無(wú)論是行業(yè)大鱷，還是微不足道的SOHO家庭辦公，一樣都會(huì)遭到黑客攻擊，而且危害不僅僅是銷掉幾張信用卡那么簡(jiǎn)單。如何保護(hù)企業(yè)網(wǎng)絡(luò)和用戶的安全?以下這些細(xì)節(jié)切記不可忽視。

細(xì)節(jié)1:知道誰(shuí)會(huì)被黑客盯上，怎樣、以及為何被盯上由于最近時(shí)而爆出知名公司(包括谷歌)網(wǎng)絡(luò)受到攻擊的新聞，許多企業(yè)主可能會(huì)想:“這種事不會(huì)發(fā)生在我身上—我的服務(wù)器上又沒(méi)什么非常寶貴的資料值得攻擊者下手”。事實(shí)上，許多攻擊根本不是針對(duì)性的，而是自我選擇的結(jié)果。也就是說(shuō)，攻擊者廣撒魚(yú)網(wǎng):將成千上萬(wàn)封郵件發(fā)送到采集來(lái)的一批郵件地址上，給予回復(fù)的郵件地址(無(wú)論是通過(guò)點(diǎn)擊郵件里面的鏈接，還是發(fā)送回應(yīng)信息的嵌入式圖片)都是自我選擇的目標(biāo)，然后對(duì)其下手。

針對(duì)性攻擊有另一個(gè)廣為人知的說(shuō)法，那就是“魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)(spear phishing)”，這是一種比較危險(xiǎn)的攻擊。一名出色的攻擊者會(huì)采取偵查手段—搜索目標(biāo)組織的網(wǎng)站、上市公司向證券交易委員會(huì)提交的季度報(bào)告以及新聞稿，從中找出重要人物的姓名和郵件地址。如果這一招不靈，攻擊者可能會(huì)混跡于眾多行業(yè)會(huì)議和公開(kāi)演講活動(dòng)(會(huì)議網(wǎng)站上幾乎總是保存了幻燈片，其中演講者的姓名、頭銜和郵件地址一應(yīng)俱全);他們還會(huì)光顧社交網(wǎng)絡(luò)網(wǎng)站—黑客只要通過(guò)Facebook粉絲頁(yè)面和LinkedIn個(gè)人檔案，摸清楚誰(shuí)是企業(yè)負(fù)責(zé)人，然后就比較容易設(shè)圈套了。

一般的垃圾郵件發(fā)送者注重?cái)?shù)量，而魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊者注重質(zhì)量。經(jīng)常處理敏感文檔，或者在公司文件服務(wù)器方面擁有更高權(quán)限的任何高管，都可能會(huì)成為受害者。雖然一家公司的頭兒，比如首席執(zhí)行官，會(huì)是魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊者的主要目標(biāo)，但同樣不能忽視了首席執(zhí)行官的行政助理。行政助理平時(shí)每天替首席執(zhí)行官收取陌生發(fā)件人發(fā)來(lái)的成百上千封郵件，可能還負(fù)責(zé)整理收到的所有郵件，往往壓力很大，絲毫不敢延遲對(duì)重要郵件的回復(fù)，因而更可能會(huì)在計(jì)算機(jī)安全方面作出糟糕的決定。

由于相似的原因，企業(yè)的法律顧問(wèn)或?qū)Ｂ毬蓭熞埠苋菀壮蔀楣裟繕?biāo)，特別是遭到Adobe PDF攻擊。律師經(jīng)常彼此之間交換大容量的PDF文檔。所以不難想象，當(dāng)有人利用某律師常聯(lián)系的一家頗有影響力的知識(shí)產(chǎn)權(quán)律師事務(wù)所的虛假地址，發(fā)送傳達(dá)停止不正當(dāng)競(jìng)爭(zhēng)命令的假冒郵件，或者將惡意代碼添加到PDF文檔中，這名律師會(huì)不假思索地打開(kāi)這樣的郵件;一旦PDF文檔里面的惡意代碼得到執(zhí)行，律師的電腦實(shí)際上就已被攻擊者所“掌控”。

細(xì)節(jié)2:當(dāng)心圈套

企圖獲取競(jìng)爭(zhēng)情報(bào)或?qū)嵤┢髽I(yè)間諜行為的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，可能會(huì)采用極具針對(duì)性的郵件或即時(shí)消息(如IM和Twitter消息等)，以使受害者更容易上鉤。一家研究機(jī)構(gòu)的知名核物理學(xué)家不太可能會(huì)點(diǎn)擊兜售假冒勞力士手表或純天然壯陽(yáng)藥的鏈接，但是如果郵件邀請(qǐng)受害者在一場(chǎng)知名的核物理學(xué)討論會(huì)上發(fā)表專題演講，就極容易中招。

