SSL 的三大誤區(qū)(此文刊登在《計(jì)算機(jī)世界》第5期)網(wǎng)站欺詐（Phishing ）目前日益猖獗，而很多安全廠商對(duì)此卻束手無策，在目前條件下，這類攻擊不是靠技術(shù)能解決的，需要靠人們搽亮眼睛。此外，網(wǎng)站作

SSL 的三大誤區(qū)

(此文刊登在《計(jì)算機(jī)世界》第5期)

網(wǎng)站欺詐（Phishing ）目前日益猖獗，而很多安全廠商對(duì)此卻束手無策，在目前條件下，這類攻擊不是靠技術(shù)能解決的，需要靠人們搽亮眼睛。此外，網(wǎng)站作為受害方之一，也可以采取一定的措施自我保護(hù)。SSL 認(rèn)證曾經(jīng)被認(rèn)為是好方法，但目前存在認(rèn)識(shí)誤區(qū)。那么，還有什么好方法呢？

誤區(qū)一:

對(duì)SSL 數(shù)字證書(SSL證書) 功能的誤解。

許多網(wǎng)站開發(fā)者認(rèn)為只要部署了SSL 數(shù)字證書(SSL證書) 就萬事大吉了，錯(cuò)誤地夸大了數(shù)字證書的功能。實(shí)際上部署了SSL 數(shù)字證書(SSL證書) ，只能證明如下三點(diǎn)：

(1) 從用戶的瀏覽器到正在訪問的Web 服務(wù)器之間所傳輸?shù)臄?shù)據(jù)是通過加密傳輸?shù)模遣豢杀淮鄹摹⒏`取和破譯的，保證了用戶輸入的機(jī)密信息(如銀行卡信息) 在網(wǎng)絡(luò)傳輸過程中是安全的。

(2) 瀏覽器右方有鎖標(biāo)志說明了此數(shù)字證書是由信任的機(jī)構(gòu)頒發(fā)，并且與用戶正在使用的瀏覽器兼容。

(3) 說明用戶正在訪問的Web 服務(wù)器已經(jīng)申請(qǐng)了SSL 數(shù)字證書(SSL證書) ，并且正在訪問的網(wǎng)站的域名的所有者與SSL 數(shù)字證書(SSL證書) 申請(qǐng)時(shí)填寫的域名所有者是一致的。

誤區(qū)二:

以為在屏幕右下角有“顯示鎖標(biāo)志”就可以放心地在線填寫信用卡等機(jī)密信息了。

有鎖標(biāo)志只能說明機(jī)密數(shù)據(jù)在傳輸過程是安全的，但是網(wǎng)上用戶首先應(yīng)該搞清楚的是您正在與誰交易，正在付錢給誰。一個(gè)假冒在線購物的網(wǎng)站也可以申請(qǐng)一個(gè)SSL 數(shù)字證書(SSL證書) 來麻痹用戶，用戶應(yīng)該檢查正在訪問的網(wǎng)站是否就是要訪問的購物網(wǎng)站，域名是否正確。點(diǎn)擊鎖標(biāo)志，檢查此證書是頒發(fā)給哪個(gè)網(wǎng)站的? 此證書的網(wǎng)址是否就是您要訪問的網(wǎng)址? 再點(diǎn)擊“詳細(xì)信息”的“主題”項(xiàng)，VeriSign 的數(shù)字證書一般在“O”或“OU”字段會(huì)列出此證書的網(wǎng)站的所有者，即會(huì)清楚地告訴您此網(wǎng)站是否是您計(jì)劃與之交易的公司的網(wǎng)站。而GeoTrust 的數(shù)字證書一般在“OU”字段有一個(gè)

ChoicePoint CUI查驗(yàn)網(wǎng)址，可以在線查驗(yàn)該網(wǎng)站的所有者資料。而一個(gè)假冒的網(wǎng)站即使也有SSL 數(shù)字證書(SSL證書) ，如果檢查證書的詳細(xì)信息就會(huì)發(fā)現(xiàn)問題。如招商銀行信用卡網(wǎng)站的安全鏈接網(wǎng)址為：https://creditcard.cmbchina.com，訪問后會(huì)發(fā)現(xiàn)瀏覽器下面有鎖標(biāo)志，點(diǎn)擊鎖標(biāo)志后會(huì)顯示此證書是頒發(fā)給creditcard.cmbchina.com ，而再點(diǎn)擊“詳細(xì)信息”的“主題”項(xiàng)后會(huì)顯示：CN = creditcard.cmbchina.com (Web服務(wù)器公用名稱), OU = head office (申請(qǐng)機(jī)構(gòu)的部門信息), O = China Merchants Bank (申請(qǐng)機(jī)構(gòu)信息), L = Shenzhen (機(jī)構(gòu)所在城市), S = Guangdong (機(jī)構(gòu)所在州/省), C = CN (機(jī)構(gòu)國家) 。

