在BYOD、云計(jì)算、大數(shù)據(jù)充斥的年代里，應(yīng)用程序仍然是企業(yè)信息安全不可忽略的危險(xiǎn)地帶，辦公、業(yè)務(wù)、流程、數(shù)據(jù)都離不開(kāi)應(yīng)用程序。因此，所有系統(tǒng)管理員應(yīng)該把管理你的應(yīng)用程序及其安全作為首要任務(wù)。應(yīng)用程序可以通過(guò)配置應(yīng)用程序的安全性、安裝應(yīng)用程序到非標(biāo)準(zhǔn)目錄和端口、鎖定應(yīng)用程序、保障P2P服務(wù)、確保你的應(yīng)用程序編程人員的代碼安全等八大方面來(lái)進(jìn)行多視角、系統(tǒng)化的管理。

[[110337]]

1、安全地配置應(yīng)用程序

應(yīng)用程序應(yīng)該按廠商推薦的安全設(shè)置進(jìn)行配置。三個(gè)最常見(jiàn)利用漏洞攻擊的Windows應(yīng)用程序是微軟的Outlook(Express語(yǔ)言)、Internet Explorer和Microsoft Office套件。這些應(yīng)用程序可能屬于最終用戶的工作站，人們需要它們來(lái)開(kāi)展工作，但它們可能不屬于你組織的服務(wù)器。如果你的服務(wù)器需要高安全性，刪除這些應(yīng)用程序。因?yàn)榇嬖诔Ｒ?jiàn)漏洞攻擊的風(fēng)險(xiǎn)，服務(wù)器上不應(yīng)該安裝電子郵件客戶端(如Outlook)或Microsoft Office。

在終端用戶的PC環(huán)境中，如果你要保留的應(yīng)用程序并在同一時(shí)間將風(fēng)險(xiǎn)降到最低。你可以通過(guò)定期更新應(yīng)用安全補(bǔ)丁，如果沒(méi)有更高的安全級(jí)別，則確保按廠商的推薦設(shè)置進(jìn)行配置。Outlook和Outlook Express中都應(yīng)該有自己的安全區(qū)域設(shè)置限制。Internet Explorer的Internet區(qū)域應(yīng)設(shè)置為中高或高。Office提供管理模板(名為ADM文件)， 可以配置和部署使用系統(tǒng)策略或組策略。這些都可以從微軟的網(wǎng)站上下載或在Office資源工具包中找到。

其他應(yīng)用程序通常會(huì)使用默認(rèn)安全設(shè)置，你可以訪問(wèn)廠商的技術(shù)支持資源來(lái)了解更多與你有關(guān)的安全選擇。不幸的是，許多軟件廠商并不重視安全問(wèn)題。這時(shí)候，需要使用你從本文中學(xué)到的概念和做法，你可能還需要做一些研究。如果一個(gè)針對(duì)你的應(yīng)用程序漏洞被人知道，它通常會(huì)出現(xiàn)在常見(jiàn)安全網(wǎng)站上和郵件列表中。包含漏洞訊息最多的其中一個(gè)網(wǎng)站是SANS(www.sans.org)。SANS每周公布的漏洞列表幾乎影響了所有的操作系統(tǒng)平臺(tái)，包括Windows， Unix， Linux， Macintosh， FreeBSD等等。

2、保護(hù)電子郵件

電子郵件蠕蟲(chóng)病毒仍然是計(jì)算機(jī)系統(tǒng)的頭號(hào)威脅，尤其是運(yùn)行Outlook或Outlook Express的Windows系統(tǒng)。大多數(shù)蠕蟲(chóng)病毒作為一個(gè)文件附件或作為最終用戶執(zhí)行的嵌入式腳本。很明顯，你可以通過(guò)保護(hù)電子郵件顯著降低網(wǎng)絡(luò)的曝光風(fēng)險(xiǎn)。這可以通過(guò)禁用HTML內(nèi)容和阻止?jié)撛诘膼阂馕募郊?lái)完成。

所有超出純文本的電子郵件都可以被用來(lái)惡意攻擊計(jì)算機(jī)。為此，限制電子郵件只有純文本是非常重要的，或者如果必須使用除純文本之外的電子郵件，也只使用純HTML編碼。你應(yīng)該禁用腳本語(yǔ)言和活動(dòng)內(nèi)容，如ActiveX控件，Java和VBScript對(duì)象。通常這很簡(jiǎn)單，只需要檢查電子郵件客戶端的復(fù)選框來(lái)強(qiáng)制所有傳入的電子郵件以純文本格式來(lái)呈現(xiàn)。有些客戶處理這個(gè)問(wèn)題比其他人更加優(yōu)雅，HTML-only消息在轉(zhuǎn)換過(guò)程中會(huì)嚴(yán)重錯(cuò)位或顯示為空白。Outlook和Outlook Express允許電子郵件的活動(dòng)內(nèi)容在無(wú)法訪問(wèn)互聯(lián)網(wǎng)的區(qū)域打開(kāi)，即禁用超出了純HTML格式編碼的內(nèi)容。這是微軟最新的電子郵件客戶端的默認(rèn)設(shè)置。早期的客戶端更加寬松，可以在互聯(lián)網(wǎng)安全區(qū)域打開(kāi)電子郵件。

