当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 08企业安全,应用开发过程中建立信任

安全基础
黑客攻击行为的特征分析及反攻击技术
Windows 2000中隐患重重的十大“服务”
网页脚本攻击防范全攻略
防患于未然 轻松做好Windows 2000安全策略
用注册表为操作系统砌九堵安全墙
完善网站程序 脚本攻击防范策略完全篇
两步修改XP远程管理默认端口可防止入侵
消除Windows XP自身的安全隐患
保护Windows不受恶意代码攻击
如何关闭和限制电脑不用的端口
修改Windows 2000远程终端默认端口
操作系统被入侵后的修复过程
利用微软基准安全分析器打造你安全的系统
数字签名技术简介
检测和删除系统中的木马
QQ密码破解程序
P2P中保障Windows网络安全
在代码中查找安全性缺陷的专家提示
QQ安全的三大纪律八项注意
如何保证文件夹的绝对安全

安全基础 中的 08企业安全,应用开发过程中建立信任


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 88 ::
收藏到网摘: n/a

  随着恶意软件的商业化,2007年的信息安全问题较之往年更加严重。比如,一月发动的Storm僵尸网络攻击,据估计,有一百万到五百万的电脑遭到破坏。有充足的证据证明它的基础结构被拆分售卖了。虽然僵尸网络攻击出现已久,但是去年的恶意软件的精心策划的商业战术以及非常成功的攻击,还是令人为之一怔。

  厂商团结起来!

  为了从黑客团体手中夺回网络的控制,企业必须提倡跨厂商之间的合作。目前,有太多不同的、从商业目的出发的努力,想提供安全产品,但是其流程并不奏效。除非安全是无缝结合,否则黑客们将攻击他们找到的任何一个漏洞。弥补这些漏洞的唯一方法就是让厂商合作,以保证买家可以一起使用不同的安全产品,具有兼容性,并且像承诺的那样,可以跨不同的网络使用。

  这个问题的一个好例证就是垃圾电子邮件。垃圾电子邮件对网络资源、公司基本架构和普通用户时间都是一种消耗。只要业界能够对如何部署现有的技术达成一致,垃圾邮件就可以有效地利用现有的技术得以控制。目前,已经出现两种识别邮件发件人的技术:Sender Policy Network和DomainKeys Identified Mail。这两种技术都各有利弊,除非一种技术被跨技术采用,或者更好的是,另一种方式结合了两者的优点,否则垃圾邮件将会继续破坏互联网。可能该问题的解决甚至需要政府规定要求所有相关的厂商团结起来,一致对付垃圾邮件!

  了解你的敌人,更要了解你的开发人员

  可能2008年将会看到业界合作的的一次突破,不过在来年有一个主要关心的问题将是各个组织机构不得不单独面对的问题。随着恶意软件进一步商业化,黑客之间的竞争将随之加剧,他们将不遗余力地想方设法安插和执行恶意代码。

  我曾写过一篇文章介绍cross-build注入攻击,在程序编译时插入恶意代码的应用攻击。这种新兴的危胁就是黑客在应用软件开发和部署周期的各阶段中如何寻找和利用弱点安插恶意代码的一个例子。

  我们知道安全事件网络内部的可能性和来自外部的可能性一样大。不过,内部攻击者需引起重视。Cross-build类型的攻击下一步升级是在软件开发队伍中,“注入”恶意开发者。也可能是拉拢现有的雇员。不满的雇员是各行业中长期存在的问题,包括软件业。流氓开发员在商业产品中插入恶意代码带来的后果是灾难性的。杀毒应用程序安插的后门带来相当的破坏性。

  微软在“永恒安全条款”第六条说“只有管理员可信任,电脑才是安全的”,这条原则同样适用于软件和开发者。不幸的是,职员的审查和监督在安全策略中所占的比重将越来越大。

  在雇用新开发人员之前,建议考虑做一个全面的背景调查,以后每隔一段时间要进行评估,这样的考核应该包括临时雇员和外包雇员。

  网络管理员的职责分现象非常普遍,编程职责的分离也同样必要。当然,代码复审人员应该是不同的开发人员。将开发人员的任务多样化,可以减少破坏开发过程的可能性。另外,这样也可以使开发人员的一天更多姿多彩,有意思。

  在2007年,我们进一步发现,黑客团体越来越复杂了。许多病毒和网络钓鱼攻击的独创性可以与大型IT公司发行的杀毒应用程序势均力敌。反击新的危威胁需要一个可靠的团队,不管是合作厂商的团队,还是可信赖成员组成的坚固的开发团队。只要团结在同一个的目标下,IT行业和黑客团体一样聪明。