但是，用戶一定要明白，SSL 數(shù)字證書(SSL證書) 僅僅是為了保證數(shù)據(jù)傳輸?shù)陌踩⒉坏扔谏矸蒡?yàn)證。要搞清楚的是用戶正在訪問的網(wǎng)站是否就是用戶希望與之發(fā)生交易的公司的網(wǎng)站，這是最重要的。所以，要保證網(wǎng)上安全交易，還需要對(duì)網(wǎng)站的身份進(jìn)行驗(yàn)證，驗(yàn)證此網(wǎng)站是否就是交易方的正宗網(wǎng)站。假如有一個(gè)假冒招商銀行信用卡網(wǎng)站的安全鏈接網(wǎng)址為：https://creditcard.cmb-china.com，該假冒者在注冊(cè)域名時(shí)也是填寫域名注冊(cè)者為China Merchants Bank ，申請(qǐng)SSL 數(shù)字證書(SSL證書) 時(shí)也都是填寫與域名cmbchina.com 一樣的信息，該假冒者當(dāng)然也可以申請(qǐng)到SSL 數(shù)字證書(SSL證書) ，只要申請(qǐng)證書時(shí)的信息與注冊(cè)域名的信息一樣。所以，此假冒網(wǎng)站也會(huì)顯示鎖標(biāo)志，按以上方法驗(yàn)證證書，都可以是同樣的正確信息。但是此網(wǎng)站是假冒網(wǎng)站，而用戶只能以網(wǎng)站的網(wǎng)址做判斷了。所以作者認(rèn)為：最重要的是網(wǎng)站身份認(rèn)證，目前全球惟一的網(wǎng)站身份認(rèn)證服務(wù)提供商是美國GeoTrust 公司，該公司提供的True Site認(rèn)證和Ture Site認(rèn)證標(biāo)志能確保網(wǎng)站不可能被全部假冒，假冒網(wǎng)站不可能有Ture Site認(rèn)證標(biāo)志，因?yàn)榇藰?biāo)志是動(dòng)態(tài)

實(shí)時(shí)生成的，是不可能被假冒和抄襲的。

誤區(qū)三:

選擇SSL 數(shù)字證書(SSL證書) 頒發(fā)機(jī)構(gòu)的誤區(qū)

目前國內(nèi)各種數(shù)字證書頒發(fā)機(jī)構(gòu)有近百家，網(wǎng)站應(yīng)該根據(jù)自己的業(yè)務(wù)需要正確選擇數(shù)字證書頒發(fā)機(jī)構(gòu)。對(duì)于面向國際市場(chǎng)和希望有國際合作的網(wǎng)站(希望國外用戶也能正確瀏覽安全頁面的網(wǎng)站) ，推薦申請(qǐng)支持所有瀏覽器的全球Web 服務(wù)器數(shù)字證書(如：GeoTrust 或VeriSign) ，此類證書無需要求客戶端瀏覽器下載和安裝根證書，使用非常方便。 總之，目前國內(nèi)電子商務(wù)和網(wǎng)上購物網(wǎng)站越來越多，而且盜版的銀行網(wǎng)站也越來越猖狂，通過互聯(lián)網(wǎng)的欺騙和盜用行為日益增加，作者認(rèn)為，對(duì)于要求用戶輸入機(jī)密信息的網(wǎng)站，一定要部署SSL 數(shù)字證書(SSL證書) 來確保用戶輸入的機(jī)密信息的安全，保護(hù)輸入的機(jī)密信息不會(huì)被泄露，讓人們放心地進(jìn)行網(wǎng)上消費(fèi)。同時(shí)，我們建議所有網(wǎng)站都應(yīng)該申請(qǐng)認(rèn)證，讓現(xiàn)實(shí)世界的真實(shí)企業(yè)與網(wǎng)絡(luò)虛擬世界的企業(yè)網(wǎng)站實(shí)現(xiàn)真正的一一對(duì)應(yīng)關(guān)系，讓假冒網(wǎng)站沒有可乘之機(jī)。而對(duì)于網(wǎng)上消費(fèi)者，一定要提高安全防范意識(shí)，掌握辨別真?zhèn)尉W(wǎng)站的方法，不給網(wǎng)絡(luò)犯罪分子有可乘之機(jī)。

