《网络安全-电子商务经济的关键(1).docx》由会员分享,可在线阅读,更多相关《网络安全-电子商务经济的关键(1).docx(11页珍藏版)》请在三一办公上搜索。
1、网络安全电子商务经济的关键 电子商务经济的关键安全问题简介随着公共互联网、电子商务、个人计算机和计算机网络的蓬勃发展,如果不对它们进行妥善的保护,它们将越来越容易受到具有破坏性的攻击的危害。黑客、病毒、不满的员工,甚至人为故障都会给网络带来巨大的威胁。所有计算机用户从最普通的互联网冲浪者到大型企业都可能受到网络安全漏洞的影响。但是,通常可以轻松地防范这些安全漏洞。那么怎么防范呢?这手册将向您概述最常见的网络安全威胁,以及您和您的企业可以用于防范这些威胁,以及确保您网络中的数据的安全的措施。1. 安全的重要性互联网无疑已经成为最大的公共数据网络,在全球范围内实现并促进了个人通信和商业通信。互联网
2、和企业网络上传输的数据流量每天都以指数级的速度迅速增长。越来越多的通信都通过电子邮件进行;移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络;而在互联网上通过WWW方式完成的商业贸易现在已经成为企业收入的重要组成部分。尽管互联网已经转变,并大大改进了我们开展业务的方式,但是这个庞大的网络及其相关的技术为不断增长的安全威胁提供了可乘之机,因而企业必须学会保护自己免受这些威胁的危害。尽管人们认为网络攻击者们在入侵存储着敏感性数据(例如个人的医疗或者财务记录)的企业时会比较谨慎,但是对任何对象的攻击所造成的后果包括从轻微的不便直到完全失效重要数据丢失,隐私被侵犯,网络可能停机几个
3、小时、甚至几天。如果不考虑这些潜在的安全漏洞所带来的昂贵的风险,互联网可能是最安全的开展业务的手段。例如,通过电话线或者餐厅中的侍者提交信用卡信息可能比通过网站提交这些信息更危险,因为电子商务交易通常会受到加密技术的保护,而侍者和电信从业人员则并不总是会被监控或者值得信赖。但是对于企业来说,对安全问题的恐惧可能会像实际的安全漏洞一样有害。对计算机的恐惧和怀疑仍然存在,相伴而来的是对互联网的不信任。这种不信任可能会限制企业的商业机会,尤其是那些完全基于Web的公司。因此,企业必须制定安全策略,采取保护措施,这些措施不仅要非常有效,而且也要让客户能感觉到它的有效性。企业必须能够以适当的方式向公众说
4、明,他们打算怎样保护他们的客户。除了保护他们的客户以外,企业必须保护他们的员工和合作伙伴不受安全漏洞的威胁。互联网、内联网、外联网让员工和合作伙伴可以在彼此之间进行迅速的、有效的通信。但是,这种通信和效率必然也会受到网络攻击的影响。对于员工来说,一次攻击可能会导致数小时的停机,而网络必须停止工作,以修复故障或者恢复数据。显然,宝贵的时间和数据的损失可能会大幅度地降低员工的效率和士气。 法律也是推动对于网络安全的需求的另外一股重要力量。政府不仅认识到了互联网的重要性,也认识到,世界的很大一部分经济产值都依赖于互联网。但是他们同时也意识到,敞开世界经济的基础设施可能会导致犯罪分子的恶意使用,从而带
5、来严重的经济损失。各国政府因而制定了相关的法律,以管理庞大的电子信息流量。而且,为了遵守政府所颁行的各项法规,计算机行业也制定了一系列安全标准,以帮助企业确保数据的安全,并证明它的安全性。 没有制定可行的安全策略来保护其数据的企业将无法达到这些标准,并受到相应的惩罚。我发现,网络之所以不够安全,通常是由于企业没有制定安全策略和利用可以方便地得到的安全工具。企业必须完成专业的风险评估,开发全面的安全计划和基础设施,这些工作必须得到上层管理人员的公开支持。Mark Carter,COO,CoreFacts,LLC,数据恢复和分析公司2. 对数据的威胁和其他任何一种犯罪一样,对于数据的保密性和完整性
