信息安全防護十項技巧

對于IT系統和業務數據而言，任何有風險的舉措都會被質疑，因此在IT環境的改造中，網絡安全和終端安全或許不會是首先被考慮的。然而由于IT安全威脅的不斷變化，很多時候只能另辟蹊徑，才能不被不法分子搶占先機。而且有時候，為了IT安全不得不做一些看似瘋狂的舉措，有時非常規的操作可能會得到意外的收獲。

本文介紹了十個不太合常理、但確實有助于保護公司IT資產的安全措施。而且率先嘗試這些方法的公司已經獲得了不錯的成效。

第一招：

重命名管理員賬戶

把管理員賬戶重命名為與“administrator”相似，但不一樣的賬號，這一招常常被詬病為一種浪費時間的“隱藏式安全”（security by obscurity）防御措施。不過，這個簡單的安全策略卻很管用。如果黑客之前還沒有入侵到網絡或主機上，相信他們不會輕易發現管理員賬戶的新名稱。顯然如果不知道用戶名，也就無從發動成功的密碼猜測攻擊。

在自動化惡意軟件的發展史上，基本上都是使用內置的賬戶名稱（這些攻擊通常只針對工作站和服務器）。通過重命名管理員賬戶，可以一舉擊敗黑客和惡意軟件。此外，原始的管理員賬戶名稱停用后，也更容易監控和報告企圖登錄到原始管理員賬戶的舉動。

第二招：

擯棄管理員賬戶

擯棄所有的特權賬戶，包括管理員、域管理員、企業管理員，以及在默認情況下擁有內置特殊權限的每一個賬戶和群組。

這個方法受到很多網絡管理員以及安全專家的認可。后來微軟也采納了這個建議，在Vista/Server 2008及以后的每一個Windows版本中都默認禁用本地管理員賬戶。

雖然Windows仍允許用戶創建備用的管理員賬戶，不過許多安全專家都建議擯棄所有的內置特權賬戶，至少是全職員工的特權賬戶。不過，也有網絡管理員認為這樣做有些過猶不及，這樣的措施過于嚴厲。

第三招：

使用非默認端口

降低安全風險的另一個辦法就是把服務安裝到非默認端口上。與重命名管理員賬戶一樣，這個隱藏式安全策略極其有效。“零天攻擊”以及由蠕蟲、計算機病毒及其他惡意內容造成的遠程緩沖器溢出一般只會攻擊默認端口。像SQL注入攻擊、HTTP蠕蟲、SSH發現工具及其他常見的遠程端口都是這樣。

近來，賽門鐵克的pcAnywhere和微軟的遠程桌面協議（RDP）均遭到了遠程漏洞的攻擊。如此情況下，安全人員必須得爭分奪秒，趕在蠕蟲來襲前打上補丁或阻止端口。如果這兩項服務均運行在非默認端口上，就不會發生這樣的情況。因為在自動化惡意軟件發展史上，惡意軟件一般只會嘗試攻擊默認端口。

不過對于這種方法也有質疑，比如黑客很容易查到默認端口移到了何處。事實也確實如此，只需借助端口掃描工具（如Nmap）或應用程序指紋識別工具（如Nikto），就能找出在非默認端口上運行的應用程序。不過，由于大多數攻擊是使用惡意軟件來自動執行的；而惡意軟件只會攻擊默認端口，且大多數黑客并不會去尋找非默認端口，因此使用非默認端口還是會起到一定的作用。

以前曾在測試中，故意把RDP端口從端口3889移到了端口50471，然后讓幾個人去找。結果有人馬上就發現了新的端口，這并不驚奇。因為他知道移動了RDP端口，所以很容易找到。然而驚訝的是，成千上萬立志成為黑客的人使用Nmap掃描系統查找新端口，卻沒有找到。因為如果處于默認狀態下，Nmap并不會查找非默認端口。這說明只要簡單地移動端口，就能夠大幅降低風險。

