企業信息安全

企業信息安全

國際、國內對信息安全的論述大致分為兩大類:一類是指具體的信息安全技術系統的安全;另一類是指某些特定的信息體系(如銀行系統、軍事指揮系統)的安全。但也有人認為這兩種定義也不能完全概括信息安全問題。目前,隨著中國企業信息化發展的不斷完善,國產企業信息安全產品的研發也進入了現代企業信息安全產品階段,其中代表作就是國家高新技術企業效率源科技的數據信息安全保障系統SD-DSM,他將數據信息安全防禦、數據信息安全日常監管、數據信息安全事故應急補救融為一體,可以徹底排查數據信息安全隱患,為單位的數據信息系統提供全程、全方位的數據信息安全保障。

企業信息化發展過程

企業信息化定義

企業信息化(Enterprises informatization) ,企業信息化是指企業廣泛利用現代信息技術,充分開發和利用企業內部或外部的,企業可能得到和利用的,並與企業生產經營活動有關的各種信息,以便及時把握機會,做出決策,增進運行效率,從而提高企業競爭力水平和經濟效益的過程。

企業信息化的作用

1、企業信息化,能提高企業經營管理信息的準確性和及時性,有助於企業決策的進一步科學化。

2、企業信息化,能促使企業業務辦事程式和管理程式更加合理,從而有助於增強企業的快速反應能力。

3、企業信息化,能進一步促進企業資源的合理組合及利用,使其在現有資源條件下達到最佳利用效果,從而大大提高企業的生產經營效率和管理效率。

4、企業信息化能給企業提供一個的強大、快捷的信息交流平台,有助於我們緊緊跟蹤一些先進經驗和成果,從而有助企業的發展,提高員工的創新能力。

我國企業信息化發展歷程

中國的企業信息化建設大致經歷了下面四個階段:

(一)準備階段(1993年以前)

1982年10月4日,國務院成立了計算機與大規模積體電路領導小組。 1984年為了加強對電子和信息事業的集中統一領導,有效地推動這項工作,國務院決定將國務院計算機與大規模積體電路領導小組改為國務院電子振興領導小組。 在“七五”期間,電子振興領導小組重點抓了十二項套用系統工程:郵電通信系統、國家經濟信息系統、銀行業務管理系統、電網監控系統、京滬鐵路運營系統、天氣預報系統、科技情報信息系統、民航旅客服務計算機系統、航天實時測控與數據處理系統、公安信息系統、財稅系統、軍事指揮系統,並建立電子信息技術推廣套用貼息貸款,支持套用電子信息技術改造傳統產業。

1986年3月,經鄧小平同志批准,投資100億元啟動了國家高技術研究發展計畫,即“863”計畫。 1988年5月,機電部成立並承擔電子產業的任務。隨後,國務院電子振興領導小組辦公室,更名為國務院電子信息系統推廣套用辦公室。

從1988年至1992年,國家經濟委員會、機電部、國家科委和電子信息技術推廣套用辦公室,在推動傳統產業技術改造、EDI技術、CAD/CAM以及MIS等領域,做了大量工作,不斷推動電子信息技術套用向縱深發展。

(二)啟動階段(1993年3月-1997年4月)

我國信息化正式起步於1993年,黨和國家領導人江澤民、李鵬、朱鎔基、李嵐清等提出信息化建設的任務,啟動了金卡、金橋、金關等重大信息化工程,拉開了國民經濟信息化的序幕。

1993年12月,成立了以國務院副總理鄒家華為主席的國家經濟信息化聯席會議,加強統一領導,確立了推進信息化工程實施、以信息化帶動產業發展的指導思想。

1994年5月成立了國家信息化專家組,作為國家信息化建設的決策參謀機構。

1996年以後,中央和地方都確立了信息化在國民經濟和社會發展中的重要地位,信息化在各領域、各地區形成了強勁的發展潮流。

1996年1月,國務院成立了以國務院副總理鄒家華任組長,由20多個部委領導組成的國務院信息化工作領導小組,統一領導和組織協調全國的信息化工作。

(三)展開階段(1997年4月-2000年10月)

經過1993-1997年的建設與發展,符合我國國情的信息化發展思路已經初步形成。

國務院信息化工作領導小組確立了國家信息化的定義和國家信息化體系六要素,進一步充實和豐富了我國信息化建設的內涵;提出了信息化建設"統籌規劃,國家主導;統一標準,聯合建設;互聯互通,資源共享"的二十四字指導方針。

