馬奇諾防線曾被法國政府譽為固若金湯，但精心構筑的鋼筋混凝土陣地還是被德國裝甲部隊奇襲突破，最終成為擺設和累贅。對于很多通過常見的信息安全技術和產品精心構筑起內網安保體系的大公司而言，盡管看似安全穩(wěn)固，但一些容易忽視的漏洞，就會很容易讓企業(yè)安全防護體系被“突破”，導致危險的后果。本文將探討十個經常被企業(yè)（甚至那些看似重兵部署了安全措施的大公司）所忽略的安全漏洞。

1. 忽視安全產品體系本身的漏洞

安全產品和設備，本身也是一種信息系統(tǒng)，其具有其他軟硬件IT設備一樣的屬性，即難免有軟件BUG或硬件缺陷所導致的漏洞產生。以防火墻為例，別以為安裝了硬件防火墻就萬無一失了，因為經過它們的IP數據痕跡照樣能夠被讀取。黑客只要跟蹤內含系統(tǒng)網絡地址的IP痕跡，就能了解服務器及與它們相連的計算機的詳細信息，然后利用這些信息漏洞實施網絡入侵。

再以IDS（入侵檢測系統(tǒng)）為例，很大一部分IDS都會有識別方式的設計漏洞。對比已知攻擊手法與入侵檢測系統(tǒng)監(jiān)視到的在網上出現的字符串，是大部分網絡入侵檢測系統(tǒng)都會采取的一種方式。例如，在早期Apache Web服務器版本上的phf CGI程序，就是過去常被黑客用來讀取服務器系統(tǒng)上的密碼文件(/etc/password)，或讓服務器為其執(zhí)行任意指令的工具之一。當黑客利用這種工具時，在其URL request請求中多數就會出現類似“GET /cgi-bin/phf?.....”的字符串。因此許多入侵檢測系統(tǒng)就會直接對比所有的URL request 中是否出現/cgi-bin/phf 的字符串，以此判斷是否出現phf 的攻擊行為。

2. 忽視SSL安全應用，數據 完整性受威脅

企業(yè)應盡快為整個信息系統(tǒng)部署SSL服務器證書。SSL是世界上部署最廣泛的安全協(xié)議，它應當部署在任何服務器上，以保護從瀏覽器傳輸到服務器的各種機密和個人信息。

安全套接層(SSL)加密是如今用來保護網站、內聯網、外聯網以及基于服務器的其他應用的最主要的技術之一。如果沒有它，通過公共和專用網絡交換的數據其完整性就會受到危及，最終影響業(yè)務連續(xù)性和利潤。SSL可以保護網絡訪問、網上聯系和數字交易，因為它能夠在服務器和用戶之間建立一條安全通道。一旦瀏覽器和服務器進行了信號交換，從一方傳送到另一方的所有數據都經過了加密，從而可以防止可能會危及傳送數據的安全性或者完整性的任何竊聽行為。

3. 忽視無線網絡中的未經授權智能手機

智能手機給企業(yè)安全帶來了巨大的安全風險，主要是因為智能手機非常普遍，有些員工會在辦公室使用個人設備，即使他們的雇主部署了有效的政策來禁止他們的使用，由于智能手機支持的設備。通過鼓勵使用被批準的手機，IT部門可以集中在為單一平臺設備部署安全措施，而不必處理眾多品牌和平臺。

如果你使用像智能手機一樣跨越多個無線頻譜的設備，“攻擊者可能使用‘藍牙狙擊’從一英里外讀取藍牙信息，”Hansen表示。藍牙是讓攻擊者訪問無線網絡然后攻擊企業(yè)網絡的開放端口。

4. 忽視了被打開的網絡打印機端口

辦公室打印機是另一個看似無害而實則帶來安全風險的設備，大多數公司都忽略了這種危害。在過去幾年，打印機已經可以通過無線網絡連接，有些甚至使用3G連接和電話線來傳真。有些模式確實可以阻止打印機的某些端口，如果在一家大型公司，打印機有200個阻止端口，那么可能會導致另外1000個端口的開放。攻擊者可以通過這些端口侵入企業(yè)網絡，更惡毒的伎倆就是捕捉所有打印信息以獲取機密信息。

有安全專家認為，處理這個問題的最好方法就是禁用打印機上的所有無線選項。如果這不可行的話，IT部門需要確保所有端口都阻止了任何未經授權訪問，同樣重要的是，使用安全管理工具來檢測和報告這些開放打印機端口。

5. 忽視企業(yè)定制軟件程序中可能包含問題代碼的問題

幾乎每個企業(yè)安全專家都很害怕由于編程中的粗心大意而導致的漏洞。 這可能發(fā)生在定制開發(fā)軟件以及行業(yè)軟件和開源軟件。

Web服務器上的PHP程序也可能輔助攻擊者攻入網絡。編碼錯誤（例如當從應用程序調用遠程文件時的不適當保護措施）可以讓黑客添加他們自己的嵌入式代碼。這確實有可能會發(fā)生，如果開發(fā)人員沒有謹慎處理哪些文件可以基于用戶的輸入而被調用或者企業(yè)博客使用引用功能來報告鏈接回發(fā)布內容，而沒有先消毒保存的URL以防止未經授權的數據庫查詢。最明顯的解決方法就是避免使用諸如免費提供的PHP腳本軟件、博客插件或者其他可疑的代碼。如果確實需要使用可以進行三種連接方式上網，包括藍牙、無線和GSM無線，由此增加了企業(yè)網絡被攻擊的潛在威脅。

