当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 08企业安全,应用开发过程中建立信任

安全基础
网管技术:常见BIOS报错信息及解决方法
分布式拒绝服务(DDOS)攻击及防范研究
四种宽带接入方式及其传输速率
网管必读 解读无线网络的七大安全困惑
经验:识别系统的非法进程及剿杀
全面清除系统垃圾的方法
QQ、网游等账号防盗防骗的实用小经验
上网前保证Windows XP系统安全的办法
七种DDoS攻击技术方法简介
硬盘与内存检测 四种查毒绝招
当网站注册时输入验证码总是不正确解决方法
不让自己的秘密留在别人的电脑中
IE崩溃遭难不求人 快速简单处理方法
损招 让应用程序莫名其妙地失效
不再弹广告 破除隐身僵尸木马的隐身妖术
利用QQ传播 网络欺骗“绑架”奥运会
渗透测试的攻与守 认清网络面临的问题
手动剿杀“上兴远程控制”木马
个人电脑防黑客入侵八准则
关注Windows系统服务中的安全隐患

安全基础 中的 08企业安全,应用开发过程中建立信任


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 54 ::
收藏到网摘: n/a

  随着恶意软件的商业化,2007年的信息安全问题较之往年更加严重。比如,一月发动的Storm僵尸网络攻击,据估计,有一百万到五百万的电脑遭到破坏。有充足的证据证明它的基础结构被拆分售卖了。虽然僵尸网络攻击出现已久,但是去年的恶意软件的精心策划的商业战术以及非常成功的攻击,还是令人为之一怔。

  厂商团结起来!

  为了从黑客团体手中夺回网络的控制,企业必须提倡跨厂商之间的合作。目前,有太多不同的、从商业目的出发的努力,想提供安全产品,但是其流程并不奏效。除非安全是无缝结合,否则黑客们将攻击他们找到的任何一个漏洞。弥补这些漏洞的唯一方法就是让厂商合作,以保证买家可以一起使用不同的安全产品,具有兼容性,并且像承诺的那样,可以跨不同的网络使用。

  这个问题的一个好例证就是垃圾电子邮件。垃圾电子邮件对网络资源、公司基本架构和普通用户时间都是一种消耗。只要业界能够对如何部署现有的技术达成一致,垃圾邮件就可以有效地利用现有的技术得以控制。目前,已经出现两种识别邮件发件人的技术:Sender Policy Network和DomainKeys Identified Mail。这两种技术都各有利弊,除非一种技术被跨技术采用,或者更好的是,另一种方式结合了两者的优点,否则垃圾邮件将会继续破坏互联网。可能该问题的解决甚至需要政府规定要求所有相关的厂商团结起来,一致对付垃圾邮件!

  了解你的敌人,更要了解你的开发人员

  可能2008年将会看到业界合作的的一次突破,不过在来年有一个主要关心的问题将是各个组织机构不得不单独面对的问题。随着恶意软件进一步商业化,黑客之间的竞争将随之加剧,他们将不遗余力地想方设法安插和执行恶意代码。

  我曾写过一篇文章介绍cross-build注入攻击,在程序编译时插入恶意代码的应用攻击。这种新兴的危胁就是黑客在应用软件开发和部署周期的各阶段中如何寻找和利用弱点安插恶意代码的一个例子。

  我们知道安全事件网络内部的可能性和来自外部的可能性一样大。不过,内部攻击者需引起重视。Cross-build类型的攻击下一步升级是在软件开发队伍中,“注入”恶意开发者。也可能是拉拢现有的雇员。不满的雇员是各行业中长期存在的问题,包括软件业。流氓开发员在商业产品中插入恶意代码带来的后果是灾难性的。杀毒应用程序安插的后门带来相当的破坏性。

  微软在“永恒安全条款”第六条说“只有管理员可信任,电脑才是安全的”,这条原则同样适用于软件和开发者。不幸的是,职员的审查和监督在安全策略中所占的比重将越来越大。

  在雇用新开发人员之前,建议考虑做一个全面的背景调查,以后每隔一段时间要进行评估,这样的考核应该包括临时雇员和外包雇员。

  网络管理员的职责分现象非常普遍,编程职责的分离也同样必要。当然,代码复审人员应该是不同的开发人员。将开发人员的任务多样化,可以减少破坏开发过程的可能性。另外,这样也可以使开发人员的一天更多姿多彩,有意思。

  在2007年,我们进一步发现,黑客团体越来越复杂了。许多病毒和网络钓鱼攻击的独创性可以与大型IT公司发行的杀毒应用程序势均力敌。反击新的危威胁需要一个可靠的团队,不管是合作厂商的团队,还是可信赖成员组成的坚固的开发团队。只要团结在同一个的目标下,IT行业和黑客团体一样聪明。