企業(yè)信息安全指南 — 您必須了解的十大安全問題 在今天的全球經(jīng)濟(jì)一體化背景下，各種商業(yè)活動(dòng)已經(jīng)越來越依賴于互聯(lián)網(wǎng)，企業(yè)利用互聯(lián)網(wǎng)從事電子商務(wù)網(wǎng)上交易，把企業(yè)網(wǎng)絡(luò)資源向供應(yīng)商、商業(yè)伙伴、客戶和遠(yuǎn)程移動(dòng)辦公的員工開放訪問。雖然這樣的網(wǎng)上交易和網(wǎng)絡(luò)通信越來越方便，但是也帶來了各種數(shù)據(jù)交換和通信的安全隱患，如何面對(duì)這些安全威脅和如何維護(hù)一個(gè)安全的、可信任的在線應(yīng)用環(huán)境對(duì)任何大小的企業(yè)來講都是一個(gè)必須面對(duì)的挑戰(zhàn)。

本文總結(jié)了企業(yè)必須關(guān)注的最重要的 10 個(gè)安全問題及其問題解決指南，以幫助企業(yè)創(chuàng)建一個(gè)連接內(nèi)網(wǎng)和外網(wǎng)的在線安全可信的企業(yè)網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)。當(dāng)然，本指南并非沒有包羅所有安全問題，主要關(guān)注了企業(yè)必須解決的核心問題 — 企業(yè)不僅要在服務(wù)器端部署 SSL 數(shù)字證書(SSL證書) ，而且還要在客戶端部署數(shù)字證書，從而構(gòu)成一個(gè)完整的、可信的、安全的、連接企業(yè)內(nèi)外網(wǎng)的電子商務(wù)數(shù)據(jù)交換應(yīng)用鏈路。

第 1 ：沒有 SSL 數(shù)據(jù)加密就不可能保證數(shù)據(jù)的完整性

SSL 加密是目前最領(lǐng)先的最廣泛應(yīng)用的加密技術(shù)來確保 Web 服務(wù)器、內(nèi)聯(lián)網(wǎng) (Intranet) 、外聯(lián)網(wǎng) (Extranet) 和其他基于服務(wù)器的所有應(yīng)用。如果沒有 SSL ，則無論是通過公網(wǎng)還是私網(wǎng)傳輸，其傳輸?shù)臄?shù)據(jù)完整性是沒有保證的，因?yàn)槟鸁o法控制在整個(gè)傳輸鏈路上的每個(gè)環(huán)節(jié)，導(dǎo)致最終會(huì)影響業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。而有了 SSL 就能保證您的數(shù)據(jù)在從客戶端到服務(wù)器的整個(gè)傳輸過程中的是加密傳輸?shù)模遣豢赡鼙淮鄹暮捅恍孤兜摹?/p>

最近幾年來，人們?cè)絹碓秸J(rèn)識(shí)到 SSL 加密技術(shù)的重要用途，越來越多的用戶在輸入機(jī)密信息時(shí)會(huì)檢查瀏覽器下面是否有“安全鎖”標(biāo)志，而全球上百萬個(gè)網(wǎng)站已經(jīng)部署了 SSL 數(shù)字證書(SSL證書) 來保證服務(wù)器到瀏覽器之間的數(shù)據(jù)傳輸安全。幾乎所有的服務(wù)器端軟件和瀏覽器都支持 SSL ，這樣使得企業(yè)部署 SSL 就只需簡單的在服務(wù)器安裝 SSL 數(shù)字證書(SSL證書) 了。一旦部署了 SSL 數(shù)字證書(SSL證書) ，則瀏覽器和服務(wù)器之間就建立了一個(gè)安全通道，所有從客戶端瀏覽器到服務(wù)器之間的數(shù)據(jù)傳輸是加密傳輸?shù)模瑥亩行У胤乐沽巳魏挝：?shù)據(jù)安全和數(shù)據(jù)完整性的非法竊聽行為。

建議 ：企業(yè)應(yīng)該對(duì)所有服務(wù)器或部分重要服務(wù)器部署 SSL 數(shù)字證書(SSL證書) 來保護(hù)任何從瀏覽器到服務(wù)器之間傳輸?shù)娜魏螜C(jī)密信息和個(gè)人重要信息。

第 2 ：免費(fèi)黑客軟件可以在 30 分鐘內(nèi)破解您的口令

現(xiàn)在幾乎所有網(wǎng)上應(yīng)用都依賴于口令密碼，但口令密碼已經(jīng)變得越來越脆弱，使得您的系統(tǒng)也越來越容易受到攻擊。所以，加強(qiáng)各種密碼口令使用管理也就變得越來越重要。