經國務院批准,1997年4月18-21日,國務院信息化工作領導小組在深圳召開了首次全國信息化工作會議,會議全面部署了信息化工作,通過了規劃,成為我國信息化建設發展的里程碑。

1998年,原國務院信息化工作領導小組辦公室整建制併入新組建的信息產業部,成立了信息產業部信息化推進司(國家信息化辦公室),負責推進國民經濟和社會服務信息化的工作。

1999年2月,國家信息化專家組變更為國家信息化辦公室專家委員會。

1999年12月,根據國務院領導關於恢復國務院信息化領導小組的批示,成立了由國務院副總理吳邦國擔任組長的國家信息化工作領導小組,以繼續推進國家信息化工作。

信息產業部努力推動電信體制改革,進行了政企分開,郵電分營、電信重組和結構調整、國營企業改革。初步形成了中國電信、中國移動、中國聯通、中國網通、中國鐵通等多家電信運營公司開展市場競爭的格局。與此同時,會同有關部門,積極推動政府上網工程、企業上網工程和電子商務,在國民經濟信息化方面,做了大量工作。

(四)發展階段(2000年10月至今)

《中共中央關於制定國民經濟和社會發展第十個五年計畫的建議》指出:信息化是當今世界經濟和社會發展的大趨勢,也是我國產業最佳化升級和實現工業化、現代化的關鍵環節。要把推進國民經濟和社會信息化放在優先位置。大力推進國民經濟和社會信息化,是復蓋現代化建設全局的戰略舉措。以信息化帶動工業化,發揮後發優勢,實現社會生產力的跨越式發展。

企業信息安全的重要性

中國電子信息產業發展研究院曾經做過預測,針對中國中小企業調查他們對信息安全需求,企業對於信息安全的認知也跨出了一大步,有相當一部分的企業擔心信息安全問題,而網路問題則是他們關心的第一位,調查還顯示只有五分之一的企業沒有信息泄密的事實,卻也足以讓人心驚膽戰。企業的正常運作離不開信息資源的支持,包括企業的經營計畫、智慧財產權、生產工藝、流程配方、方案圖紙、客戶資源以及各種重要數據等,這些都是企業全體員工努力拚搏、刻苦鑽研、殫精竭慮、長期積累下來的智慧結晶,是企業發展的方向和動力,關乎著企業的生存與發展,企業的重要信息一旦被泄露會使企業頓失市場競爭優勢,甚至會遭受滅頂之災。

因此,企業要保持健康可持續性發展,信息安全是基本的保證之一。隨著網路環境的日益惡化以及企業自身的發展伴隨著越來越多的商業泄密事件的發生,信息安全問題逐漸被提上議事日程,企業管理者也逐漸走出以往的誤區,信息安全建設成了企業首要任務,一些中小企業也紛紛加入到這個日益龐大的隊伍中來。所以,在不久的將來,信息安全將更多的被企業所關注,會有更多的企業加入到安全行列中來的,這也是企業生存和發展的關鍵步驟之一。

隨著計算機技術的不斷發展,計算機被廣泛地套用於各個領域,如數值計算、數據處理、輔助設計與製造、人工智慧、家電產品等。在企業(包括政府機關、事業單位、生產企業、商品流通企業、金融財稅等)中,利用計算機進行管理的目的是為了提高工作效率,使企業管理水平有一個明顯的提高。例如,ERP(企業資源計畫)系統、O A ( 辦公自動化) 系統以及各類管理信息系統、各種信息製作和傳播工具等,都要涉及信息的存儲、傳輸與使用等信息處理問題,而尤為突出的是信息處理過程中的信息安全問題。對於存儲在計算機中的重要檔案、資料庫中的重要數據等信息都存在著安全隱患,一旦丟失、損壞或泄露、不能及時送達,都會給企業造成很大的損失。如果是商業機密信息,給企業造成的損失會更大,甚至會影響到企業的生存和發展。

在沒有使用計算機進行信息管理之前,信息通常都是以紙介質和某些設備(如錄音、錄像設備等)進行保存和傳播,並對信息的安全管理有著嚴格的行政管理、法律法規約束,一旦出現安全問題,可以通過行政、執法手段進行追蹤,查出問題的根源,並追究其相應的責任。而現在用計算機管理的信息安全問題更為複雜,象數據瞬間丟失、瞬間被盜、瞬間被破壞等問題,大大增加了管理難度。如果管理不善,如重要檔案、圖紙、信用卡賬戶等機密檔案,出現安全問題時很難查清。因此,企業的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業信息安全,就必須找出存在信息安全問題的根源,並具有良好的安全管理策略。

