安全冰山绕道而行 加密软件引导企业数据航线

泰坦尼克号撞上冰山，处女之行变成死亡航行。它曾被认为是不会沉没的神话。而现在的工程技术可以确保豪华游轮安全出行，但也不能100%保证永久安全。同样在大型企业管理者的眼中，许多人都秉持着刀枪不入的看法。但是，网络暴力攻击、无线网络嗅探、蓝牙狙击等等事件的发生正如企业数据安全航线上的冰山，一旦撞击，后果不堪设想。

山丽数据安全专家发现，很多企业中长期内都有六大安全漏洞处于打开状态。即使是那些数据安全防护方面做得还不错的企业亦然。为了企业用户避免撞上数据安全冰山，山丽总结以下六点，警示企业注意防护。

1、无线网络上未经授权访问的智能手机

智能手机给企业带来的风险超过了传统的PC设备，主要原因是有些员工不能抗拒在办公室使用个人设备，即使公司明令禁止使用，但他们往往也会将这些条款抛诸脑后。

山丽调查发现，智能手机的三种设备是危险之源：可连接蓝牙，Wi-Fi和GSM网络。

员工在办公室使用个人设备会引入一个潜在的攻击点。通常使用的智能手机可以跨多个无线频道，如果不怀好意的人在停车场安装一个蓝牙狙击枪，那么他在一英里外就可以拦截蓝牙通信，首先通过蓝牙连接到智能手机，然后再连接到企业无线网络，蓝牙是给黑客接入Wi-Fi网络，进入企业网络敞开的一扇大门。

山丽认为，单纯禁止智能手机是不现实的。相反，IT部门应该只允许经过授权的设备访问网络，并绑定环境指纹，这样在出现问题时可以进行追踪，因为每个移动设备都具有一个唯一的环境指纹。

另一个策略是使用网络访问控制(NAC)，无论是谁要访问网络，都必须经过授权和登入验证。一般状态下，企业在企业网络中会区分内外网。虽然这样产生的两个网络，会显得有些冗余和增加管理开销，但为了安全起见，山丽数据安全专家建议企业管理者，这样做是值得的。

2、网络打印机上开放的端口

想必大多数公司都认为打印机是没有危险的。近几年来，带Wi-Fi功能的打印机已经很常见，有些甚至还支持3G网络和接入电话线发送传真，有些型号会阻止访问打印机上的某些端口。但山丽数据安全专家大胆假设，如果一家大公司有200个打印机端口需要阻止访问，那么可能有另外1000个端口就是敞开的。黑客可以通过这些端口入侵企业网络，更恶毒的伎俩是采集所有打印输出的内容，要知道传送给打印机的商业机密可不少。

解决这个问题的最好办法是对打印权限进行管理。如果现实不允许这么做，应确保所有端口阻止任何未经授权的访问。使用监控和报告开放的打印机端口也很重要，山丽信息安全推出的防水墙.大型企业版的打印管理模块就是这样的工具。

3、定制开发的Web应用程序潜伏着的不良代码

任何企业都非常害怕粗心程序员开发的程序，不管是定制开发的软件，还是商业软件或开源软件，都存在这样的问题。如果你的程序中使用了SQL Server的xp_cmdshell，那一定是没有安全意识的人编写的代码，它会将攻击面放得很宽，黑客可以藉此获得数据库的全部访问权限，你的数据将毫无秘密可言，并且还可以利用这个漏洞在网络上安装后门。

山丽数据安全专家发现Web服务器上的PHP程序也常常成为攻击的目标，很小的编码错误，如从应用程序调用一个远程文件时的保护措施不当，就会为黑客留下嵌入恶意代码的机会。如果开发人员限制不严格，用户在表单中的输入就可以调用某个文件，或是公司博客使用trackback功能向文章原始出处报告链接时，可能未对URL进行处理，进而引发对数据库的非法查询。

避免这个问题的最好办法是针对数据本身进行加密防护。为了适应现在多样的数据安全环境，采用国际先进的多模加密技术无疑是最好的选择，而山丽的防水墙系列正是这种先进加密技术的典型代表。如果确实需要，配合使用安全监控工具检测出PHP脚本中的漏洞。

4、社交网络欺骗

社交网络用户可能被欺骗而泄露敏感信息，通常，这种类型的攻击是细微的，不一定有追查的必要。

山丽发现，找工作的人通常会泄露一些个人信息。黑客利用求职网站的虚假邮件地址冒充招聘人员要求求职者提供登录凭据信息。一般来说，求职网站的工作人员是不会要求求职者提供登录信息的，这就好像信封上的地址，它写的地址并一定代表信就真的是从那里寄出的。

企业应该使用电子邮件验证系统核实发件人的身份，一般采用向显示的发件人地址发送一封邮件以确认其真伪，有些地方已经将非法假冒他人电子邮件的做法列为非法行为。

5、员工非法下载电影和音乐

P2P网络不会在打压下消失，在大公司里并不难发现使用P2P网络的员工，他们可能会用它非法下载电影和音乐，还有的人会用来分发软件。

山丽调查发现，P2P网络在公司内部应该全面禁止。但是总会存在一些敢于“吃螃蟹”的人。纽约一家金融服务公司的网络上开放了所有P2P端口，全天都有P2P程序在运行，最后居然发现公司的一台服务器被作为色情文件服务器了，黑客们很喜欢借用P2P服务器实施攻击或见不得光的犯罪活动，向P2P文件注入恶意代码对他们来说是小儿科，一旦有人运行了被破坏的P2P文件，黑客就在他的电脑上落脚了，如果不幸是公司的电脑，那公司的网络就向黑客敞开了大门。

山丽数据安全专家建议实施资源隔离，这种技术可以根据用户的权限控制对网络资源的访问。但在企业缺乏有效的安全策略或策略得不到有效遵守的情况下，采用这种技术的价值还是很大的。

山丽防水墙可以做到限制特定软件的安装与使用。由于企业存在着大量的IT设备和系统，对于规模巨大的大型企业来说更是如此，所以面临的软件也是更为复杂和多样，所以对于一些耗费网络资源且不安全的软件进行有效的限制安全和管理，是提高企业数据安全防护的基础。

6、短信欺诈和恶意软件感染

智能手机上的短信是另一个潜在的攻击点，黑客向目标雇员发送SMS短信，诱使其泄露如登录凭据等敏感信息，此外，它们还能利用智能手机操作系统的漏洞，通过短信直接在手机上安装恶意软件。

在山丽数据安全的实验中证明，一个rootkit完全可以开启智能手机的麦克风，但其所有者一点也不知情，攻击者可以向目标手机发送一条看不见的短信，告诉它拨打指定电话，并开启麦克风。如果攻击对象刚好在参加一个重要的会议，这种攻击的威力就显得无比强大了，手机将沦为一个永远不会被发现的窃听器。

SMS活动不是基于IP的行为，所以公司网络管理者拿它也没办法。最好的方式是使用山丽防水墙移动终端版，部署恶意软件过滤策略。

最后，出台严厉的管理制度，要求员工使用指定或公司配发的智能手机，确保政策得到完美执行是减少这类风险的最佳办法。

当然，凭现在的技术，企业不可能阻止掉所有的安全攻击，黑客也会不断尝试新的攻击手段，现在企业要做的是尽快堵住山丽总结的六个安全漏洞，避免企业数据安全航线上的“安全”冰山。

关键字：加密软件  数据安全