你可能覺(jué)得，在2010年，大多數(shù)用戶(尤其是技術(shù)員工)會(huì)對(duì)聲稱“我們?cè)诟倪M(jìn)安全措施”的任何要求用戶密碼重置的伎倆或郵件產(chǎn)生懷疑;但不幸的是，還是有多得驚人的用戶在上這種當(dāng)。Special Ops Security公司在為企業(yè)組織和政府部門進(jìn)行安全評(píng)估時(shí)，會(huì)進(jìn)行一些有控制的試驗(yàn):有意地針對(duì)該組織的某些人進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊，跟蹤在加密網(wǎng)站上的點(diǎn)擊操作和密碼輸入。試驗(yàn)甚至為組織的CIO們開(kāi)設(shè)了自助服務(wù)門戶網(wǎng)站PhishMe.com，CIO們可以對(duì)自己的員工進(jìn)行模擬的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊。模擬測(cè)試的結(jié)果往往讓人大吃一驚，人們的安全意識(shí)真的不如CIO們想象的那樣強(qiáng)。

細(xì)節(jié)3:使用惟一的郵件地址，將密碼重置郵件拒之門外

如果你覺(jué)得自己不會(huì)輕易相信談?wù)撡F公司即將推出的新產(chǎn)品的針對(duì)性郵件，或者是關(guān)于集體訴訟調(diào)解通知的惡意PDF文檔，那么還要當(dāng)心一類始終存在的密碼重置和社交網(wǎng)絡(luò)通知郵件。遺憾的是，由于用戶數(shù)量眾多，大多數(shù)網(wǎng)站設(shè)有忘記密碼后重置密碼的功能，通過(guò)向用戶發(fā)送郵件，以便使用戶能夠正常使用賬戶。此外，我們往往認(rèn)為社交網(wǎng)站會(huì)發(fā)來(lái)通知郵件，提醒我們有新朋友請(qǐng)求，或者別人發(fā)布了我們自己的照片，黑客卻會(huì)利用這種人性的弱點(diǎn)，讓你無(wú)法抗拒—怎樣才能忍住不去點(diǎn)擊題為“見(jiàn)過(guò)你在昨晚狂歡時(shí)拍下的這張照片嗎”的鏈接?怎樣才能辨別這封郵件是否真是Facebook或MySpace發(fā)送的?

最終，只有足夠多的網(wǎng)站采用了電子簽名和DNS級(jí)安全機(jī)制，才能讓這些虛假郵件無(wú)處藏身。在此之前，我們可以使用一種方法來(lái)確保收到的郵件真實(shí)無(wú)誤:為經(jīng)常訪問(wèn)的每個(gè)社交網(wǎng)絡(luò)網(wǎng)站(或者電子商務(wù)網(wǎng)站、航空公司網(wǎng)站等)使用惟一的郵件地址。

如果你很幸運(yùn)，擁有自己的域名和郵件服務(wù)器(Google Apps在這方面大有幫助)，可以獲得linkedin@johndoe.name和bankofamerica@janesmith.org之類的郵件地址;如果你收到聲稱由某網(wǎng)站發(fā)來(lái)、但接收郵件的地址卻不相符的任何通知郵件，要意識(shí)到該郵件非?？梢?，立即把它刪掉。

大多數(shù)人沒(méi)有自己的域名，或者有些人擔(dān)心別人可能很容易猜中自己的myspace@alicejones.net地址解析方案;對(duì)這些人來(lái)說(shuō)，可以借助一些郵件偽裝服務(wù)，比如Sneakemail.com。它可以讓你創(chuàng)建數(shù)量不受限制的郵件別名，每個(gè)月只要付2美元就夠了。這樣一來(lái)，你可以為每個(gè)網(wǎng)站使用一個(gè)惟一的郵件地址，所有郵件都會(huì)轉(zhuǎn)發(fā)到你的真實(shí)郵箱。這項(xiàng)服務(wù)甚至還能處理回信，所以你的真實(shí)郵件地址根本不會(huì)出現(xiàn)在網(wǎng)站上。