我國企業信息化安全現狀分析

天災,也叫“不可抗力”的災難,通常指水火無情的自然災害,而在科技越來越發達的今天,企業可能要面臨另一種“天災”,那就是——信息安全威脅。

二十世紀九十年代末出現的Internet標誌著人類社會已經進入了信息化時代,在這個時代,越來越多的人已經開始離不開Internet。由於internet的共享性和對外開外性,如何保證信息安全就成為發展internet的重要課題。目前,我國整體的企業信息安全防護能力還很不夠,許多套用系統還處於不設防的狀態或系統安全維護得很不夠。

隨著企業上網的迅猛發展,企業信息安全問題變得尤為重要,因為企業信息安全問題直接關係到企業的生存與發展,確保企業信息安全、以便企業不受損失應該成為各級企業用戶的共識。

企業信息安全隱患企業信息安全隱患

現在許多企業沒有意識到網際網路的易受攻擊性,盲目相信國外的加密軟體,對於系統的訪問許可權和密鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網路管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標,如此態度,企業信息安全更是無從談起。

當企業的業務、管理越來越多地依賴網路的時候,決策者們必須意識到企業的命運已經跟信息安全緊緊聯繫在一起。但令人遺憾的是,雖然信息安全將企業推上死路的例子數不勝數,因為安全問題造成的損失紀錄也不斷刷新,可是信息安全還沒有被企業決策者們真正重視起來。

安裝一個防毒軟體,設立一個IT部門,購買一個防火牆,就認為萬事大吉了,企業信息安全從此徹底解決,其實這樣的想法是完全錯誤的,甚至會給企業帶來致命性的損失。

常見的企業信息安全威脅因素

病毒木馬、黑客攻擊、區域網路內部ARP、溢出攻擊、內部人員故意泄密、內部人員無意泄密、數據信息存儲設備故障、自然災害等等。

常見企業信息化安全產品

傳統企業信息化安全產品

所謂傳統信息安全產品,就是指那些功能單一型的信息安全產品,他大致包括:

用戶身份認證,如靜態密碼、動態密碼(簡訊密碼、動態口令牌、手機令牌)、USB KEY、IC卡、數字證書、指紋虹膜等。

防火牆:即訪問控制系統,它在內部網路與不安全的外部網路之間設定障礙,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。

安全路由器:由於WAN連線需要專用的路由器設備,因而可通過路由器來控制網路傳輸。通常採用訪問控制列表技術來控制網路信息流。

安全伺服器:安全伺服器主要針對一個區域網路內部信息存儲、傳輸的安全保密問題,其實現功能包括對區域網路資源的管理和控制,對區域網路內用戶的管理,以及區域網路中所有安全相關事件的審計和跟蹤。

安全管理中心:由於網上的安全產品較多,且分布在不同的位置,這就需要建立一套集中管理的機制和設備,即安全管理中心。它用來給各網路安全設備分發密鑰,監控網路安全設備的運行狀態,負責收集網路安全設備的審計信息等。

文檔安全網關:SecGateway用於企業數據中心與辦公網路有效隔離的嵌入式專用設備。採用鏈路加密的方式,實現客戶端的準入,從檔案在企業的使用流程入手,將數據泄露防護與企業現有OA系統、檔案服務系統、ERP系統、CRM系統等企業套用系統完美結合,對通過網關的文檔數據進行透明加解密工作,有效解決文檔在脫離企業套用系統環境後的安全問題。為企業部署的所有套用系統提供有效的安全保障

入侵檢測系統(IDS):入侵檢測,作為傳統保護機制(比如訪問控制,身份識別等)的有效補充,形成了信息系統中不可或缺的反饋鏈。

入侵防禦系統(IPS):入侵防禦,入侵防禦系統作為IDS很好的補充,是信息安全發展過程中占據重要位置的計算機網路硬體。

安全資料庫:由於大量的信息存儲在計算機資料庫內,有些信息是有價值的,也是敏感的,需要保護。安全資料庫可以確保資料庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。