現(xiàn)在計(jì)算機(jī)的計(jì)算能力越來越強(qiáng)，使得破解口令密碼變得越來越容易，同時(shí)，由于各種重要的應(yīng)用都已經(jīng)網(wǎng)絡(luò)化，這使得破解口令密碼的收獲和誘惑力也越來越大。現(xiàn)在，已經(jīng)非常容易地在互聯(lián)網(wǎng)上找到和下載一個(gè)口令密碼破解軟件，使得 6 位數(shù)的密碼只需 30 分鐘就可以破解，而 8 位數(shù)的密碼也只需要 6 個(gè)小時(shí)。

所以，您應(yīng)該立刻制訂口令密碼管理規(guī)則，如使用大小寫混合、加上數(shù)字和標(biāo)點(diǎn)符號(hào)、不要使用您的個(gè)人信息、至少 8 位以上的長度以及經(jīng)常修改密碼等。最重要的是，您的應(yīng)用程序應(yīng)該有如下密碼安全機(jī)制：凡是連續(xù)輸入密碼 3-5 次都無效的應(yīng)該終止用戶使用，這樣就可以有效地防止惡意使用窮舉法破解。建議系統(tǒng)管理員使用密碼破解軟件來發(fā)現(xiàn)脆弱的密碼。

建議： 最安全的解決方案是使用客戶端數(shù)字證書來替代簡單的口令密碼驗(yàn)證機(jī)制，客戶端數(shù)字證書能確保您的關(guān)鍵應(yīng)用的安全性。

第 3 ：電子郵件正在泄露您的商業(yè)機(jī)密

安全通信 ( 目前主要指電子郵件，當(dāng)然也適合于即時(shí)通信、 VoIP 等等 ) 是指確保只有應(yīng)該閱讀此信息的接收者才能看到此信息，而電子郵件在企業(yè)通信中越來越重要，使得電子郵件的保密管理也越來越重要，因?yàn)殡娮余]件從用戶的電腦發(fā)出到接收者的電子郵件服務(wù)器是經(jīng)過公網(wǎng)以明文文本方式傳輸?shù)模彩窃卩]件傳輸過程中經(jīng)過的任何環(huán)節(jié) ( 服務(wù)器、路由器及其他網(wǎng)絡(luò)設(shè)備 ) 都有可能、也都可以得到您的郵件明文信息，而且?guī)缀跛朽]件系統(tǒng)都允許接收者把收到的電子郵件轉(zhuǎn)發(fā)給任何第三方而沒有任何審計(jì)。

但是，只要您的員工擁有個(gè)人數(shù)字證書，員工之間相互交換數(shù)字證書信息，員工之間的電子郵件就可以簽名和加密，這樣就可以確保員工之間交換的機(jī)密信息不會(huì)被篡改和被非法竊取，對(duì)于通過電子郵件發(fā)送機(jī)密信息的企業(yè)應(yīng)該采取此措施。此外，即時(shí)通信 (IM) 已經(jīng)在企業(yè)獲得了廣泛應(yīng)用，但同樣應(yīng)該使用安全加密的方式使用即時(shí)通信服務(wù)，否則通過即時(shí)通信傳輸?shù)臋C(jī)密信息會(huì)非常容易被竊取的。

建議 ：為企業(yè)員工頒發(fā)個(gè)人數(shù)字證書來為電子郵件簽名和加密以保護(hù)企業(yè)的重要商業(yè)機(jī)密，從而確保企業(yè)通信的機(jī)密性、確定性和信任性。

第 4 ：傳統(tǒng)的安全訪問控制解決方案不僅無效而且投資大

SSL 支持兩端 ( 服務(wù)器端和客戶端 ) 的身份認(rèn)證，當(dāng)服務(wù)器裝有 SSL 數(shù)字證書(SSL證書) 時(shí)，表明服務(wù)器是通過驗(yàn)證的 ( 此服務(wù)器的域名所有者申請(qǐng)了 SSL 數(shù)字證書(SSL證書) 并獲得有效頒發(fā) ) ；而客戶端 ( 瀏覽器 ) 則驗(yàn)證此證書的域名與服務(wù)器域名是匹配的、是有效的、是由信任的機(jī)構(gòu)頒發(fā)的。當(dāng)客戶端也使用 SSL 數(shù)字證書(SSL證書) 訪問服務(wù)器時(shí)，表明此客戶端也是通過驗(yàn)證的 ( 使用此電腦的人是已經(jīng)通過身份認(rèn)證而獲得數(shù)字證書的 ) ，客戶端數(shù)字證書可以嵌在任何客戶端軟件中 ( 包括瀏覽器、 Outlook 等 ) 來代替簡單的密碼驗(yàn)證 ( 當(dāng)然，可以同時(shí)也有密碼驗(yàn)證 ) 來獲得服務(wù)器的授權(quán)訪問。