如果你能阻止活動(dòng)內(nèi)容執(zhí)行，那么你需要擔(dān)心的是終端用戶點(diǎn)擊惡意HTML鏈接或打開(kāi)文件附件。如果他們已經(jīng)接入了互聯(lián)網(wǎng)，很難阻止用戶點(diǎn)擊惡意HTML鏈接。在Windows環(huán)境中，你可以使用組策略，Internet Explorer管理工具包(IEAK)，或一些其他類(lèi)型的代理服務(wù)器過(guò)濾器，只允許終端用戶訪問(wèn)預(yù)先核準(zhǔn)網(wǎng)站，但除此之外，你只能依賴于終端用戶教育程度。

3、阻止危險(xiǎn)的文件類(lèi)型

阻止危險(xiǎn)的文件附件是防止攻擊的最好方法，是針對(duì)目前電子郵件病毒和蠕蟲(chóng)的首選方法。最大的問(wèn)題是“什么構(gòu)成了一個(gè)危險(xiǎn)的文件類(lèi)型?” 事實(shí)是，幾乎所有的文件類(lèi)型可以被惡意使用，而更好的問(wèn)題是“什么是普遍使用的惡意文件類(lèi)型?”表1顯示了通常阻止的組織擔(dān)心使用這些文件類(lèi)型為載體的各種流行攻擊的Windows文件類(lèi)型。這些都是流行的電子郵件服務(wù)器阻止列表。該列表并不小。

4、阻止Outlook文件附件

許多系統(tǒng)管理員認(rèn)為他們不能在他們的網(wǎng)絡(luò)中阻止?jié)撛谖ｋU(xiǎn)的文件擴(kuò)展名。他們認(rèn)為最終用戶和管理層會(huì)產(chǎn)生反感。但是當(dāng)管理層聽(tīng)說(shuō)的統(tǒng)計(jì)數(shù)據(jù)，關(guān)于文件阻止的令人信服的商業(yè)論證。根據(jù)Radicati Group在2010年4月的統(tǒng)計(jì)信息，當(dāng)時(shí)每天有2940億封電子郵件在全球互聯(lián)網(wǎng)上發(fā)送。相當(dāng)于每秒280萬(wàn)封電子郵件，和每年90萬(wàn)億封郵件。其中，90%包含垃圾郵件和病毒。這意味著垃圾郵件和病毒組成包括：

每秒2，520，000封電子郵件

每天264，600，000，000封電子郵件

每年81，000，000，000，000封電子郵件

即使你有垃圾郵件過(guò)濾服務(wù)，(也許你會(huì)被所有的垃圾郵件所淹沒(méi))，一些惡意電子郵件將成為漏網(wǎng)之魚(yú)。如果有必要，你可以做出讓步，你可以通過(guò)允許阻止的文件附件發(fā)送到隔離區(qū)，對(duì)它們的發(fā)布進(jìn)行檢查?；蛘吣憧梢宰屪顚?zhuān)業(yè)的用戶來(lái)選擇誰(shuí)是可以信任的，不要打開(kāi)不受信任的文件，可以自行決定打開(kāi)和關(guān)閉阻止文件功能。

在今天的環(huán)境中電子郵件安全是至關(guān)重要的。通過(guò)阻止惡意的HTML內(nèi)容和阻止?jié)撛谖ｋU(xiǎn)的文件附件， 你已經(jīng)明顯提升了你的組織的安全性。

5、將應(yīng)用程序安裝到非標(biāo)準(zhǔn)目錄和端口

許多惡意程序依賴于一個(gè)事實(shí)，即大多數(shù)人把程序安裝在默認(rèn)目錄和默認(rèn)端口。你可以通過(guò)把程序安裝到非標(biāo)準(zhǔn)目錄，并指導(dǎo)它們使用非標(biāo)準(zhǔn)端口來(lái)顯著減少漏洞風(fēng)險(xiǎn)。許多Unix和Linux漏洞的存在依賴于/ etc目錄。通過(guò)簡(jiǎn)單地改變安裝文件夾到/etc以外的目錄，可以明顯降低惡意攻擊成功的風(fēng)險(xiǎn)。同樣的，不要把Microsoft Office安裝到C:\Program Files\Microsoft Office目錄中，考慮將程序自定義安裝到C:\Program Files\MSOffice目錄中。考慮將Windows安裝到不同的文件夾中，而不是默認(rèn)的C:\ Windows目錄。任何默認(rèn)設(shè)置的改變，甚至是一個(gè)字符，就足以打敗許多自動(dòng)化的攻擊工具。