文檔安全網關:SecGateway用於企業數據中心與辦公網路有效隔離的嵌入式專用設備。採用鏈路加密的方式,實現客戶端的準入,從檔案在企業的使用流程入手,將數據泄露防護與企業現有OA系統、檔案服務系統、ERP系統、CRM系統等企業套用系統完美結合,對通過網關的文檔數據進行透明加解密工作,有效解決文檔在脫離企業套用系統環境後的安全問題。為企業部署的所有套用系統提供有效的安全保障文檔安全網關:SecGateway用於企業數據中心與辦公網路有效隔離的嵌入式專用設備。採用鏈路加密的方式,實現客戶端的準入,從檔案在企業的使用流程入手,將數據泄露防護與企業現有OA系統、檔案服務系統、ERP系統、CRM系統等企業套用系統完美結合,對通過網關的文檔數據進行透明加解密工作,有效解決文檔在脫離企業套用系統環境後的安全問題。為企業部署的所有套用系統提供有效的安全保障文檔安全網關:SecGateway用於企業數據中心與辦公網路有效隔離的嵌入式專用設備。採用鏈路加密的方式,實現客戶端的準入,從檔案在企業的使用流程入手,將數據泄露防護與企業現有OA系統、檔案服務系統、ERP系統、CRM系統等企業套用系統完美結合,對通過網關的文檔數據進行透明加解密工作,有效解決文檔在脫離企業套用系統環境後的安全問題。為企業部署的所有套用系統提供有效的安全保障

數據容災設備:數據容災作為一個重要的企業信息安全管理體系中的一個重要補救措施,在整個企業信息安全管理體系中有著舉足輕重的作用。數據容災設備包括數據恢復設備、數據複製設備、數據銷毀設備等。目前套用較多的數據容災設備包括效率源HD Doctor、Data Compass數據指南針、Data Copy King硬碟複製機、開盤機等。

現代企業信息化安全產品

其實任何一種企業信息化安全產品產品,不論是軟體還是硬體都不可能做到100%的防護企業信息化安全,何況新的信息安全隱患也在不斷的出現,這在一定程度上也導致了企業信息安全產品的局限性。歐美等信息化發展較早的國家在10年前就發現了這個問題,因此在2000年左右就開始著手研發側重於信息安全事故應急補救,也就是專業數據恢復和安全數據擦除銷毀的信息安全產品,為了與以前的防火牆、防毒軟體等信息安全產品相區別,國際企業信息安全行業稱這種信息安全產品為“現代企業信息安全產品”。

據了解,目前我國大多數的數據信息安全產品都局限於防毒軟體、防火牆、備份工具等等這些歐美國家早在十年前就已經淘汰了的傳統數據信息安全產品。這些過時產品功能大多只能抵禦外部攻擊、簡單數據信息二次存儲等等,對於內部泄密的防範、信息系統的日常維護、以及數據信息安全事故發生後的補救等都沒有很好的解決辦法。這些落後的數據信息安全產品早已經遠遠不能適應信息化高速發展時代數據信息安全保障的需求。因此研發出具有全球頂尖數據安全保障技術的數據信息安全保障系統,對於數據信息安全來說就顯得尤為重要。

目前,隨著中國企業信息化發展的不斷完善,國產企業信息安全產品的研發也進入了現代企業信息安全產品階段,其中代表作就是國家高新技術企業效率源科技的數據信息安全保障系統SD-DSM,他將數據信息安全防禦、數據信息安全日常監管、數據信息安全事故應急補救融為一體,可以徹底排查數據信息安全隱患,為單位的數據信息系統提供全程、全方位的數據信息安全保障。

三位一體企事業單位數據信息安全保障系統三位一體企事業單位數據信息安全保障系統

據效率源技術總工張彬介紹,近幾年,國家發改委、科技部、國家保密局都大力支持全領域數據信息安全保障系統的研製,今年更是將信息產業作為了“十二五”信息化發展的基礎產業。SD-DSM是此次國家大力扶植的高新技術產品之一,也是國內首款功能最完善、技術最先進的全領域數據信息安全保障系統,他融合了效率源數十項國際尖端數據安全保障專利技術,將高速離線數據備份、數據恢復和安全數據擦除銷毀等國際主流數據安全技術匯聚一身,是我國數據信息安全保障從此進入全領域防護結合時代的代表作。他可以為企事業單位的信息系統提供三位一體的數據信息安全保護,從而保障企事業單位信息運維管理高效、有序的進行。目前該系統核心技術已通過國家保密局檢測中心和軍隊信息評測中心的認證,獲得了由國家科技部發放的專項項目資金扶植,成功配備於中國工程物理研究院、國家保密局、總參部57研究所、中糧集團、四川長虹集團等百餘家國家重點單位和部門,獲得了廣泛的好評。

