欢迎来到天天文库
浏览记录
ID:15128891
大小:32.50 KB
页数:5页
时间:2018-08-01
《企业信息安全指南new》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、企业信息安全指南—您必须了解的十大安全问题 在今天的全球经济一体化背景下,各种商业活动已经越来越依赖于互联网,企业利用互联网从事电子商务网上交易,把企业网络资源向供应商、商业伙伴、客户和远程移动办公的员工开放访问。虽然这样的网上交易和网络通信越来越方便,但是也带来了各种数据交换和通信的安全隐患,如何面对这些安全威胁和如何维护一个安全的、可信任的在线应用环境对任何大小的企业来讲都是一个必须面对的挑战。 本文总结了企业必须关注的最重要的10个安全问题及其问题解决指南,以帮助企业创建一个连接内网和外网的在线安全可信的企业网络及其应用系统。当然,本指南并非没有包罗所有安全问题,主
2、要关注了企业必须解决的核心问题—企业不仅要在服务器端部署SSL数字证书(SSL证书),而且还要在客户端部署数字证书,从而构成一个完整的、可信的、安全的、连接企业内外网的电子商务数据交换应用链路。 第1:没有SSL数据加密就不可能保证数据的完整性 SSL加密是目前最领先的最广泛应用的加密技术来确保Web服务器、内联网(Intranet)、外联网(Extranet)和其他基于服务器的所有应用。如果没有SSL,则无论是通过公网还是私网传输,其传输的数据完整性是没有保证的,因为您无法控制在整个传输链路上的每个环节,导致最终会影响业务的正常运转。而有了SSL就能保证您的数据在从客户
3、端到服务器的整个传输过程中的是加密传输的,是不可能被篡改和被泄露的。 最近几年来,人们越来越认识到SSL加密技术的重要用途,越来越多的用户在输入机密信息时会检查浏览器下面是否有“安全锁”标志,而全球上百万个网站已经部署了SSL数字证书(SSL证书)来保证服务器到浏览器之间的数据传输安全。几乎所有的服务器端软件和浏览器都支持SSL,这样使得企业部署SSL就只需简单的在服务器安装SSL数字证书(SSL证书)了。一旦部署了SSL数字证书(SSL证书),则浏览器和服务器之间就建立了一个安全通道,所有从客户端浏览器到服务器之间的数据传输是加密传输的,从而有效地防止了任何危害数据安全和
4、数据完整性的非法窃听行为。 建议:企业应该对所有服务器或部分重要服务器部署SSL数字证书(SSL证书)来保护任何从浏览器到服务器之间传输的任何机密信息和个人重要信息。 第2:免费黑客软件可以在30分钟内破解您的口令 现在几乎所有网上应用都依赖于口令密码,但口令密码已经变得越来越脆弱,使得您的系统也越来越容易受到攻击。所以,加强各种密码口令使用管理也就变得越来越重要。 现在计算机的计算能力越来越强,使得破解口令密码变得越来越容易,同时,由于各种重要的应用都已经网络化,这使得破解口令密码的收获和诱惑力也越来越大。现在,已经非常容易地在互联网上找到和下载一个口令密码破解软件
5、,使得6位数的密码只需30分钟就可以破解,而8位数的密码也只需要6个小时。 所以,您应该立刻制订口令密码管理规则,如使用大小写混合、加上数字和标点符号、不要使用您的个人信息、至少8位以上的长度以及经常修改密码等。最重要的是,您的应用程序应该有如下密码安全机制:凡是连续输入密码3-5次都无效的应该终止用户使用,这样就可以有效地防止恶意使用穷举法破解。建议系统管理员使用密码破解软件来发现脆弱的密码。 建议:最安全的解决方案是使用客户端数字证书来替代简单的口令密码验证机制,客户端数字证书能确保您的关键应用的安全性。 第3:电子邮件正在泄露您的商业机密 安全通信(目前主要指电
6、子邮件,当然也适合于即时通信、VoIP等等)是指确保只有应该阅读此信息的接收者才能看到此信息,而电子邮件在企业通信中越来越重要,使得电子邮件的保密管理也越来越重要,因为电子邮件从用户的电脑发出到接收者的电子邮件服务器是经过公网以明文文本方式传输的,凡是在邮件传输过程中经过的任何环节(服务器、路由器及其他网络设备)都有可能、也都可以得到您的邮件明文信息,而且几乎所有邮件系统都允许接收者把收到的电子邮件转发给任何第三方而没有任何审计。 但是,只要您的员工拥有单位数字证书,员工之间相互交换数字证书信息,员工之间的电子邮件就可以签名和加密,这样就可以确保员工之间交换的机密信息不会被
7、篡改和被非法窃取,对于通过电子邮件发送机密信息的企业应该采取此措施。此外,即时通信(IM)已经在企业获得了广泛应用,但同样应该使用安全加密的方式使用即时通信服务,否则通过即时通信传输的机密信息会非常容易被窃取的。 建议:为企业员工颁发单位数字证书来为电子邮件签名和加密以保护企业的重要商业机密,从而确保企业通信的机密性、确定性和信任性。 第4:传统的安全访问控制解决方案不仅无效而且投资大 SSL支持两端(服务器端和客户端)的身份认证,当服务器装有SSL数字证书(SSL证书)时,表明服务器是通过验证的
此文档下载收益归作者所有