如果你收到的密碼重置通知郵件是直接發(fā)到你的辦公郵件地址，而不是發(fā)到你在該網(wǎng)站的惟一地址，那你就會(huì)知道這不是垃圾郵件，就是網(wǎng)絡(luò)釣魚(yú)。這種做法的另一個(gè)好處是，你還能發(fā)現(xiàn)哪些恬不知恥的網(wǎng)站在與第三方共享你的個(gè)人信息。如果你收到一家公司主動(dòng)發(fā)來(lái)的幾封垃圾郵件，而這個(gè)收信地址你只為某家航空公司的飛行?？途銟?lè)部提供過(guò)，那不用說(shuō)，你的個(gè)人信息就是被這家航空公司泄露了。趕緊聯(lián)系該俱樂(lè)部的隱私部門，要求他們改正錯(cuò)誤，并立即銷掉這個(gè)賬戶吧!

細(xì)節(jié)4:不要點(diǎn)擊郵件里面的任何內(nèi)容

不要點(diǎn)擊郵件里面的鏈接，連已知發(fā)件人發(fā)來(lái)的郵件鏈接都不要點(diǎn)擊。格式規(guī)范的HTML郵件在大大的“點(diǎn)擊這里”按鈕正下方會(huì)有一個(gè)ULR，通常在寫(xiě)明“如果你的電子郵件程序不允許鏈接，請(qǐng)將下列內(nèi)容拷貝粘貼到你的瀏覽器”的部分里面。如果仍找不到URL，可以將郵件閱讀器切換成顯示純文本(在Gmail中，可以使用回復(fù)菜單中的Show original選項(xiàng))，可以在這里找到URL。

如果真的很想點(diǎn)擊某個(gè)鏈接，你可以高亮顯示URL，然后把它粘貼到Web瀏覽器的搜索欄中，這樣可以去掉剪貼板上獲得的任何HTML或富文本格式，只呈現(xiàn)純文本格式的URL。這就屏蔽掉了大多數(shù)URL混淆伎倆，比如www.yahoo.com.com.attacker.evil.ru，你可能沒(méi)想到域名服務(wù)器(DNS)是從右到左來(lái)讀取URL的，而人是從左到右來(lái)讀取URL的(這導(dǎo)致你可能會(huì)覺(jué)得自己在訪問(wèn)yahoo.com的某個(gè)頁(yè)面)。

此外，把ULR輸入到搜索引擎，也可以保護(hù)自己遠(yuǎn)離同形異義字攻擊，比如有人可能會(huì)發(fā)送www.paypa1.com(注意!這里是數(shù)字“1”而不是小寫(xiě)字母“l(fā)”)鏈接。從前幾個(gè)鏈接可以明顯看出哪里有不對(duì)勁的地方，不過(guò)國(guó)際化域名可能會(huì)增加困難。

細(xì)節(jié)5:要經(jīng)常并且及時(shí)打補(bǔ)丁

打補(bǔ)丁絕對(duì)有必要，而且?guī)缀蹩偸敲赓M(fèi)的。你需要核實(shí)的第一件事是:打的所有補(bǔ)丁是不是最新版本。設(shè)置iCal/Outlook提醒功能，以便每個(gè)月打一次補(bǔ)丁。定在每個(gè)月的第二個(gè)星期三打補(bǔ)丁是個(gè)好日子，因?yàn)槲④洉?huì)在每月的第二個(gè)星期二發(fā)布安全補(bǔ)丁。你也可以安排在付按揭或房租時(shí)，捎帶打補(bǔ)丁—在付錢時(shí)，也要記得打補(bǔ)丁。

打補(bǔ)丁并不是說(shuō)只要雙擊Windows Update就行了。如果你還沒(méi)有激活Microsoft Update(Windows Update的變種)，就接收不到任何微軟Office更新程序。不要滿足于此!你要確保時(shí)常訪問(wèn)Adobe網(wǎng)站，更新Flash插件和PDF Reader軟件。Firefox在這方面做得很到位:能夠自動(dòng)分發(fā)更新程序，不需要用戶干預(yù)，但它不會(huì)把你升級(jí)到新的重大版本，所以同樣要訪問(wèn)Firefox網(wǎng)站。