企業信息安全方法技巧

確保設備和系統的正確配置

多數防火牆損害是由於其錯誤配置造成的,而不是由防火牆的缺陷造成的。這至少說明一點,保障安全設備的正確配置很有意義。在防禦自己的網路時,實施恰當的安全工具和策略是很重要的。因而,如果企業的設備過期了,遺漏了關鍵的補丁或沒有配置,企業網路遭受暴露的可能性就很大了。有人也許會說,我擁有強健的防火牆規則,我的網路固若金湯。但是,如果路由器運行在一個有嚴重漏洞的老作業系統上,其中的安全漏洞隨時可被利用,這不是相當於摟著一顆隨時有可能發生爆炸的定時炸彈嗎?

打破壁壘,協作制勝

企業的低效安全是企業文化問題的一個症狀。IT和IT運營團隊都要為管理、支持、保障越來越複雜的網路環境負責,並呼籲更多的資源參與到安全工作中。隨著工作日益增多,每一個部門都非常重視自己的業務套用,複雜的連通性需求也牽涉到多個方面,如應用程式的所有者和防火牆的管理員等。企業應當考慮打破無形的壁壘,讓有關各方都能夠相互有效交流,在不影響工作效率的前提下改善安全性。

使更多過程自動化

如果你解決了上述兩個問題,就需要自動化來強化安全和運營了。許多企業認為,在管理網路安全設備時,耗時過多、手工操作、易於出錯等是最大的困難。如果讓人工去發現由於某個變化而影響的防火牆規則,這是相當耗時且易於出錯的。企業不妨藉助自動化技術來保障準確性,減少風險,極大地減少處理變化時所花費的時間。這時,IT就可以更快捷地應對變化的業務需求。

減少網路安全的複雜性

企業IT環境中往往有多種設備和策略都與關鍵業務套用緊密聯繫,因而在保障網路、應用程式、信息安全時,往往存在諸多困難。而且通常一種設備、策略或套用對另一種設備或策略、套用的影響並不明顯。例如,如果安全策略發生了變化,那么它對維持企業運行的關鍵業務套用會產生怎樣的影響?反過來也是一樣,如果應用程式發生了變化,對安全策略和網路會有影響嗎?這不僅是一個安全問題(應當移除與退役應用程式相關的不再使用的規則),而且還是一個保障業務高效運行的問題。

反思網路安全

上述標題是什麼意思?在規劃防禦時,根據一個乾淨的沒有遭受損害的網路來制定計畫也為了一種標準。但是,如今惡意軟體深藏不露,針對性攻擊日益強烈,而且網路越來越開放,上述標準就成為了一種錯誤的假設。反思網路安全意味著IT要從一種不同的假設開始,要假定自己已經遭受了黑客攻擊。IT應當重新規劃企業防禦,只有這樣才能使安全狀況煥然一新。

十大企業信息安全威脅

DDoS攻擊

IT專家認為分散式拒絕服務攻擊就是:大量數據包湧入受害者的網路,讓有效請求無法通過。但這只是最基本的DDoS攻擊形式,防禦方面的改進已經迫使攻擊者改變了他們的攻擊方式。DDoS攻擊使用的數據包越來越多,攻擊流量最多達到100Gbps。 攻擊者還開始針對基礎設施的其他部分,其中企業域名服務的伺服器的攻擊者最喜歡的目標。因為當攻擊者成功攻擊DNS伺服器後,客戶將無法訪問企業的服務。 大規模DDoS攻擊通常會採用“低且慢”的攻擊,這種攻擊使用特製的請求來讓web應用程式或設備來處理特定的服務,以快速消耗處理和記憶體資源。這種套用層攻擊現在占所有攻擊的四分之一。 此外,攻擊者還會尋找目標網站的網址,然後呼叫該網站的後端資料庫,對這些網頁的頻繁呼叫將很快消耗掉網站的資源。 在速度慢的攻擊中,路由器將崩潰,因此,企業無法使用設備來阻止不好的流量。這些攻擊還可以通過雲DDoS防護服務。企業應該採用混合的方法,使用web應用程式防火牆、網路安全設備和內容分發網路來建立一個多層次的防禦,以儘可能早地篩選出不需要的流量。

