网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

王琨月：安全策略不是口号

作者： ZDNet China
CNETNews.com.cn
2004-06-08 09:34:02

作者：王琨月（《每周电脑报》）

编者按：任何想建立安全系统的企业，自己心里都会有一个安全模型。或者自己比较了解网络 安全的结构，或者有的干脆就找安全咨询公司帮助打造自己理想的模型。当然，每个企业所规划的安全模型都不一样，也就造成 了安全系统效果的各不相同。不过归根结底，构成安全系统的因素无外乎三点：安全产品（软件、硬件）、安全策略、安全的人。 安全产品比比皆是，性能、效果也都大同小异；安全的人很难界定，还要从教育入手，并用安全策略来限制；安全策略则是安全 系统的核心，直接影响着安全产品效能的发挥，人员的安全性。所以，定制好的安全策略成为了一个企业打造安全网络最重要的 环节，应该引起企业的足够重视。

安全策略是一个比较虚化的词，具体应该包括什么呢？安全漏洞评估，制定针对企业员工使用网络的管理制度，对危害发生时的 响应过程，对安全产品的定期升级，对管理员的培训都是安全策略的内容。可以说，除了产品本身，其他跟安全有关的方方面面 都可以由“安全策略”四个大字来涵盖。

安全策略是思想既然安全策略是个虚词，我们就应该把它具体化，以便实施。比如，安全策略中应该包括这样的内容：就是“想 黑客所想，思黑客所思”，像个黑客一样，思考网站的安全策略。这是专家们针对企业网站安全性提供的一条建议。

一位欧洲的数据安全专家曾建议说，负责公司网站内容的管理员应该“像黑客一样进行思考”，因为那些在公司网站上看上去并 不起眼的信息片段，一旦被黑客汇集并归纳，其后果可能会导致公司内部机构设置、战略合作伙伴、核心客户的重要信息被泄露。 这位专家指出：维护公司网站的安全不仅仅只是网站管理员和公共关系部门的责任。在网站贴出任何信息之前，公司的IT安全人 员应该从安全性角度对信息内容进行审核。毕竟，他们的职责正是检查存在哪些技术弱点，并采用适当方式防止破坏产生。换句 话说，专业的IT安全人员应该被训练成“黑客”。只有这样，IT安全人员才能知道哪些东西是黑客们想要的，也就可以防患于未 然。

安全策略是责任随着相关网络安全法律的出台和健全，很多曾经被疏忽的安全问题有可能导致企业承担相应的法律责任。尤其是 安全问题涉及到与企业密切联系的供应链和商业合作伙伴，或者涉及到公司网站收集的客户信息时。比如，当某人登录A 公司网 站后，由于该网站缺乏充分的安全防护，使他能够利用A 公司网站入侵到B 公司的信息系统，并可能采取更进一步的破坏活动。 尽管具体实施入侵活动的是作为第三者的黑客，但B 公司仍然以受到损害为由起诉A 公司并取得胜诉。所以保护自己企业的网络 安全的同时，也是对他人的一种责任，或者是一种社会责任。

目前，最普遍也是最危险的情况是，企业网站上经常使用“详情请与某人联系”的电子邮件地址。不法者可以通过直接使用网站 上公开的电子邮件名称，轻易获取到他们想要的信息。通常，恶意垃圾邮件制造者正是利用这些网站上公布的邮件地址和掩码地 址进行垃圾邮件散布。这些地址和名称信息也可能被心存恶意的黑客利用，通过伪造电子邮件进行蠕虫或其他病毒的传播。这无 疑给社会带来了负面影响，应该引起足够的重视。避开这种潜在危险的一个方法是利用Web 表单（Web form），取代用户与公司 内部电子邮件系统的直接联系方式。

安全意识是个老声长谈的问题。通过多次的全球性威胁的发生，人们逐渐树立起更强的安全意识。但是有很多地方依然没有引起 人们的注意，这正是黑客们抓住的弱点。比如，对网站上可能被利用的信息应该严格审查。有些重要信息虽然没有直接出现在网 站上，但并不表明这些信息不会被窃取。网站可能正是重要信息被泄露的一个漏洞。因此，对网站内容进行审查至关重要。如果 公司的IT部门不能对网站内容提供专业的安全保护，那么就有必要聘请专业的第三方来履行这个安全责任。

安全策略是权限互联网安全企业RedSiren负责产品策略的副总裁Nick Brigman建议：公司网站应该积极采用“最小特权原则” （rule of least-privilege ）。一方面必须确保赋予使用者“必不可少”的功能操作，另一方面需要警惕IT安全管理的执行。 他指出：首先应该为公司网站确定目标和使用权限。如果公司设立网站的目标仅仅在于吸引更多的客户关注，把他们导向销售团 队，那么不需要将公司的内部信息公布在网站上，过多的信息可能会泄露公司的商业机密。 (责任编辑：admin)