使用客戶端數(shù)字證書要比簡單的口令密碼驗(yàn)證安全許多，因?yàn)橐粋€(gè)人的數(shù)字證書是不可能被另一個(gè)人偽造的，即使安裝有數(shù)字證書的電腦被盜，仍然需要密碼來激活數(shù)字證書。而由于數(shù)字證書是一個(gè)經(jīng)濟(jì)實(shí)用的安全解決方案，所以，越來越多的重要網(wǎng)絡(luò)應(yīng)用 ( 如 CRM 和企業(yè)內(nèi)聯(lián)網(wǎng) ) 都開始采用 SSL 數(shù)字證書(SSL證書) 。

許多公司開始或?qū)⒁_始安裝 VPN 系統(tǒng) ( 虛擬內(nèi)部網(wǎng) ) ，方便遠(yuǎn)程用戶通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部的重要的數(shù)據(jù)庫系統(tǒng)，這是一個(gè)非常好的遠(yuǎn)程聯(lián)網(wǎng)和遠(yuǎn)程訪問解決方案，但千萬不要只是使用簡單的口令驗(yàn)證，應(yīng)該在部署 VPN 時(shí)使用 SSL 數(shù)字證書(SSL證書) 來實(shí)現(xiàn)身份驗(yàn)證和數(shù)據(jù)傳輸加密。

時(shí)間同步動(dòng)態(tài)口令系統(tǒng) (tokens) 是一種能夠動(dòng)態(tài)產(chǎn)生一串?dāng)?shù)字可用做口令的小裝置來實(shí)現(xiàn)用戶訪問身份認(rèn)證，但此裝置太貴，而且容易丟失或急用時(shí)沒電了，使用者還有可能會(huì)不按規(guī)定轉(zhuǎn)借給其他人使用。

建議 ：使用 SSL 數(shù)字證書(SSL證書) 來替換脆弱的靜態(tài)口令密碼驗(yàn)證手段和昂貴的時(shí)間同步動(dòng)態(tài)口令系統(tǒng)，此解決方案比前者更加安全，比后者便宜許多，同時(shí)非常容易部署。

第 5 ：建立一個(gè)有效的內(nèi)部公鑰管理系統(tǒng) (PKI) 是一個(gè)費(fèi)時(shí)費(fèi)錢的事情

公鑰管理系統(tǒng) (PKI) 是一個(gè)確保在線業(yè)務(wù)安全的最重要的不可缺少的工具，如果沒有一套頒發(fā)、吊銷、續(xù)期等管理數(shù)字證書的手段，則企業(yè)不可能部署一個(gè)安全的內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)，特別是對(duì)于一個(gè)有許多分支機(jī)構(gòu)和移動(dòng)辦公員工的大型機(jī)構(gòu)來講。同時(shí)，如果不能實(shí)現(xiàn)安全的訪問，企業(yè)員工也無法隨時(shí)隨地訪問企業(yè)的核心數(shù)據(jù)系統(tǒng)，用戶也不可能放心地從事網(wǎng)上交易。現(xiàn)在，許多企業(yè)已經(jīng)充分認(rèn)識(shí)到電子郵件和即時(shí)通信的不安全性，加強(qiáng)電子郵件的管理和禁止使用即時(shí)通信，也正在尋求安全通信解決方案。

PKI 系統(tǒng)理論上是非常成熟的技術(shù)，但是實(shí)際實(shí)施時(shí)需要復(fù)雜的硬件和軟件系統(tǒng)，還需要專業(yè)的懂得 PKI 理論的 IT 人才，需要專業(yè)的專用的系統(tǒng)來保護(hù)其安全，這無疑會(huì)是一大筆投資。但是，現(xiàn)在您可以無需以上投資，而是把 PKI 系統(tǒng)外包給可信任的專業(yè)的第三方 CA( 認(rèn)證中心 ) 來根據(jù)企業(yè)的需要來管理、維護(hù)企業(yè)自己的 PKI 系統(tǒng)，外包的 PKI 系統(tǒng) ( 企業(yè) CA) 可以讓企業(yè)方便地使用瀏覽器來根據(jù)自己的業(yè)務(wù)需要在線頒發(fā)自己所需要的服務(wù)器 SSL 數(shù)字證書(SSL證書) 和客戶端數(shù)字證書，已經(jīng)有許多應(yīng)用而且越來越多的應(yīng)用都支持?jǐn)?shù)字證書，如基于瀏覽器的應(yīng)用、電子郵件系統(tǒng)和 VPN 系統(tǒng)等。