6、的威胁来自于一小部分恶意破坏者。但是,尽管一个窃车贼一次只能窃取一辆汽车,而一个来自于一台很普通的计算机的黑客却可能会损害大量的计算机网络,从而在全球造成严重的灾难。可能更加令人不安的是威胁可能来自于我们所认识的一些人。事实上,大多数网络安全专家都认为,大部分网络攻击都是由存在漏洞的企业的内部员工所发起的。这些员工通常会出于恶作剧、恶意或者过失,设法损害他们自己公司的网络并销毁数据。而且,随着远程连接技术的逐渐普及,企业增加了大量的远程办公人员、分支机构和业务伙伴。这些远程员工和合作伙伴会带来像内部员工一样的威胁,如果他们的远程联网设备没有得到妥善的保护和监控,他们还会带来安全漏洞的风险。无论
7、您是要保障一辆汽车、一个家庭、一个国家还是一个计算机网络的安全,大致地了解谁是潜在的敌人和他们的攻击方法是最重要的。3. 敌人是谁? 黑客这个概括的、通常被过度传奇化的名词指的是一些以获得对其他人的计算机或者网络的访问权为乐的计算机爱好者。很多黑客只满足于闯入网络,并留下他们的足迹,这些通常是一些玩笑式的应用程序和在计算机桌面上的留言。而其他一些被称为 破坏者(cracker)的黑客则怀有恶意,他们会摧毁整个计算机系统,窃取或者损害保密数据,修改网页,甚至最终导致业务的中断。一些业余水平的黑客只会在网上寻找黑客工具,再在不了解这些工具的工作方式和它们的后果的情况下使用这些工具。 没有警惕性的员
8、工当员工关注于他们自己的工作时,他们常常会忽略以下标准的网络安全准则。例如,他们可能会选择一些非常容易记忆的密码,以便他们可以方便地登录他们的网络。但是,这种密码可能很容易被黑客们通过简单的常识或者某种被广泛使用的密码破解软件而猜出或者破解。员工可能会无意中导致其他的安全漏洞,包括意外地接收和传播计算机病毒等。最常见的感染病毒的方式是通过软盘拷贝文件和从互联网上下载文件。通过软件传输数据的员工可能会无意地将他们从复制中心或者图书馆感染的病毒传播到他们的企业网络。他们甚至可能并不知道病毒是否驻留在他们的PC中。企业还面临着在员工从互联网下载文件(例如PowerPoint演示文件)时感染病毒的风险
9、。令人吃惊的是,企业还必须警惕人为错误。员工无论他们是计算机新手还是计算机行家都会犯下一些错误,例如错误地安装病毒防护软件或者意外地忽视了关于安全威胁的警告信息。 91%的受访者都发现过员工滥用互联网访问权限的情况。2001年度的计算机安全委员会和FBI联合调查 心怀不满的员工与因员工错误导致对网络的损害相比,更令人不安的是某个恼怒的或者意图报复的员工造成网络损害的可能性。恼怒的员工通常是那些被指责、解雇或者停职的员工可能会报复性地通过病毒或者有意删除重要文件,来损害他们的网络。这种群体最为危险,因为他们通常比较了解网络、网络中的信息的价值、高度重要的信息所在的位置,以及它所采取的保护措施。
10、爱打听消息的人无论对工作满意还是不满意,有些员工还可能非常好奇或者爱恶作剧。在这些被称为爱打听消息的人的员工中,有些可能会参阅商业间谍行为,未经授权地访问保密信息,从而为竞争对手提供一些通过其他方式无法获得的信息。其他一些则只是通过访问私人的信息(例如财务数据,同事之间的一封浪漫的电子邮件,或者某个同事的工资)来满足他们个人的好奇心。在这样的行为中,有些可能相对来说没有什么害处,但是有些行为(例如事先查看私人的财务、医疗或者人力资源数据)则要严重得多,可能会伤害别人的声誉,导致公司遭受经济损失。 4. 这些敌人将做什么? 病毒病毒是最广为人知的安全威胁,因为它们通常会获得广泛的媒体报道。病毒是
11、由一些不正直的程序员所编写的计算机程序,它采用了独特的设计,可以在受到某个事件触发时,复制自身,并感染计算机。例如,被称?quot;宏病毒的病毒可以将自身添加到含有宏指令(可以自动重复的日常任务,例如邮件合并)的文件,并在每次宏运行时被激活。一些病毒的效果相对比较良性,会导致讨厌的中断,例如当用户在键盘上敲击某个字符时显示某个滑稽的消息。其他有一些病毒则更具有破坏性,可能导致各种问题,例如删除硬盘上的文件或者降低系统的速取? 如果在病毒可以通过某个外界来源进入网络时(大多数是通过某个受到感染的磁盘或者某个从互联网上下载的文件),网络才会感染病毒。当网络上的一台计算机被感染时,网络上的其他计算机
