信息安全防護(hù)十項(xiàng)技巧

對(duì)于IT系統(tǒng)和業(yè)務(wù)數(shù)據(jù)而言，任何有風(fēng)險(xiǎn)的舉措都會(huì)被質(zhì)疑，因此在IT環(huán)境的改造中，網(wǎng)絡(luò)安全和終端安全或許不會(huì)是首先被考慮的。然而由于IT安全威脅的不斷變化，很多時(shí)候只能另辟蹊徑，才能不被不法分子搶占先機(jī)。而且有時(shí)候，為了IT安全不得不做一些看似瘋狂的舉措，有時(shí)非常規(guī)的操作可能會(huì)得到意外的收獲。

本文介紹了十個(gè)不太合常理、但確實(shí)有助于保護(hù)公司IT資產(chǎn)的安全措施。而且率先嘗試這些方法的公司已經(jīng)獲得了不錯(cuò)的成效。

第一招：

重命名管理員賬戶

把管理員賬戶重命名為與“administrator”相似，但不一樣的賬號(hào)，這一招常常被詬病為一種浪費(fèi)時(shí)間的“隱藏式安全”（security by obscurity）防御措施。不過(guò)，這個(gè)簡(jiǎn)單的安全策略卻很管用。如果黑客之前還沒(méi)有入侵到網(wǎng)絡(luò)或主機(jī)上，相信他們不會(huì)輕易發(fā)現(xiàn)管理員賬戶的新名稱。顯然如果不知道用戶名，也就無(wú)從發(fā)動(dòng)成功的密碼猜測(cè)攻擊。

在自動(dòng)化惡意軟件的發(fā)展史上，基本上都是使用內(nèi)置的賬戶名稱（這些攻擊通常只針對(duì)工作站和服務(wù)器）。通過(guò)重命名管理員賬戶，可以一舉擊敗黑客和惡意軟件。此外，原始的管理員賬戶名稱停用后，也更容易監(jiān)控和報(bào)告企圖登錄到原始管理員賬戶的舉動(dòng)。

第二招：

擯棄管理員賬戶

擯棄所有的特權(quán)賬戶，包括管理員、域管理員、企業(yè)管理員，以及在默認(rèn)情況下?lián)碛袃?nèi)置特殊權(quán)限的每一個(gè)賬戶和群組。

這個(gè)方法受到很多網(wǎng)絡(luò)管理員以及安全專家的認(rèn)可。后來(lái)微軟也采納了這個(gè)建議，在Vista/Server 2008及以后的每一個(gè)Windows版本中都默認(rèn)禁用本地管理員賬戶。

雖然Windows仍允許用戶創(chuàng)建備用的管理員賬戶，不過(guò)許多安全專家都建議擯棄所有的內(nèi)置特權(quán)賬戶，至少是全職員工的特權(quán)賬戶。不過(guò)，也有網(wǎng)絡(luò)管理員認(rèn)為這樣做有些過(guò)猶不及，這樣的措施過(guò)于嚴(yán)厲。

第三招：

使用非默認(rèn)端口

降低安全風(fēng)險(xiǎn)的另一個(gè)辦法就是把服務(wù)安裝到非默認(rèn)端口上。與重命名管理員賬戶一樣，這個(gè)隱藏式安全策略極其有效。“零天攻擊”以及由蠕蟲(chóng)、計(jì)算機(jī)病毒及其他惡意內(nèi)容造成的遠(yuǎn)程緩沖器溢出一般只會(huì)攻擊默認(rèn)端口。像SQL注入攻擊、HTTP蠕蟲(chóng)、SSH發(fā)現(xiàn)工具及其他常見(jiàn)的遠(yuǎn)程端口都是這樣。

近來(lái)，賽門鐵克的pcAnywhere和微軟的遠(yuǎn)程桌面協(xié)議（RDP）均遭到了遠(yuǎn)程漏洞的攻擊。如此情況下，安全人員必須得爭(zhēng)分奪秒，趕在蠕蟲(chóng)來(lái)襲前打上補(bǔ)丁或阻止端口。如果這兩項(xiàng)服務(wù)均運(yùn)行在非默認(rèn)端口上，就不會(huì)發(fā)生這樣的情況。因?yàn)樵谧詣?dòng)化惡意軟件發(fā)展史上，惡意軟件一般只會(huì)嘗試攻擊默認(rèn)端口。