第四招：安裝文件

到自定義目錄

如今的大多數攻擊都出現在應用程序層面，因此安裝文件到自定義目錄的效果已不如前，但是它仍有一定的作用。與前面的隱藏式安全方法一樣，把應用程序安裝到自定義目錄可以降低風險。因為除了默認目錄，自動化惡意軟件幾乎不會關注其它位置。如果惡意軟件鉆系統或應用程序的空子的話，會企圖通過查找默認目錄來操控系統或應用程序。把操作系統或應用程序安裝到自定義目錄后，可使惡意軟件陣腳大亂。

日常操作中應該注意上述的情況，比如把操作系統安裝到非默認文件夾，像C:/Win7而不是C:/Windows。在安裝軟件時，不選擇默認文件夾，而是建立與標準文件夾類似的“虛擬”文件夾。在計算機遭到攻擊后，可以很容易地在C:/Windows/System32文件夾找到完整的、孤立的惡意軟件。

更改默認文件夾雖然不如其它方法來得有效，但是它可以欺騙許多惡意軟件，這無異于降低了風險。

第五招：

使用緩送技術

首次接觸的緩送（tarpit）產品是LaBrea Tarpit，它是在2001年“紅色代碼”IIS蠕蟲肆虐期間開發出來的。LaBrea的工作原理是，響應空閑地址的連接請求，使蠕蟲建立連接，然后設法阻礙蠕蟲，比如使用TCP協議方面的各種技巧，像超時和多次重新傳輸等。

如今，許多網絡和蜜罐具有緩送功能，可以響應任何無效連接。在對這些網絡執行滲透測試時，攻擊和網絡全面掃描攻擊會變得很慢，這正是緩送的目的所在。不過該產品也存在不足，如果緩送產品響應過于倉促，會給合法服務帶來影響，因為合法服務響應緩慢。在使用時，需要對緩送功能進行調試，以免出現誤報。

第六招：

使用屏幕保護程序

加密的屏幕保護程序是降低風險的一種簡單方法。如果計算設備閑置太久，加密的屏幕保護程序就會開啟。雖然過去屏幕保護程序由于干擾正常工作，長期遭到用戶的詬病，而現在卻是筆記本電腦、平板電腦以及手機等提高防護水平的必備工具。

第七招：禁用服務器的網頁瀏覽功能

很多安全風險都是由于上網而引起的。如果企業禁用不必要上網服務器的網頁瀏覽功能，就能大幅降低服務器受到惡意攻擊的風險。相信大多數人都不希望看到這一幕：管理員在補丁下載的時候，因無聊而收取電子郵件、登錄社交網絡等，因此對于這類操作就應該阻止。而對于使用Windows服務器的用戶來說，UAC（用戶賬戶控制）的啟用可能會帶來一些安全問題，禁用UAC并不會對桌面造成影響，因此可以考慮禁用UAC。

第八招：巧用“蜜罐”

蜜罐系統好比是情報收集系統，引誘黑客前來攻擊。蜜罐沒有任何生產價值，而且隨時受到監控。所以在攻擊者入侵后，就可以知道他是如何得逞的，隨時了解最新的攻擊以及存在哪些漏洞。還可以通過竊聽黑客之間的聯系，收集黑客所用的種種工具，掌握他們的社交網絡。

第九招：

開發軟件時關注安全

編寫自定義代碼的企業都應該把安全措施集成到開發流程中，確保代碼安全受到審查。

這個做法被稱為安全開發生命周期（SDL），一般包括以下準則：使用安全編程語言；避免使用已知不安全的編程函數；進行代碼審查；完善滲透測試；以及其他一系列最佳實踐，旨在降低編寫代碼出現漏洞的可能性。這么做會降低企業環境中出現漏洞的風險。自實施SDL以來，微軟旗下的產品的安全漏洞大幅減少。

第十招：

分析網絡流量

當前黑客數量極多，要發現大規模竊取數據的行為，最佳方法之一就是借助網絡流量分析。現在有很多免費軟件和商用軟件可以顯示、分析網絡流量。通過這些軟件，如果發現數百GB的數據突然流向某處，就不得不小心采取措施了。