12、就非常有可能感染到这种病毒。85%的受访者在过去12个月中发现过计算机安全漏洞,这个比例比1996年增长了42%。2001年度的计算机安全委员会和FBI联合调查 特洛伊木马程序特洛伊木马程序,或者简称特洛伊,是破坏性代码的传输工具。特洛伊表面上看起来是无害的或者有用的软件程序,例如计算机游戏,但是它们实际上是伪装的敌人。特洛伊可以删除数据,将自身的复本发送给电子邮件地址簿中的收件人,以及开启计算机进行其他攻击。只有通过磁盘,从互联网上下载文件,或者打开某个电子邮件附件,将特洛伊木马程序复制到一个系统,才可能感染特洛伊。无论是特洛伊还是病毒并不能通过电子邮件本身传播它们只可能通过电子邮件附件传播
13、。 恶意破坏程序网站会提供一些软件应用(例如ActiveX和Java Applet)的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果,从而让网站更具有吸引力和互动性。但是,由于这些应用非常便于下载和运行,从而提供了一种造成损害的新工具。恶意破坏程序是指会导致不同程度的破坏的软件应用或者Java小程序。一个恶意破坏程序可能只会损坏一个文件,也可能损坏大部分计算机系统。 攻击目前已经出现了各种类型的网络攻击,它们通常被分为三类:探测式攻击,访问攻击和拒绝服务(DoS)攻击。 1. 探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网络。通常,软件工具(例
14、如探测器和扫描器)被用于了解网络资源情况,寻找目标网络、主机和应用中的潜在漏洞。例如,有一种专门用于破解密码的软件。这种软件是为网络管理员而设计的,管理员可以利用它们来帮助那些忘记密码的员工,或者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但是,这种软件如果被错误的人使用,就将成为一种非常危险的武器。2. 访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件帐号、数据库和其他保密信息。 3. DoS攻击可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是:向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无法控制的数据,从而
15、让正常的访问无法到达该主机。更恶毒的是分布式拒绝服务攻击(DDoS),在这种攻击中攻击者将会危及到多个设备或者主机的安全。 数据阻截通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息,甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。例如IP伪装方法,即通过使用数据接收者的IP地址,伪装成数据传输中的经过授权的一方。 社会活动社会活动是一种越来越流行的通过非技术手段获取保密的网络安全信息的手段。例如,一个社会活动者可能会伪装成一个技术支持代表,打电话给员工,获取密码信息。社会活动的其他例子包括贿赂某一员工,以获取对某个服务器的访问权限,或者搜索
16、某个同事的办公室,以寻找可能写在某个隐蔽地点的密码等。 垃圾信件垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的,但是它可能会浪费接收者的时间和存储空间,带来很多麻烦。 5. 安全工具在找出了可能的威胁来源和可能导致的损害以后,制定适当的安全策略和保护措施就变得比较容易了。企业可以选择多种技术从杀毒软件包到专用的网络安全硬件(例如防火墙和入侵检测系统),来为网络的所有部分提供保护。与一个建筑物一样,网络也需要多层保护才能真正安全。在确定了这种解决方案以后,就可以部署能够周期性地检测网络中的安全漏洞,提供持续、主动的安全保护的工具
17、。另外还需要聘请专业的网络安全顾问来帮助企业为网络设计合适的安全解决方案,或者确保现有的解决方案的及时和安全。在所有这些选择都准备好以后,就可以在不严重影响用户对于快速、方便地访问信息的需求的前提下,实现足够的保护。 十大安全注意事项 1. 鼓励或者要求员工选择比较复杂的密码。2. 要求员工每90天更换一次密码。3. 确保您的杀毒软件的版本是最新的。4. 让员工了解电子邮件附件的安全风险。5. 实施一个完整的、全面的网络安全解决方案。6. 定期评估您的安全状况。7. 当一个员工离开公司时,立刻取消该员工的网络访问权限。8. 如果您让员工在家工作,就要为远程数据流量提供一个安全的、集中管理的服务
