当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 08企业安全,应用开发过程中建立信任

安全基础
网络协议分析软件的编写
一个SYN攻击的源程序
彻底清查带毒的Cookie
解析cookie欺骗实现过程及具体应用
从芯认识 浅谈宽带路由器处理芯片
搜索引擎也另类 想搜啥就搜啥
命令提示符恢复本地安全策略小技巧
根据PID查杀木马病毒的适用小方法
网络管理员日志之硬件修理篇
著名黑客Kevin Mitnick谈网络安全
Windows XP 常见的进程列表
网络攻击概览
爱机中毒自救六招
引起网络广播风暴的几种原因
黑客入侵36计
局域网测试及故障排除经验谈
不可忽视的BIOS参数设置
微软IE浏览器非常规修改全攻略(上)
微软IE浏览器非常规修改全攻略(下)
网管十招

安全基础 中的 08企业安全,应用开发过程中建立信任


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 69 ::
收藏到网摘: n/a

  随着恶意软件的商业化,2007年的信息安全问题较之往年更加严重。比如,一月发动的Storm僵尸网络攻击,据估计,有一百万到五百万的电脑遭到破坏。有充足的证据证明它的基础结构被拆分售卖了。虽然僵尸网络攻击出现已久,但是去年的恶意软件的精心策划的商业战术以及非常成功的攻击,还是令人为之一怔。

  厂商团结起来!

  为了从黑客团体手中夺回网络的控制,企业必须提倡跨厂商之间的合作。目前,有太多不同的、从商业目的出发的努力,想提供安全产品,但是其流程并不奏效。除非安全是无缝结合,否则黑客们将攻击他们找到的任何一个漏洞。弥补这些漏洞的唯一方法就是让厂商合作,以保证买家可以一起使用不同的安全产品,具有兼容性,并且像承诺的那样,可以跨不同的网络使用。

  这个问题的一个好例证就是垃圾电子邮件。垃圾电子邮件对网络资源、公司基本架构和普通用户时间都是一种消耗。只要业界能够对如何部署现有的技术达成一致,垃圾邮件就可以有效地利用现有的技术得以控制。目前,已经出现两种识别邮件发件人的技术:Sender Policy Network和DomainKeys Identified Mail。这两种技术都各有利弊,除非一种技术被跨技术采用,或者更好的是,另一种方式结合了两者的优点,否则垃圾邮件将会继续破坏互联网。可能该问题的解决甚至需要政府规定要求所有相关的厂商团结起来,一致对付垃圾邮件!

  了解你的敌人,更要了解你的开发人员

  可能2008年将会看到业界合作的的一次突破,不过在来年有一个主要关心的问题将是各个组织机构不得不单独面对的问题。随着恶意软件进一步商业化,黑客之间的竞争将随之加剧,他们将不遗余力地想方设法安插和执行恶意代码。

  我曾写过一篇文章介绍cross-build注入攻击,在程序编译时插入恶意代码的应用攻击。这种新兴的危胁就是黑客在应用软件开发和部署周期的各阶段中如何寻找和利用弱点安插恶意代码的一个例子。

  我们知道安全事件网络内部的可能性和来自外部的可能性一样大。不过,内部攻击者需引起重视。Cross-build类型的攻击下一步升级是在软件开发队伍中,“注入”恶意开发者。也可能是拉拢现有的雇员。不满的雇员是各行业中长期存在的问题,包括软件业。流氓开发员在商业产品中插入恶意代码带来的后果是灾难性的。杀毒应用程序安插的后门带来相当的破坏性。

  微软在“永恒安全条款”第六条说“只有管理员可信任,电脑才是安全的”,这条原则同样适用于软件和开发者。不幸的是,职员的审查和监督在安全策略中所占的比重将越来越大。

  在雇用新开发人员之前,建议考虑做一个全面的背景调查,以后每隔一段时间要进行评估,这样的考核应该包括临时雇员和外包雇员。

  网络管理员的职责分现象非常普遍,编程职责的分离也同样必要。当然,代码复审人员应该是不同的开发人员。将开发人员的任务多样化,可以减少破坏开发过程的可能性。另外,这样也可以使开发人员的一天更多姿多彩,有意思。

  在2007年,我们进一步发现,黑客团体越来越复杂了。许多病毒和网络钓鱼攻击的独创性可以与大型IT公司发行的杀毒应用程序势均力敌。反击新的危威胁需要一个可靠的团队,不管是合作厂商的团队,还是可信赖成员组成的坚固的开发团队。只要团结在同一个的目标下,IT行业和黑客团体一样聪明。