不過(guò)對(duì)于這種方法也有質(zhì)疑，比如黑客很容易查到默認(rèn)端口移到了何處。事實(shí)也確實(shí)如此，只需借助端口掃描工具（如Nmap）或應(yīng)用程序指紋識(shí)別工具（如Nikto），就能找出在非默認(rèn)端口上運(yùn)行的應(yīng)用程序。不過(guò)，由于大多數(shù)攻擊是使用惡意軟件來(lái)自動(dòng)執(zhí)行的；而惡意軟件只會(huì)攻擊默認(rèn)端口，且大多數(shù)黑客并不會(huì)去尋找非默認(rèn)端口，因此使用非默認(rèn)端口還是會(huì)起到一定的作用。

以前曾在測(cè)試中，故意把RDP端口從端口3889移到了端口50471，然后讓幾個(gè)人去找。結(jié)果有人馬上就發(fā)現(xiàn)了新的端口，這并不驚奇。因?yàn)樗酪苿?dòng)了RDP端口，所以很容易找到。然而驚訝的是，成千上萬(wàn)立志成為黑客的人使用Nmap掃描系統(tǒng)查找新端口，卻沒(méi)有找到。因?yàn)槿绻幱谀J(rèn)狀態(tài)下，Nmap并不會(huì)查找非默認(rèn)端口。這說(shuō)明只要簡(jiǎn)單地移動(dòng)端口，就能夠大幅降低風(fēng)險(xiǎn)。

第四招：安裝文件

到自定義目錄

如今的大多數(shù)攻擊都出現(xiàn)在應(yīng)用程序?qū)用妫虼税惭b文件到自定義目錄的效果已不如前，但是它仍有一定的作用。與前面的隱藏式安全方法一樣，把應(yīng)用程序安裝到自定義目錄可以降低風(fēng)險(xiǎn)。因?yàn)槌四J(rèn)目錄，自動(dòng)化惡意軟件幾乎不會(huì)關(guān)注其它位置。如果惡意軟件鉆系統(tǒng)或應(yīng)用程序的空子的話，會(huì)企圖通過(guò)查找默認(rèn)目錄來(lái)操控系統(tǒng)或應(yīng)用程序。把操作系統(tǒng)或應(yīng)用程序安裝到自定義目錄后，可使惡意軟件陣腳大亂。

日常操作中應(yīng)該注意上述的情況，比如把操作系統(tǒng)安裝到非默認(rèn)文件夾，像C:/Win7而不是C:/Windows。在安裝軟件時(shí)，不選擇默認(rèn)文件夾，而是建立與標(biāo)準(zhǔn)文件夾類似的“虛擬”文件夾。在計(jì)算機(jī)遭到攻擊后，可以很容易地在C:/Windows/System32文件夾找到完整的、孤立的惡意軟件。

更改默認(rèn)文件夾雖然不如其它方法來(lái)得有效，但是它可以欺騙許多惡意軟件，這無(wú)異于降低了風(fēng)險(xiǎn)。

第五招：

使用緩送技術(shù)

首次接觸的緩送（tarpit）產(chǎn)品是LaBrea Tarpit，它是在2001年“紅色代碼”IIS蠕蟲(chóng)肆虐期間開(kāi)發(fā)出來(lái)的。LaBrea的工作原理是，響應(yīng)空閑地址的連接請(qǐng)求，使蠕蟲(chóng)建立連接，然后設(shè)法阻礙蠕蟲(chóng)，比如使用TCP協(xié)議方面的各種技巧，像超時(shí)和多次重新傳輸?shù)取?/p>