對(duì)于外包的 PKI 服務(wù)，有幾個(gè)因素要考慮：是否提供靈活認(rèn)證機(jī)制 ( 我怎么知道他 / 她是誰，又怎樣確認(rèn)他 / 她就是他 / 她說的誰 ) ？是否提供方便的管理界面 ( 由誰來管理和控制整個(gè)過程 ) ？是否提供方便操作的用戶界面 ( 最終用戶如何申請(qǐng)自己的數(shù)字證書 ) ？

許多機(jī)構(gòu)希望能把以下需求外包給一個(gè)可信任的第三方：安全訪問、安全通信和安全在線交易。安全訪問就是讓企業(yè)的員工能方便的在任何地方通過互聯(lián)網(wǎng)安全地訪問企業(yè)的內(nèi)部網(wǎng)和內(nèi)部機(jī)密數(shù)據(jù) ( 如 CRM 、 ERP 和 OA 等 ) ，這對(duì)于全球性和全國性的大機(jī)構(gòu)非常急需。安全通信，主要是指電子郵件和即時(shí)通信，需要提供一種安全機(jī)制來識(shí)別信息發(fā)送者的真實(shí)身份和確保信息的內(nèi)容不會(huì)被竊取。而安全在線交易則要求把現(xiàn)在的基于紙質(zhì)文件的手寫簽名方式變?yōu)闊o紙的數(shù)字簽名，同樣涉及到加密傳輸和身份認(rèn)證問題。

建議： 最明智的選擇是購買 PKI 管理外包服務(wù)，讓可信任的第三方利用其現(xiàn)成的 PKI 系統(tǒng)來在線管理您企業(yè)的 PKI 系統(tǒng)，這樣，企業(yè)就可以專心做自己的業(yè)務(wù)，而不用購買和維護(hù)復(fù)雜的、昂貴的 PKI 系統(tǒng)。

第 6 ：只需要點(diǎn)擊一下鼠標(biāo)，您的網(wǎng)站就可以被克隆假冒

SSL 對(duì)于敏感數(shù)據(jù)的加密是非常重要的，但請(qǐng)注意： SSL 不能證明一個(gè)網(wǎng)站的真實(shí)身份，這是“互聯(lián)網(wǎng)安全上的一個(gè)不可告人的小秘密”。瀏覽器下面有安全鎖標(biāo)志只能證明從瀏覽器到正在訪問的服務(wù)器之間的數(shù)據(jù)傳輸是加密的和安全的，但并不等于您正在訪問的服務(wù)器就是您希望訪問的企業(yè)的服務(wù)器。為了保護(hù)企業(yè)和用戶的利益，企業(yè)應(yīng)該為其企業(yè)網(wǎng)站申請(qǐng)網(wǎng)站身份認(rèn)證，在網(wǎng)站的醒目位置顯示一個(gè)不可假冒的可信真實(shí)網(wǎng)站標(biāo)志。對(duì)于企業(yè) ( 或機(jī)構(gòu) ) 來講，這就有效地預(yù)防了網(wǎng)站被假冒的可能，而對(duì)于用戶來講，有了可信標(biāo)志，則讓用戶確信正在訪問的網(wǎng)站確實(shí)是他 / 她希望訪問的機(jī)構(gòu)的網(wǎng)站，而用戶也不能僅僅憑網(wǎng)站上講它是哪個(gè)單位的網(wǎng)站就相信它就是哪個(gè)單位的網(wǎng)站。

不幸的是，目前幾乎所有的網(wǎng)站身份標(biāo)志產(chǎn)品都不能真正證明其合法身份，因?yàn)檫@類標(biāo)志 ( 簽章 ) 是靜態(tài)圖片或 Flash 圖片，是非常容易連同網(wǎng)站一起被復(fù)制下來的。而目前只有 GeoTrust 全球獨(dú)家專利提供動(dòng)態(tài)生成的與網(wǎng)站域名綁定的網(wǎng)站身份認(rèn)證簽章，此認(rèn)證簽章是不可復(fù)制的，是由嵌在網(wǎng)站上的一段代碼自動(dòng)生成的，通不過認(rèn)證就不會(huì)顯示認(rèn)證簽章。

建議： 在企業(yè)網(wǎng)站上啟用一個(gè)醒目的可信任的標(biāo)志讓網(wǎng)站訪問者非常容易確認(rèn)您的網(wǎng)站的真實(shí)身份和信任網(wǎng)站所有者。