舊版本的瀏覽器和易受攻擊的外掛程式

每年涉及數百萬美元的銀行賬戶欺詐網路攻擊都是利用瀏覽器漏洞,更常見的是,利用處理Oracle的Java和Adobe的Flash及Reader的瀏覽器外掛程式。漏洞利用工具包匯聚了十幾個針對各種易受攻擊組件的漏洞利用,如果企業沒有及時更新,攻擊者將通過這種工具包迅速侵入企業的系統。例如,最新版本的Blackhole漏洞利用工具包包含7個針對Java瀏覽器外掛程式的漏洞利用,5個針對Adobe PDF Reader外掛程式,2個針對Flash。 企業應該特別注意Oracle的Java外掛程式,因為Java被廣泛部署,但卻鮮少修復。 企業應該利用補丁修復管理產品來阻止這種漏洞利用攻擊。

包含不良內容的好網站

知名的合法網站開始成為攻擊者的目標,因為攻擊者可以利用用戶對這些網站的信任。企業不可能阻止員工訪問這些知名網站,並且企業的技術防禦總是不夠。 還有另一種更陰險的攻擊--惡意廣告攻擊,這種攻擊將惡意內容插入廣告網路中,惡意廣告可能只是偶爾出現在廣告跳轉中,這使這種攻擊很難察覺。 同樣的,企業應該採用多層次的防禦方法,例如,安全代理伺服器結合員工計算機上的反惡意軟體保護來阻止已知威脅的執行。

移動應用程式和不安全的Web

BYOD趨勢導致企業內消費者設備激增,但移動應用程式安全性很差,這使企業數據處於危險之中。 60%的移動應用程式從設備獲取獨特的硬體信息並通過網路接口傳出去,更糟糕的是,10%的應用程式沒有安全地傳輸用戶的登錄憑證。 此外,支持很多移動套用的Web服務也很不安全。由於用戶不喜歡輸入密碼來使用移動設備上的服務,移動套用經常使用沒有過期的會話令牌。而攻擊者可以在熱點嗅探流量並獲取這些令牌,從而訪問用戶的賬戶。 企業很難限制員工使用的應用程式,但企業可以限制員工放到其設備的數據以及限制進入企業的設備。

SQL注入

對於SQL注入攻擊,最簡單的辦法就是檢查所有用戶提供的輸入,以確保其有效性。 企業在修復SQL漏洞時,通常專注於他們的主要網站,而忽視了其他連線的網站,例如遠程協作系統等。攻擊者可以利用這些網站來感染員工的系統,然後侵入內部網路。 為了減少SQL注入問題的風險,企業應該選擇自己的軟體開發框架,只要開發人員堅持按照該框架來編程,並保持更新,他們將創造出安全的代碼。

證書的危害

企業不能盲目地信任證書,攻擊者可能使用偷來的證書創建假的網站和服務,或者使用這些證書來簽署惡意代碼,使這些代碼看起來合法。 此外,糟糕的證書管理也會讓企業付出巨大的代價。企業應該跟蹤證書使用情況,並及時撤銷問題證書。

跨站腳本問題

跨站腳本利用了瀏覽器對網站的信任,代碼安全公司Veracode發現,超過70%的應用程式包含跨站腳本漏洞,這是影響商業開源和內部開發軟體的首要漏洞問題。 企業可以利用自動代碼檢查工具來檢測跨站腳本問題,企業還應該修改其開發流程,在將程式投入生產環境之前,檢查程式的漏洞問題。

不安全的“物聯網”

在物聯網中,路由器、印表機、門鎖等一切事物都通過網際網路連線,在很多情況下,這些設備使用的是較舊版本的軟體,而這通常很難更新。 攻擊者很容易利用這些設備來侵入企業內部網路。 企業應該及時發現和禁用其環境中任何UPnP端點,並通過有效的工具來發現易受攻擊的設備。

情報機器人

並非所有攻擊的目的都是攻擊企業的防禦系統。自動web機器人可以收集你網頁中的信息,從而讓你的競爭對手更了解你的情況,但這並不會破壞你的網路。 企業可以利用web應用程式防火牆服務來判斷哪些流量連線到良好的搜尋索引機器人,而哪些連線到競爭對手的市場情報機器人或者假的谷歌機器人。這些服務可以防止企業信息流到競爭對手。

新技術舊問題

不同企業可能會遇到不同的威脅,有網上業務的企業可能會有SQL注入和HTML5問題,有很多遠程辦公人員的企業可能會有移動問題。企業不應該試圖將每一種威脅降到最低,而應該專注於最常被利用的漏洞,並解決漏洞問題。同時,培養開發人員採用安全做法,並讓開發人員互相檢查代碼以減少漏洞。

相關詞條

相關搜尋

熱門詞條

聯絡我們