18、器。9. 定期升级您的Web服务器软件。10. 不要运行任何不必要的网络服务。 杀毒软件包大多数计算机都装有杀毒软件,如果该软件被及时更新并正确维护,它就可以抵御大多数病毒攻击。杀毒软件行业依靠一个庞大的用户网络来提供对新病毒的早期预警,以便迅速地开发和发放杀毒程序。由于每个月诞生的新病毒数以千计,所以保持最新的病毒数据库非常重要。病毒数据库是杀毒软件包中含有的病毒记录,它可以用于发现已知的病毒。著名的杀毒软件供应商将在它们的网页上公布最新的杀毒程序,以及用于提醒用户定期地采集新数据的软件。网络安全策略应当保证网络上的所有计算机都都具有最新的病毒数据库,并且最好是由同一个杀毒软件包提供保护这有
19、助于最大限度地降低维护和升级成本。定期地升级软件本身也很重要。病毒的设计者们通常会将通过杀毒软件包的检测作为他们的首要目标。 安全策略在设置一个网络时,无论它是一个局域网(LAN)、虚拟LAN(VLAN)还是广域网(WAN),在刚开始时设置最基本的安全策略非常重要。安全策略是一些根据安全需求,以电子化的方式设计和存储的规则,用于控制访问权限等领域。当然,安全策略也包括一个企业所执行的书面的或者口头的规定。另外,企业必须决定由谁来实施和管理这些策略,以及怎样通知员工这些规则。 安全策略、设备和多设备管理的作用相当于一个中央安全控制室,安全人员在其中监控建筑物或者园区的安全,进行巡逻或者发出警报。
20、(1) 采用什么策略?所实施的策略应当控制谁可以访问网络的哪个部分,以及如何防止未经授权的用户进入访问受限的领域。例如,通常只有人力资源部门的成员有权查看员工的薪资历史。密码通常可以防止员工进入受限的领域。一些基本的书面策略,例如警告员工不要在工作场所张贴他们的密码等,通常可以预先防止安全漏洞。可以访问网络的某些部分的客户或者供应商也必须受到策略的适当管理。(2) 谁来实施和管理策略?制定策略和维护网络及其安全的个人或者群体必须有权访问网络的每个部分。而且,网络策略管理部门应当获得极为可靠,拥有所需要的技术能力的人员。如前所述,大部分网络安全漏洞都来自于内部,所以这个负责人或者群体必须确保其本
21、身不是一个潜在的威胁。一旦被任命,网络管理人员就可以利用复杂的软件工具,来帮助他们通过基于浏览器的界面,制定、分配、实施和审核安全策略。(3) 您怎样向员工传达这些策略?如果相关各方都不知道和了解规则,那规则实际上没有任何用处。为传达现有的策略、策略的更改、新的策略以及对于即将到来的病毒或者攻击的安全警报制定有效的机制是非常重要的。 身份识别您的策略一旦确定,就必须采用身份识别方法和技术来帮助进行准确的身份认证,并验证用户和他们的用户缺陷。 访问控制服务器的作用相当于负责地点安全的准入卡和门卫,它可以为流量和用户提供集中的身份认证、授权和记帐(AAA)。 密码确保网络的特定领域都得到了密码保护
22、只有那些具有专门的密码的人才能进入是确保只有那些拥有特定权限的人才能进入网络的某个特定领域的最简单、最常用的方法。在上面提到的物理安全系统中,密码的作用类似于准入卡。但是,如果用户没有保管好他的密码,最强大的网络安全基础设施实际上也是没有用的。很多用户选择用便于记忆的数字或者单词来作为自己的密码,例如生日、电话号码或者宠物的名字,其他一些用户则永远不更改他们的密码,并且不注意保密。关于密码的黄金规则或者策略是: 1. 定期更改密码2. 尽可能让密码不具有任何意思3. 决不要将密码泄露给任何人,直到离开公司为止 将来,一些密码可能会被生物技术所取代,这种技术可以根据用户的生理特征来辨别用户的身份