第 7 ：沒有可靠的物理安全和網(wǎng)絡(luò)安全，企業(yè)的機(jī)密數(shù)據(jù)是容易遭遇入侵的

網(wǎng)絡(luò)安全包括計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)訪問控制，以及入侵檢測(cè)和反擊。網(wǎng)絡(luò)不安全的危險(xiǎn)是巨大的：盜賊、中斷服務(wù)、物理損壞、系統(tǒng)完整性損害和非授權(quán)的機(jī)密信息外泄等。而物理上的安全也非常重要，比如離開電腦鎖上屏幕、重要服務(wù)器的門禁制度以及進(jìn)入敏感地區(qū)的指紋身份識(shí)別等。

防火墻是網(wǎng)絡(luò)安全中不可缺少的設(shè)施，它限制了從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)的訪問，監(jiān)視和限制所有通過網(wǎng)絡(luò)的各種行為，設(shè)置哪些 IP 地址和哪些端口的訪問權(quán)限。同時(shí)，建議不同的網(wǎng)絡(luò)區(qū)域和應(yīng)用層部署不同的防火墻 ( 如 DMZ 區(qū)、 Web 服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等 ) 。

入侵檢測(cè)系統(tǒng)實(shí)時(shí)檢測(cè)各種攻擊，分析和審計(jì)訪問日志，當(dāng)有入侵時(shí)及時(shí)通知管理員，保護(hù)系統(tǒng)文件，分析和揭露黑客的伎倆，指出需要盡快解決的安全漏洞和跟蹤攻擊者的行蹤等。

另外，必須在每臺(tái)用戶電腦上安裝防病毒軟件來有效地防護(hù)越來越猖狂的病毒攻擊，特別要在電子郵件服務(wù)器上安裝防病毒軟件來防止通過電子郵件傳播的病毒。

最后，也是最重要的是確保所有系統(tǒng)及時(shí)升級(jí)和安裝安全補(bǔ)丁，黑客最了解微軟的 IIS Web 服務(wù)器的安全漏洞而最容易受到攻擊，雖然 IIS 的補(bǔ)丁可以免費(fèi)下載，但還是有 30 以上的 IIS 沒有升級(jí)。再重復(fù)一句：立刻升級(jí)和安裝安全補(bǔ)丁！

建議： 部署防火墻、入侵檢測(cè)、客戶端和服務(wù)器端的病毒檢測(cè)以及升級(jí)所有系統(tǒng)的補(bǔ)丁是抵御常規(guī)的安全威脅、保護(hù)機(jī)密數(shù)據(jù)和保持業(yè)務(wù)的正常運(yùn)轉(zhuǎn)的有利措施。

第 8 ：利用 Modem 遠(yuǎn)程訪問的風(fēng)險(xiǎn)

為了遠(yuǎn)程維護(hù)方便，許多系統(tǒng)都允許通過 Modem 遠(yuǎn)程訪問安全網(wǎng)絡(luò)的核心部分，但這實(shí)際上為黑客入侵開了一個(gè)后門，是最常見的入侵威脅之一，有許多黑客就是通過自動(dòng)撥號(hào)器自動(dòng)搜索可以通過 Modem 連接的內(nèi)部網(wǎng) ( 包括企業(yè)和政府系統(tǒng) ) ，這些黑客還經(jīng)常能得逞。建議卸下 Modem 接入系統(tǒng)，建立一個(gè) DMZ 區(qū) ( 能訪問互聯(lián)網(wǎng)但只能有限地訪問內(nèi)部網(wǎng) ) ，通過多重驗(yàn)證的 VPN 方式遠(yuǎn)程訪問 DMZ 區(qū)，再從 DMZ 區(qū)訪問核心部分，只要合理配置防火墻，是能有效地保證安全遠(yuǎn)程訪問的。

建議： 為遠(yuǎn)程訪問或產(chǎn)品測(cè)試服務(wù)專門設(shè)立一個(gè) DMZ 區(qū)來降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，這對(duì)于重要的正在正式提供服務(wù)的業(yè)務(wù)非常重要。

第 9 ：最薄弱的環(huán)節(jié)還是人的管理

安全不僅僅是部署各種軟硬件設(shè)備的問題，還涉及到人，人是一個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)安全和信息安全環(huán)節(jié)中最重要的部分，入侵者往往非常容易從安全管理中找到漏洞而成功，必須有明文規(guī)定各種網(wǎng)絡(luò)安全和信息安全管理制度，包括各種信息系統(tǒng)物理設(shè)施的訪問規(guī)則、信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的訪問規(guī)則以及公司電子郵件系統(tǒng)和上網(wǎng)管理等，并要求所有員工嚴(yán)格執(zhí)行。