如今，許多網(wǎng)絡(luò)和蜜罐具有緩送功能，可以響應(yīng)任何無(wú)效連接。在對(duì)這些網(wǎng)絡(luò)執(zhí)行滲透測(cè)試時(shí)，攻擊和網(wǎng)絡(luò)全面掃描攻擊會(huì)變得很慢，這正是緩送的目的所在。不過(guò)該產(chǎn)品也存在不足，如果緩送產(chǎn)品響應(yīng)過(guò)于倉(cāng)促，會(huì)給合法服務(wù)帶來(lái)影響，因?yàn)楹戏ǚ?wù)響應(yīng)緩慢。在使用時(shí)，需要對(duì)緩送功能進(jìn)行調(diào)試，以免出現(xiàn)誤報(bào)。

第六招：

使用屏幕保護(hù)程序

加密的屏幕保護(hù)程序是降低風(fēng)險(xiǎn)的一種簡(jiǎn)單方法。如果計(jì)算設(shè)備閑置太久，加密的屏幕保護(hù)程序就會(huì)開(kāi)啟。雖然過(guò)去屏幕保護(hù)程序由于干擾正常工作，長(zhǎng)期遭到用戶的詬病，而現(xiàn)在卻是筆記本電腦、平板電腦以及手機(jī)等提高防護(hù)水平的必備工具。

第七招：禁用服務(wù)器的網(wǎng)頁(yè)瀏覽功能

很多安全風(fēng)險(xiǎn)都是由于上網(wǎng)而引起的。如果企業(yè)禁用不必要上網(wǎng)服務(wù)器的網(wǎng)頁(yè)瀏覽功能，就能大幅降低服務(wù)器受到惡意攻擊的風(fēng)險(xiǎn)。相信大多數(shù)人都不希望看到這一幕：管理員在補(bǔ)丁下載的時(shí)候，因無(wú)聊而收取電子郵件、登錄社交網(wǎng)絡(luò)等，因此對(duì)于這類操作就應(yīng)該阻止。而對(duì)于使用Windows服務(wù)器的用戶來(lái)說(shuō)，UAC（用戶賬戶控制）的啟用可能會(huì)帶來(lái)一些安全問(wèn)題，禁用UAC并不會(huì)對(duì)桌面造成影響，因此可以考慮禁用UAC。

第八招：巧用“蜜罐”

蜜罐系統(tǒng)好比是情報(bào)收集系統(tǒng)，引誘黑客前來(lái)攻擊。蜜罐沒(méi)有任何生產(chǎn)價(jià)值，而且隨時(shí)受到監(jiān)控。所以在攻擊者入侵后，就可以知道他是如何得逞的，隨時(shí)了解最新的攻擊以及存在哪些漏洞。還可以通過(guò)竊聽(tīng)黑客之間的聯(lián)系，收集黑客所用的種種工具，掌握他們的社交網(wǎng)絡(luò)。

第九招：

開(kāi)發(fā)軟件時(shí)關(guān)注安全

編寫(xiě)自定義代碼的企業(yè)都應(yīng)該把安全措施集成到開(kāi)發(fā)流程中，確保代碼安全受到審查。

這個(gè)做法被稱為安全開(kāi)發(fā)生命周期（SDL），一般包括以下準(zhǔn)則：使用安全編程語(yǔ)言；避免使用已知不安全的編程函數(shù)；進(jìn)行代碼審查；完善滲透測(cè)試；以及其他一系列最佳實(shí)踐，旨在降低編寫(xiě)代碼出現(xiàn)漏洞的可能性。這么做會(huì)降低企業(yè)環(huán)境中出現(xiàn)漏洞的風(fēng)險(xiǎn)。自實(shí)施SDL以來(lái)，微軟旗下的產(chǎn)品的安全漏洞大幅減少。

第十招：

分析網(wǎng)絡(luò)流量

當(dāng)前黑客數(shù)量極多，要發(fā)現(xiàn)大規(guī)模竊取數(shù)據(jù)的行為，最佳方法之一就是借助網(wǎng)絡(luò)流量分析。現(xiàn)在有很多免費(fèi)軟件和商用軟件可以顯示、分析網(wǎng)絡(luò)流量。通過(guò)這些軟件，如果發(fā)現(xiàn)數(shù)百GB的數(shù)據(jù)突然流向某處，就不得不小心采取措施了。