23、,例如指纹、眼纹或者声纹。 数字认证 数字认证或者公共密钥认证是驾驶执照和护照的电子式等价物,由制定的认证授权机构(CA)发布。数字认证主要用于在通过互联网建立加密通道时,例如在虚拟专用网(VPN)中时进行认证。 访问控制在一个用户通过密码获得对网络的访问权限之前,网络必须判断该密码的有效性。访问控制服务器可以根据所存储的用户简历,验证用户的身份,判断该用户可以访问哪部分信息。在与之类似的物理安全系统中,访问控制服务器的作用相当于检查准入卡的门卫。 访问控制列表和防火墙类似于建筑物外墙上的门锁,只让经过授权的用户(拥有钥匙或者胸牌的用户)进出。 防火墙防火墙是一个部署在网络基础设施中的硬件或者
24、软件解决方案,它可以通过限制对于某些特定的网络资源的访问,实施一个企业的安全策略。在类似的物理安全系统中,防火墙的作用相当于通往建筑物内的一个房间的外门上的门锁它只允许那些经过授权的用户,例如那些拥有钥匙和准入卡的用户进入。有些版本的防火墙技术甚至适用于家庭使用。防火墙可以在网络和外部世界之间创建一个保护层。事实上,防火墙在接入点处复制了网络,以便它可以在没有严重延迟的情况下接收和发送经过授权的数据。但是,它具有内置的过滤器,这些过滤器可以不让未经授权的或者可能具有危险的数据进入实际的系统。它还会把所有尝试过的入侵记录下来,提交给网络管理员。 加密加密技术确保了消息不会被除经过授权的接受者以外
25、的任何人阻截或者读取。加密通常用于保护那些在某个公共网络上传输的数据,它可以利用先进的数学算法来搅乱消息和它们的附件。目前存在多种加密算法,但是有些算法更为安全。加密提供了维持日益流行的VPN技术所必须的安全性。VPN是基于公共网络(例如互联网)的专用连接或者隧道。它们用于将远程办公人员、移动员工、分支机构和业务伙伴连接到企业网络,或者互相连接到一起。所有VPN硬件和软件设备都支持先进的加密技术,从而可以为它们所传输的数据提供最大程度的保护。 虚拟专用网(VPN)类似于携带着重要的货物驶向某个指定地点的装甲车,它们可以确保安全的、保密的传输。 入侵检测企业继续部署防火墙,将其作为它们的中央门卫
26、,以防止未经授权的用户进入它们的系统。但是,网络安全技术在很多地方类似于物理的安全系统,其中之一就是没有任何一种技术可以满足所有需要因而一个层次化的防御系统可以带来最佳的效果。越来越多的企业开始寻求利用其他的安全技术来抵御防火墙本身无法消除的风险和漏洞。基于网络的入侵检测系统(IDS)可以提供全天候的网络监控。IDS可以分析网络中的分组数据流,查找未经授权的活动(例如黑客的攻击),让用户在系统受到危害之前对安全漏洞采取措施。当检测到未经授权的活动时,IDS可以向管理控制台发送警告,其中含有详细的活动信息,还可以要求其他系统(例如路由器)中断未经授权的进程。在类似的物理系统中,IDS类似于一个摄
27、像机和移动传感器;它可以检测未经授权的或者值得怀疑的活动,并可以与自动执行的响应系统(例如守卫系统)合作阻止该活动。 入侵检测类似于一个监控摄像机和移动传感器,可以检测活动、发送警告,采取防御措施。扫描系统类似于一个安全守卫,可以在有人闯入之前,检查和关闭敞开的门和窗户。 网络扫描网络扫描器可以对网络系统进行详细的分析,以生成一个网络资产的电子式库存列表,并检测可能会带来安全危害的漏洞。这种技术让网络管理人员可以在入侵者发现安全漏洞之前,找到并修补这些安全漏洞。在类似的物理安全系统中,扫描类似于执行周期性的建筑物巡逻,以确保门被锁好,窗户被关好。它有助于评估和了解风险,从而让用户可以采取纠正措
28、施。 专业经验尽管电子化的扫描工具可以彻底地检测网络安全漏洞,但是由专业的安全顾问所进行的安全评估可以进一步加强它们的作用。安全评估是对网络的安全形势的集中分析,找出有待改进的安全缺陷或者漏洞。周期性的评估有助于确保在网络的频繁改动中,网络的安全性不会被削弱。在类似的物理安全系统中,一个周期性的安全评估(例如扫描)类似于一个周期性地在整个保安区域中巡逻的警卫,他将会检查门窗上的锁,报告任何可能存在的异常情况,并提供纠正意见。 效果随着时间的推移,越来越多的新技术将被开发出来,用于进一步地提高业务和通信的效率。同时,技术上的突破也将提供更强大的网络安全性,因而也让您可以在先进的业务环境中更加安心地工作。如果企业始终站在这种新型技术的前列,并能够防御最新的安全威胁和攻击,网络所带来的好处必然将远远超过它所带来的风险。