簡單禁止智能手機的政策不可能有效，員工總是禁不住誘惑在辦公室使用他們的設備，即使這是被禁止的。IT部門應該只允許被批準的設備接入網絡，并且這種訪問應該是基于MAC地址的，該地址是與特定設備關聯的獨特代碼，這樣就可以追蹤這些設備。

利用網絡訪問控制是確保阻止未經授權訪問發(fā)生的另一個技巧。在一個理想世界中，企業(yè)都應該將客戶接入無線網絡與重要的企業(yè)網絡分開，即使有兩個無線局域網絡意味著更多的冗余和管理開支。 

另一個方法是提供強大的公司認可的智能手機，例如谷歌的Android，同時阻止員工使用不被這些軟件，可以部署安全監(jiān)測工具來檢測漏洞。

6. 忽視社交網絡欺騙攻擊能力

以Facebook網站和Twitter微博為代表的社交網絡應用已經風靡全球，很多信息泄漏和安全問題也由此產生。企業(yè)員工可能被愚弄至泄漏個人敏感信息，通常這種類型的攻擊都很狡詐，很難被追查。

7. 忽視員工P2P下載帶來的隱患

P2P網絡是網絡下載最盛行的一種方式。在一家大型公司，員工使用P2P系統(tǒng)下載非法內容或者建立自己的服務器來發(fā)布軟件并不罕見。

向P2P文件注入惡意代碼并不是難事，并且可能讓企業(yè)陷入困境，根據代碼涉及的不同，可以采用“資源隔離”的方法，從根本上控制哪些應用程序用戶被允許訪問。不同的操作系統(tǒng)處理方法也略有不同，但在企業(yè)政策無法有效執(zhí)行的情況下，這種方法確實可以嘗試。

8. 即時通訊消息欺騙和惡意軟件感染

對企業(yè)信息安全來說，另外一個潛在攻擊介質：智能手機的即時通訊消息。攻擊者可以使用短信來聯系員工試圖讓他們泄露關鍵信息，例如網絡登錄憑證和商業(yè)情報，他們也可以使用短信在手機上安裝惡意軟件。例如rootkit病毒可以在持有者不知道的情況下打開電話的麥克風，攻擊者可以發(fā)送不可見的文本信息到被感染的手機讓它進行呼叫并打開麥克風，當用戶在開會或者攻擊者想要偷聽時，這種伎倆將會很有效。

阻止這種攻擊的最佳辦法就是與運營商合作以確保他們使用惡意攔截軟件、短信過濾器以及重定向這種類型的攻擊。另外，創(chuàng)建智能手機使用政策，鼓勵或者要求使用公司認可或者公司提供的手機和服務計劃能夠減少這種風險。 

9. 忽視在業(yè)務系統(tǒng)環(huán)境中進行測試的危害

建立非軍事區(qū)(DMZ)，以便把有風險的網絡活動隔離在你的關鍵業(yè)務型生產網絡部分之外，模擬生產環(huán)境，或者讓客戶可以進行各種驗收測試。 允許通過調制解調器訪問安全網絡的中心部位，這是導致入侵的最常見根源之一。如今許多人使用所謂的戰(zhàn)爭撥號器(War Dialer)，試圖通過調制解調器組(Modem Bank)來訪問企業(yè)或者政府的網絡系統(tǒng)。這些人往往能夠得逞。 

建立可以訪問因特網、但只能有限制性地訪問內部網絡的DMZ。可通過認真設置防火墻來做到這一點：把DMZ封鎖起來，遠離網絡其余部分，同時仍允許可以全面訪問因特網。防火墻可以保護網絡的關鍵部分，遠離這個DMZ。 如果客戶或外來訪問人員需要進行任何信息系統(tǒng)技術和設備測試，必須在公司網絡上進行，只允許這種測試在DMZ進行。 

10. 忽視最特別的安全漏洞可能是某些企業(yè)員工

定義安全規(guī)范。這也許是最容易被忽視的，也是十條指導準則中最重要的，不過也是最容易、可能也會帶來最大影響的：把安全規(guī)范擬寫成文、傳達下去，并加以執(zhí)行。 

安全效果完全取決于貴組織的最薄弱環(huán)節(jié)。安全從來不是自動就能實現的，它需要人的參與。人員對組織的一項安全策略會取得多大成功具有最大的影響。不少實踐已表明，從安全人員入手是突破組織安全體系的最簡單方法。如果組織制訂條文明確、解釋清楚的安全策略，并加以執(zhí)行，就能有效地對付這一點及簡單的錯誤。 要明文規(guī)定有關設施訪問、網絡訪問、合理使用公司系統(tǒng)與網絡以及合理使用公司電子郵件和瀏覽器的相關流程和規(guī)則。 

毫無疑問，IT世界從來不存在100%的安全，攻擊與防范，從來都是動態(tài)地不斷變化，因此企業(yè)也不可能阻止所有這些潛在的安全攻擊。但企業(yè)應當明了企業(yè)內網系統(tǒng)有哪些漏洞所在，如同明了哪些信息資料是企業(yè)的核心機密一樣清晰明確，那么，再進行相應管理和技術上的措施，修補漏洞，應急防范，那么，企業(yè)系統(tǒng)環(huán)境就應該迎來一片綠色平靜的天空。