您的位置: 网界网 > 周报全文 > 正文

[周报全文]国内企业遭遇网络钓鱼

2006年06月13日 16:37:38 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:

标签
网络钓鱼


         上期问安我们曾就企业网的漏洞进行过追踪,而本次国内外主流安全论坛又公布了新的弱点,其中有些的确值得注意。

国内热门
最新的两种威胁要注意

国内企业遭遇网络钓鱼

         企业可以通过让网站使用信任标记(Trust Mark)来表明及保护公司的身份,既向访客表明自己的真实身份,又能够让访客信任公司的网站。

         在处理敏感数据时,SSL对加密而言至关重要。但SSL并不提供有关被访问网站的身份。为了保护网站上公司的身份,就要使用无法复制的信任标记或者安全站点图标(Site Seal)。企业应当使用动态生成的无法复制的站点图标。譬如说,有些公司的站点图标放在网页上,以表明该站点是合法的、真实的。首先,站点图标核实了站点所有人的身份;其次,站点图标旨在打击盗用现象;第三,它还提供了“自我监管”功能:即如果无法证实站点所有人的身份,图标就根本不会出现。

小心生产环境中的测试

         企业需要建立非军事区(DMZ),以便把有风险的网络活动隔离在关键业务的生产网络之外,或者让客户可以进行各种验收测试。事实上,国内一些企业允许通过调制解调器访问安全网络的中心部位,这是导致入侵的常见根源之一。建议建立可以访问因特网、只能有限制性地访问内部网络的DMZ。那么,可通过认真设置防火墙来做到这一点:把DMZ封锁起来,远离网络其余部分,同时仍允许可以全面访问因特网。另外,如果验收测试必须在企业网络上进行,那么只允许这种测试在DMZ进行。

国外热门
关注安全的角落

最薄弱的安全环节是人员

         定义安全规范,这也许是最容易被企业忽视的(+微信关注网络世界),但却是最重要的。企业需要把安全规范拟写成文、传达下去,并加以执行。不少实践已表明,从安全人员入手是突破企业安全体系的最简单方法。

         要明文规定有关设施访问、网络访问、合理使用公司系统与网络以及合理使用公司电子邮件和浏览器的相关流程和规则。企业要列出得到支持的标准和不支持的标准。包括允许在网络上使用的操作系统,并解释为什么不允许其他的操作系统。如果允许访客进入企业的会议室,而会议室里面有网络分接头,可以接入上网,那么这种很常见的方法闯入网络的速度不亚于“特洛伊木马”。

绕不过去的身份验证

         企业需要使用经过全面测试、成熟的验证技术,以查明网上匿名者的身份。通过无纸交易来简化公司的业务。对某个人进行验证的一套标准程序是向他们询问只有你和对方知道的一系列共享秘密,但在网上进行交易所面临的难题就是,企业并不知道个人,因而也就没有共享秘密。需要顾客订阅、登记或者填写表格的许多组织,正期望消除人工纸张过程和人工审批过程。为了开展网上应用,企业必须能够验证:消费者就是他所说的那个人,并拥有生成电子签名的能力。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]