期盼有一天，微軟會(huì)向所有Windows軟件發(fā)布者開(kāi)放Windows Update基礎(chǔ)架構(gòu)，以便大家通過(guò)一個(gè)集中的地方來(lái)發(fā)布各自的更新程序，而用戶則只要點(diǎn)擊一下就可以升級(jí)所有的相關(guān)軟件。而在這一天到來(lái)之前，不妨使用像Secunia的Personal Software Inspector(個(gè)人用戶可免費(fèi)使用)這類軟件，它會(huì)掃描計(jì)算機(jī)上的所有軟件，以便集中查看哪些還沒(méi)有打上安全補(bǔ)丁。

有些企業(yè)的IT管理人員很自豪地聲稱，該公司每隔5分鐘就更新反病毒軟件的特征庫(kù)，但是其關(guān)鍵服務(wù)器使用的卻還是老版本的IE和Adobe，2007年以后的操作系統(tǒng)補(bǔ)丁居然都沒(méi)有打上!

有人稱，谷歌之所以遭到攻擊，原因就是其一名員工使用了過(guò)時(shí)的Web瀏覽器。

硬件也需要更新。記得清查一下硬件，檢查固件是否需要更新(這與軟件補(bǔ)丁一樣重要)。只要硬件有網(wǎng)站端口，就要半年訪問(wèn)一次該硬件廠商的網(wǎng)站—不僅僅是路由器和交換機(jī)，還有多功能復(fù)印機(jī)、餐館的銷售點(diǎn)(POS)終端、藍(lán)光播放機(jī)、專用小交換機(jī)(PBX)以及具有Twitter功能的咖啡壺等。

細(xì)節(jié)6:別讓某人阻止你運(yùn)行安全網(wǎng)絡(luò)

有的企業(yè)CIO會(huì)說(shuō)，自己公司的服務(wù)器沒(méi)有打補(bǔ)丁，是因?yàn)椤澳橙苏f(shuō)可以不打補(bǔ)丁”，這個(gè)某人可能是公司的產(chǎn)品開(kāi)發(fā)經(jīng)理或銷售副總裁。這種風(fēng)險(xiǎn)企業(yè)其實(shí)無(wú)法接受。沒(méi)有打補(bǔ)丁的服務(wù)器絕對(duì)不可以訪問(wèn)互聯(lián)網(wǎng)。員工只有通過(guò)“不太安全”的專用網(wǎng)絡(luò)上的專用計(jì)算機(jī)(不是用來(lái)讀取郵件、瀏覽互聯(lián)網(wǎng)的那種計(jì)算機(jī))，才能訪問(wèn)這些因?yàn)闆](méi)有打補(bǔ)丁而變得很危險(xiǎn)的服務(wù)器。

要是公司下面某個(gè)部門運(yùn)行的軟件導(dǎo)致無(wú)法使用最新的安全補(bǔ)丁，IT部門就需要把這些服務(wù)器與網(wǎng)絡(luò)其余部分隔離開(kāi)來(lái)，就像把機(jī)密網(wǎng)絡(luò)與非機(jī)密網(wǎng)絡(luò)隔離開(kāi)來(lái)那樣。

此外，除非企業(yè)很重視信息安全，否則就避免不了信息竊取和成本高昂的系統(tǒng)停運(yùn)問(wèn)題。只要有可能受到過(guò)污染，一罐罐的花生醬就要在廠商開(kāi)始召回的幾小時(shí)內(nèi)從商場(chǎng)貨架上撤下;然而奇怪的是，一臺(tái)用來(lái)為數(shù)百個(gè)員工處理工資的財(cái)務(wù)服務(wù)器明明有安全漏洞，企業(yè)卻任其運(yùn)行好幾個(gè)月。

記住，絕對(duì)不能因?yàn)槟橙苏f(shuō)可以不打補(bǔ)丁，而在網(wǎng)絡(luò)上運(yùn)行那些沒(méi)有打補(bǔ)丁的服務(wù)器。

細(xì)節(jié)7:P2P應(yīng)該

遠(yuǎn)離企業(yè)網(wǎng)絡(luò)

應(yīng)該說(shuō)，P2P就不該出現(xiàn)在辦公計(jì)算機(jī)上。P2P網(wǎng)絡(luò)上的惡意軟件帶來(lái)的危險(xiǎn)，遠(yuǎn)遠(yuǎn)超出了對(duì)BitTorrent或KaZaa的任何正當(dāng)需要。應(yīng)該選擇信譽(yù)可靠的網(wǎng)站來(lái)獲得共享軟件。