如果你的應(yīng)用程序打開(kāi)并使用一個(gè)TCP / IP端口，看你是否可以把它連接到除默認(rèn)端口外的另一個(gè)端口。例如，如果你有一個(gè)外網(wǎng)的網(wǎng)站，可以考慮告訴你的客戶在瀏覽器中使用以下語(yǔ)法連接到除80端口以外的其他端口：

http://www.domainname.com:X

此處的X是一個(gè)新的端口號(hào)。例如：

http://www.mydomain.com:801

許多網(wǎng)絡(luò)攻擊只檢查端口80上的Web服務(wù)器，所以這個(gè)變化將防止此類(lèi)攻擊。

6、鎖定應(yīng)用程序

任何環(huán)境中最大的風(fēng)險(xiǎn)之一是終端用戶安裝和運(yùn)行所有他們想要的軟件的能力。有很多工具可用來(lái)限制終端用戶是否可以在桌面上運(yùn)行程序。在Windows中，系統(tǒng)管理員可以設(shè)置系統(tǒng)策略來(lái)禁止安裝新應(yīng)用程序，剝奪了使用者的運(yùn)行命令，并嚴(yán)格限制桌面。Windows也有一個(gè)名為軟件限制策略功能，可以讓系統(tǒng)管理員指定哪些軟件允許在特定的計(jì)算機(jī)上運(yùn)行。應(yīng)用程序可以通過(guò)以下方法被定義和允許:信任的數(shù)字證書(shū)，散列計(jì)算，處于互聯(lián)網(wǎng)安全區(qū)域的位置，路徑位置和文件類(lèi)型。

7、確保安全的P2P服務(wù)

點(diǎn)對(duì)點(diǎn)(P2P)的應(yīng)用程序，如即時(shí)通訊(IM)和音樂(lè)共享，很可能在未來(lái)仍是強(qiáng)勢(shì)的攻擊目標(biāo)。這是因?yàn)镻2P應(yīng)用程序的安全非常有限，如果有的話，經(jīng)常在沒(méi)有獲得管理員授權(quán)情況下安裝在企業(yè)環(huán)境中。并且，他們的目的是訪問(wèn)終端用戶的計(jì)算機(jī)，這使得竊取文件的工作變得更加容易。因此，P2P應(yīng)用程序越來(lái)越被視為一個(gè)滋擾，而不是一個(gè)合法的服務(wù)，需要進(jìn)行保護(hù)和管理。然而，你可以采取的一些措施來(lái)管理P2P應(yīng)用并盡量減少他們的安全后果。

首先，如果P2P應(yīng)用在你的企業(yè)環(huán)境中是不認(rèn)可的，那么請(qǐng)根除它。從教育的終端用戶開(kāi)始，并與管理層合作，建立使用未經(jīng)授權(quán)軟件的處罰條例。然后跟蹤程序并刪除它們。跟蹤它們意味著為嘗試在防火墻日志上監(jiān)控已知的P2P端口，在本地網(wǎng)絡(luò)里使用IDS設(shè)備來(lái)嗅探P2P數(shù)據(jù)包，或者使用P2P審計(jì)軟件。

其次，確保你的防火墻配置為明確禁止P2P流量。由于P2P軟件通常使用80端口作為代理端口，很難通過(guò)端口號(hào)來(lái)單獨(dú)封殺P2P流量，但也有些事情可以做。如果P2P客戶端連接到的服務(wù)器有一個(gè)特定的IP地址或在一個(gè)特定的域，可以在防火墻中阻止目的地。有些防火墻允許使用通配符封鎖域名，如* irc*或* kaz*。

最后，如果你的終端用戶堅(jiān)持使用P2P，并且管理層認(rèn)可，如果可能的話，堅(jiān)持讓他使用一個(gè)更安全的P2P應(yīng)用程序。例如，如果你的終端用戶堅(jiān)持使用AOL的即時(shí)通訊客戶端，看看管理層是否可以改用AOL的企業(yè)即時(shí)通訊客戶端。它不是免費(fèi)的，但它的確更安全。有幾十個(gè)安全的企業(yè)即時(shí)通訊客戶端可供選擇，并且均具有更好的安全性。最后，確保桌面防病毒掃描程序檢查P2P流量。

8、保障應(yīng)用程序編碼安全

SQL注入和緩沖區(qū)溢出攻擊只能通過(guò)程序員使用安全編碼來(lái)防御。在互聯(lián)網(wǎng)搜索引擎中輸入任何短語(yǔ)，它將返回關(guān)于如何防止這些類(lèi)型攻擊的大量文檔。防止SQL注入攻擊就如使用雙引號(hào)，而不是單引號(hào)一樣簡(jiǎn)單，。阻止緩沖區(qū)溢出攻擊需要輸入驗(yàn)證。一些免費(fèi)和商業(yè)工具可以用來(lái)測(cè)試你的應(yīng)用程序是否存在這些攻擊并提供修復(fù)建議。

IIS Lockdown工具應(yīng)該在所有運(yùn)行IIS系統(tǒng)上執(zhí)行。它的作用是為不同的WEB服務(wù)器角色(例如OWA服務(wù)器、公共WEB服務(wù)器等等)設(shè)計(jì)專(zhuān)門(mén)的模板。安全模板關(guān)閉不必要的功能，刪除不需要的文件，并安裝URLScan，過(guò)濾掉許多常見(jiàn)的，惡意URL的攻擊。如果安裝對(duì)IIS服務(wù)器有不利影響，它可以很容易被卸載和恢復(fù)原始設(shè)置。