應(yīng)該明確列出哪些事情是允許的，哪些是不允許的，包括哪些人能登錄操作系統(tǒng)，哪些人能進(jìn)入某個(gè)機(jī)房等。允許外來訪客使用會(huì)議室的網(wǎng)絡(luò)插口上網(wǎng)，也是經(jīng)常的事，但殊不知此外來訪客可能就在您的內(nèi)部網(wǎng)埋下了“木馬”，看似非常安全的內(nèi)部網(wǎng)就埋下了一個(gè)安全威脅。

建議： 制訂網(wǎng)絡(luò)安全和信息安全管理規(guī)定，這也許是最容易忽略的，也很可能是這十大安全問題中最可怕的問題，趕緊把寫下來、與相關(guān)人員溝通并嚴(yán)格執(zhí)行。

第 10 ：“在網(wǎng)上沒有人知道你是一只狗”

“在網(wǎng)上沒有人知道你是一只狗”是來源于一個(gè)有名的紐約人的漫畫，現(xiàn)在已經(jīng)被廣泛用于各個(gè)網(wǎng)站、演講、甚至印在 T 恤 衫上，這也反映出在互聯(lián)網(wǎng)上從事在線交易時(shí)的危險(xiǎn)性。傳統(tǒng)標(biāo)準(zhǔn)的人與人之間面對(duì)面的身份驗(yàn)證過程是對(duì)“暗號(hào)”或查驗(yàn)身份證和對(duì)證件上的照片，而在網(wǎng)上從事業(yè)務(wù)時(shí)就沒有“暗號(hào)”可對(duì)，也沒法查驗(yàn)身份證和對(duì)證件上的照片。

一般的做法 ( 如網(wǎng)上銀行 ) 是要求用戶先網(wǎng)上注冊(cè)再提交身份證明文件人工驗(yàn)證，這種做法還是離不開人工處理。如果用戶擁有權(quán)威第三方頒發(fā)的個(gè)人數(shù)字證書，則在處理在線業(yè)務(wù)時(shí)就可以根據(jù)用戶的個(gè)人數(shù)字證書確定其真實(shí)

身份，從而自動(dòng)核對(duì)他 / 她是否就是說他 / 她聲稱的他 / 她是誰了。

建議： 向您的員工和用戶頒發(fā)個(gè)人數(shù)字證書，從而確保您公司的在線交易業(yè)務(wù)的安全。

結(jié)束語

互聯(lián)網(wǎng)讓企業(yè)有了一個(gè)拓展其業(yè)務(wù)到全球市場(chǎng)的機(jī)會(huì)，可以充分互聯(lián)網(wǎng)低成本地方便地連接員工、合作伙伴和客戶。企業(yè)業(yè)務(wù)已經(jīng)搬到了互聯(lián)網(wǎng)上就意味著一定要保證有一個(gè)連接內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全通信，確保合法用戶能機(jī)密地、完整地和安全地訪問有關(guān)數(shù)據(jù)和交易，從而確保在線業(yè)務(wù)的成功。當(dāng)然，企業(yè)網(wǎng)絡(luò)的安全是涉及到方方面面的，這里提出的 10 件最重要的安全問題僅僅指出了在物理安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全方面的一些值得企業(yè)最先關(guān)注的問題。

全球第二大數(shù)字證書和身份認(rèn)證服務(wù)提供商 GeoTrust 公司為企業(yè)的信息安全提供了一系列產(chǎn)品，在服務(wù)器端，提供全球通用的支持所有瀏覽器的真正 128 位 SSL 數(shù)字證書(SSL證書) ，確保從客戶端瀏覽器到服務(wù)器之間通過公用互聯(lián)網(wǎng)傳輸?shù)臋C(jī)密數(shù)據(jù)是加密傳輸?shù)模遣粫?huì)被非法竊取和泄密的；在客戶端，提供企業(yè) CA 外包解決方案，用企業(yè)無需投資建設(shè)公鑰基礎(chǔ)設(shè)施 (PKI) 就可以方便地給企業(yè)的員工、客戶和合作伙伴頒發(fā)客戶端數(shù)字證書用于安全訪問控制 ( 身份認(rèn)證 ) 和信息加密傳輸；同時(shí)，提供企業(yè)域名和網(wǎng)站的身份認(rèn)證以及在通過認(rèn)證的網(wǎng)站上動(dòng)態(tài)顯示其身份認(rèn)證簽章，讓網(wǎng)站訪問者放心地與企業(yè)從事線上或線下的業(yè)務(wù)。