应用程序安全管理的“八大”主张(一)

日期: 2014-07-03 作者:羽扇纶巾 来源:TechTarget中国

在BYOD、云计算、大数据充斥的年代里,应用程序仍然是企业信息安全不可忽略的危险地带,办公、业务、流程、数据都离不开应用程序。因此,所有系统管理员应该把管理你的应用程序及其安全作为首要任务。应用程序可以通过配置应用程序的安全性、安装应用程序到非标准目录和端口、锁定应用程序、保障P2P服务、确保你的应用程序编程人员的代码安全等八大方面来进行多视角、系统化的管理。 1、安全地配置应用程序 应用程序应该按厂商推荐的安全设置进行配置。

三个最常见利用漏洞攻击的Windows应用程序是微软的Outlook(Express语言)、Internet Explorer和Microsoft Office套件。这些……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

在BYOD、云计算、大数据充斥的年代里,应用程序仍然是企业信息安全不可忽略的危险地带,办公、业务、流程、数据都离不开应用程序。因此,所有系统管理员应该把管理你的应用程序及其安全作为首要任务。应用程序可以通过配置应用程序的安全性、安装应用程序到非标准目录和端口、锁定应用程序、保障P2P服务、确保你的应用程序编程人员的代码安全等八大方面来进行多视角、系统化的管理。

1、安全地配置应用程序

应用程序应该按厂商推荐的安全设置进行配置。三个最常见利用漏洞攻击的Windows应用程序是微软的Outlook(Express语言)、Internet Explorer和Microsoft Office套件。这些应用程序可能属于最终用户的工作站,人们需要它们来开展工作,但它们可能不属于你组织的服务器。如果你的服务器需要高安全性,删除这些应用程序。因为存在常见漏洞攻击的风险,服务器上不应该安装电子邮件客户端(如Outlook)或Microsoft Office。

在终端用户的PC环境中,如果你要保留的应用程序并在同一时间将风险降到最低。你可以通过定期更新应用安全补丁,如果没有更高的安全级别,则确保按厂商的推荐设置进行配置。Outlook和Outlook Express中都应该有自己的安全区域设置限制。Internet Explorer的Internet区域应设置为中高或高。Office提供管理模板(名为ADM文件), 可以配置和部署使用系统策略或组策略。这些都可以从微软的网站上下载或在Office资源工具包中找到。

其他应用程序通常会使用默认安全设置,你可以访问厂商的技术支持资源来了解更多与你有关的安全选择。不幸的是,许多软件厂商并不重视安全问题。这时候,需要使用你从本文中学到的概念和做法,你可能还需要做一些研究。如果一个针对你的应用程序漏洞被人知道,它通常会出现在常见安全网站上和邮件列表中。包含漏洞讯息最多的其中一个网站是SANS(www.sans.org)。SANS每周公布的漏洞列表几乎影响了所有的操作系统平台,包括Windows, Unix, Linux, Macintosh, FreeBSD等等。

2、保护电子邮件

电子邮件蠕虫病毒仍然是计算机系统的头号威胁,尤其是运行Outlook或Outlook Express的Windows系统。大多数蠕虫病毒作为一个文件附件或作为最终用户执行的嵌入式脚本。很明显,你可以通过保护电子邮件显著降低网络的曝光风险。这可以通过禁用HTML内容和阻止潜在的恶意文件附件来完成。

所有超出纯文本的电子邮件都可以被用来恶意攻击计算机。为此,限制电子邮件只有纯文本是非常重要的,或者如果必须使用除纯文本之外的电子邮件,也只使用纯HTML编码。你应该禁用脚本语言和活动内容,如ActiveX控件,Java和VBScript对象。通常这很简单,只需要检查电子邮件客户端的复选框来强制所有传入的电子邮件以纯文本格式来呈现。有些客户处理这个问题比其他人更加优雅,HTML-only消息在转换过程中会严重错位或显示为空白。Outlook和Outlook Express允许电子邮件的活动内容在无法访问互联网的区域打开,即禁用超出了纯HTML格式编码的内容。这是微软最新的电子邮件客户端的默认设置。早期的客户端更加宽松,可以在互联网安全区域打开电子邮件。

如果你能阻止活动内容执行,那么你需要担心的是终端用户点击恶意HTML链接或打开文件附件。如果他们已经接入了互联网,很难阻止用户点击恶意HTML链接。在Windows环境中,你可以使用组策略,Internet Explorer管理工具包(IEAK),或一些其他类型的代理服务器过滤器,只允许终端用户访问预先核准网站,但除此之外,你只能依赖于终端用户教育程度。

3、阻止危险的文件类型

阻止危险的文件附件是防止攻击的最好方法,是针对目前电子邮件病毒和蠕虫的首选方法。最大的问题是“什么构成了一个危险的文件类型?” 事实是,几乎所有的文件类型可以被恶意使用,而更好的问题是“什么是普遍使用的恶意文件类型?”表1显示了通常阻止的组织担心使用这些文件类型为载体的各种流行攻击的Windows文件类型。这些都是流行的电子邮件服务器阻止列表。该列表并不小。

表1 常用阻止的文件扩展名

常用阻止的文件扩展名

如表1一样庞大,很多读者可能可以根据自己的经验添加其他文件扩展到列表中。只有你能判断什么文件扩展名有一个可接受的成本/收益比率,并且被允许进入你的网络。然而,让每一个文件扩展到你的网络都可能存在安全漏洞。例如,Visual Basic脚本(.vbs)文件是电子邮件蠕虫和病毒最常见的恶意文件类型之一。尽管人们很少以正当的理由互相发送.vbs文件,但蠕虫和病毒始终是这么做的时候,阻止.vbs文件自动进入你的网络才有意义。

危险的文件扩展名可以在互联网网关设备、电子邮件服务器或电子邮件客户端中阻止。大量的商业和开源项目存在的目的是为了阻止文件附件在网关和电子邮件服务器上。此外,大多数防病毒厂商提供电子邮件服务器防病毒解决方案。

请继续阅读应用程序安全管理的“八大”主张(二)

作者

羽扇纶巾
羽扇纶巾

自由撰稿人。

相关推荐