如果非得使用P2P，就使用單獨(dú)的非管理員用戶賬戶來(lái)進(jìn)行這些操作。千萬(wàn)不要在使用管理員賬戶的情況下，運(yùn)行從P2P網(wǎng)絡(luò)上下載的軟件。記得還要一直用幾個(gè)不同的反病毒軟件包來(lái)不斷掃描這些下載的軟件。如果沒(méi)有像Norton Internet Security 2010這樣可靠的安全軟件包，使用Virustotal.com也很不錯(cuò)，它可以快速掃描可疑的下載內(nèi)容。如果是精通技術(shù)的高級(jí)用戶，不妨在虛擬機(jī)里面運(yùn)行P2P軟件，把主機(jī)操作系統(tǒng)隔離開(kāi)來(lái)。

細(xì)節(jié)8:

牢牢鎖定網(wǎng)絡(luò)

趕緊將公司和家里的路由器DNS解析器改成OpenDNS，別使用互聯(lián)網(wǎng)服務(wù)提供商(ISP)提供的默認(rèn)DNS。OpenDNS擁有大容量的緩存，可以加快查詢;還有一項(xiàng)免費(fèi)的網(wǎng)站過(guò)濾服務(wù)，一些企業(yè)可能會(huì)有興趣。即使不需要過(guò)濾服務(wù)，其可靠、安全的DNS基礎(chǔ)架構(gòu)也可以在DNS層面讓你遠(yuǎn)離一些眾所周知的攻擊。

花5分鐘重新配置后，你的互聯(lián)網(wǎng)連接會(huì)變得更快，因?yàn)镺penDNS服務(wù)器的響應(yīng)速度通?？煊谀J(rèn)的ISP服務(wù)器。OpenDNS的網(wǎng)站上會(huì)教會(huì)你如何將家里的路由器或公司的活動(dòng)目錄域控制器改成其解析器;它的基礎(chǔ)架構(gòu)分布在全世界，確保了快速響應(yīng)，無(wú)論用戶在哪里。

對(duì)高級(jí)用戶或任何IT從業(yè)人員來(lái)說(shuō)，在服務(wù)器和工作站上都應(yīng)該使用基于主機(jī)的出站防火墻。某個(gè)未知或新的進(jìn)程決定建立出站連接時(shí)能接到通知，絕對(duì)很有必要。這樣一來(lái)，即使有什么威脅避開(kāi)了反病毒和反惡意軟件防御機(jī)制，還是能在出站防火墻處逮住它。當(dāng)然，如果用戶對(duì)技術(shù)一竅不通，又總是點(diǎn)擊任何彈出窗口上顯示的“接受”，那么這一招毫無(wú)幫助。

應(yīng)該在企業(yè)內(nèi)實(shí)施出站防火墻規(guī)則。大多數(shù)公司為用戶制定了“允許所有連接”的出站政策。這在過(guò)去也許可以接受，但現(xiàn)在公司不該制定這么寬松的政策了?？梢韵认拗朴脩糁荒芙TTP和HTTPS出站連接;雖然這不會(huì)保護(hù)企業(yè)網(wǎng)絡(luò)遠(yuǎn)離一切危險(xiǎn)，但可以關(guān)閉很大一部分可能未經(jīng)授權(quán)的出站連接。還可以用OpenDNS來(lái)限制對(duì)不良網(wǎng)站的訪問(wèn)。

最重要但也最常被忽視的是，服務(wù)器和非軍事區(qū)(DMZ)網(wǎng)絡(luò)應(yīng)該只允許少數(shù)幾個(gè)明確的出站連接(比如郵件服務(wù)器的出站SMTP連接)?，F(xiàn)代的數(shù)據(jù)包檢測(cè)防火墻智能化程度非常高，允許Web服務(wù)器回應(yīng)針對(duì)網(wǎng)頁(yè)的入站請(qǐng)求，但讓W(xué)eb服務(wù)器與外界建立連接極少有正當(dāng)?shù)睦碛伞?/p>

當(dāng)然，也有例外的情況(比如業(yè)務(wù)合作伙伴的庫(kù)存交換，或者異地?cái)?shù)據(jù)備份)。但是一般來(lái)說(shuō)，大多數(shù)服務(wù)器是響應(yīng)針對(duì)信息的入站請(qǐng)求，自己并不建立連接。要是黑客闖入了你的服務(wù)器，他或她最先會(huì)做的一件事就是利用你的服務(wù)器連接到貴公司內(nèi)部的另一臺(tái)機(jī)器，或者連接回自己的網(wǎng)絡(luò)。“允許所有連接”的通用政策只會(huì)招惹麻煩。