出写入PWL的开机口令、联入网络的联结名、用户名、口令,需要注意的是由于联结的拨入电话号码是不记入PWL文件的,故PWL破解软件也显示不出来。另一类则显得专业多了,主要用于跑网上服务器密码的。
一般得先利用一些侵入技术获取这些远端主机的帐户、口令信息,其中除口令外,其他信息都是加过密的。不过,这类程序就是专门运用字典穷举法来解密的。但它们的效率完全取决于用户密码的好劣,好的密码往往会令这些破解软件无功而返。总的来说,这种解密方法极其耗时,而且效率极不稳定,有时连续跑十几个小时也不一定能弄出几个帐户口令,而有时没几个小时就跑出很多来。面对这些,我们保护自己的措施是:
1)对付PWL破解程序,这些破解程序速度是极快的,而且大都短小精悍,如果配合木马,只要PWL中有的,都可以在极短的时间内,以你毫不觉察的方式解开。对付这类软件,最干脆最安全的做法是不让Windows 95/98替我们记密码。这样PWL文件中空空如也,破解程序也就无从下手了。需要指出的是,有些破解程序是能将系统曾经记住的用户名、口令显现出来的。因此倘若你的机子曾经记住过口令的话,最好能使现在的口令与以前的不同,以备万全。至此,PWL破解程序对你已无能为力了。
2 对付后一类软件,我们的密码要取得有技巧,不要只顾好记。像与用户名相同、纯数字、由英文单词组成的密码、6位以内的密码都是成问题的。尤其与用户名相同,太好解了,很多破解软件专门为这类密码准备了快速的破译方法。好的密码最好能有8位,且数字字母相间,中间还代上“.”号之类的允许怪符号。如me2.bj99,这样的密码可以说是很牢的,用穷举猜解出这样的密码是极其困难的。?