管理資訊保安服務領導供應商Verizon Business對過去幾年里危害程度比較深的90個安全漏洞進行了一次系統分析，發現與這90個安全漏洞相關的“犯案”記錄竟然高達2.85億條，驚人的數字，不是嗎？其中大多數重頭案件都涉及有組織犯罪，比如非法登錄一個未加保護網絡，并竊取信用卡資料、社會安全號碼或其他個人身份信息等等。

而令人驚訝地是，這些安全漏洞大多是由于網絡管理員沒有對自己負責的網絡系統，尤其是非關鍵服務器采取明顯的防護措施造成而造成的。

“根本原因就在于網絡管理員沒有做好最基本的工作，就這么簡單?！?Verizon Business技術創新部副總裁Peter Tippett說，Tippett是安全領域的權威人士，從事安全漏洞審計工作長達18年之久。

在Tippett的幫助下，我們總結了以下網絡管理人員們最常見的錯誤清單，這些錯誤將直接導致網絡一片混亂并導致嚴重的安全漏洞。針對每個錯誤，我們給出了最簡單的解決方案，希望能眾多網絡管理員有所幫助。

1.未更改網絡設備的缺省密碼

“我們發現，很多企業的服務器、交換機、路由器以及其它網絡設備都使用缺省密碼---通常是‘password’或‘admin’，這是多么令人難以置信。” Tippett說。“大多數CIO們認為，這個問題不可能發生在他們身上，而事實則恰恰相反。”

為了避免這個問題，你需要對你網絡中的每一臺網絡設備進行一次徹底的漏洞掃描，而不僅僅是核心或關鍵設備，Tippett說。然后修改每臺設備的缺省密碼。根據Verizon Business的研究結果，在過去的一年中所發生的網絡侵害案件中，有一半以上是由于某個網絡設備使用缺省密碼而給犯案人員留下了可乘之機。

2. 多臺網絡設備“共享”同一個密碼

企業的IT部門常常對多個服務器使用相同的密碼，并且很多人都知道這個密碼。就密碼本省而言，它的安全性可能非常高---一個數字和字母的復雜組合，但是，一旦它被多個系統共享，那么所有這些系統都處于危險之中。

例如，某個知道這一“通用”密碼的人離職了，而他很有可能在新公司還是使用同一密碼?；蛘吣硞€負責部署非關鍵系統比如數據中心冷卻系統的外包人員，很有可能對其負責的所有客戶的所有系統使用相同的密碼。在這些情況下，如果密碼被某個黑客得到，那么他就可以進入許多服務器并且造成很大的破壞。

Tippett說，企業IT部門需要制定一個流程---無論是自動還是手動---以確保服務器密碼不會在多個系統之間共享，并且還要定期更換，這樣才能保證密碼安全。最簡單也最有效的辦法就是專門找一個人負責保管企業目前服務器的所有密碼。

3.未能有效找出Web服務器的SQL編碼錯誤

根據Verizon Business的研究結果，最常見的黑客攻擊是對連接到Web服務器的SQL數據庫的攻擊，這大約占到了研究記錄的79%。而黑客侵入這些系統的方式是利用Web表單提交一個SQL命令。如果表單的編碼是正確的，那么它是不會接受SQL命令的。但是，有時開發人員的編碼食物就可能“創造”所謂的SQL注入漏洞，黑客可以一用這些漏洞直接從數據庫中查詢他們所需要的信息。

Tippett說，避免SQL注入攻擊的最簡單方法就是運行一個應用防火墻，首先把它設置為“學習”模式，以便能夠觀察用戶如何把數據輸入字段中，然后將該應用防火墻設置為“操作”模式，這樣SQL命令就不能“注入”字段中了。SQL編碼問題十分普遍?！叭绻粋€企業對自己的100臺服務器進行測試，它們可能會發現其中90臺有SQL注入問題?！?Tippett說。

通常情況下，企業僅僅解決了核心服務器的SQL注入漏洞，但是他們忽略了很重要的一點：黑客往往是通過非關鍵系統進入到他們的網絡的。Tippett建議網絡管理員利用訪問控制列表對網絡進行劃分，限制服務器同非重要設備的通訊。這樣就可以有些地防止黑客利用一個小小的SQL編碼錯誤非法獲取數據。#p#

4.未正確配置訪問控制列表

使用訪問控制列表分割網絡是確保服務器不會越界的最簡單有效的方式，它能確保每臺網絡設備或系統只與它們需要的服務器或系統進行通訊。例如，如果你允許業務合作伙伴可以通過你的VPN訪問你內網中的兩臺服務器，那么你應該在訪問控制列表中進行設置，確保這些業務合作伙伴只能訪問這兩臺服務器，而不能越界。即便是某個黑客利用合作伙伴的這個通道進入你的企業內網，那么他也僅僅能竊取這兩臺服務器上的數據，危害范圍大大降低。

“但是，現實情況卻是，利用VPN進入企業網絡的黑客往往在內網中暢通無阻，” Tippett說。事實上，如果所有企業都能正確配置訪問控制列表，那么過去的一年中所發生的網絡侵害事件就能減少66%。配置訪問控制列表是一件非常簡單的工作，而CIO們不愿做這件事的理由是它涉及到將路由器用作防火墻，這是許多網絡管理員并不希望的。

5.允許不安全的遠程訪問和管理軟件

黑客侵入企業內網最常用的手段之一就是使用遠程訪問和管理軟件包，比如PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。通常，這些應用軟件都缺乏最基本的保障措施，比如安全的密碼。

解決這一問題的最簡單方法就是對你的整個IP地址空間運行一個外部掃描，尋找PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。一旦檢測到這些應用，立刻對其增加額外的保障措施，比如令牌或證書。除此以外，另一種方法就是掃描外部路由器的NetFlow數據，看看有沒有遠程訪問管理流量出現在你的網絡中。

根據Verizon Business的報告，不安全的遠程訪問和管理軟件所占的比例也是非常高的，達到了27%。

6.沒有對非關鍵應用進行基本漏洞掃描或測試

根據Verizon Business的研究結果，近80%的黑客攻擊都是由于Web應用存在安全漏洞造成的。網絡管理人員知道，系統最大的漏洞就在Web應用中，所以他們用盡渾身解數對關鍵系統和Web系統進行測試。

現在的問題是，大多數黑客攻擊利用的都是企業內網非關鍵系統的安全漏洞。“主要問題是，我們瘋狂的測試核心網絡應用，而忽略了非Web應用測試，” Tippett說。因此，他建議網絡管理員在做漏洞掃描或測試時應該把網撒的更大更廣泛。

“我們從小受的教育就是一定要根據輕重緩解安排工作，但是不良分子卻不管所謂的輕重緩急，哪個容易攻破，他們就進入哪個?！盩ippett說?！耙坏┧麄冞M入你的網絡，他們就在里面為所欲為?！?/P>

7.未能對服務器采取有效的保護措施，惡意軟件泛濫

Verizon Business的研究報告表明，服務器惡意軟件大約占到了所有安全漏洞的38%。大多數惡意軟件是由黑客遠程安裝的，用來竊取用戶的數據。通常情況下，惡意軟件都是定制的，所以它們不能被防病毒軟件發現。網絡管理員查找服務器惡意軟件(比如鍵盤記錄軟件或間諜軟件)的一個有效手段就是在自己的每臺服務器上運行一個基于主機的入侵檢測系統軟件，而不僅僅是核心服務器。

Tippett表示，一些非常簡單的方法就可以避免許多這類攻擊，比如服務器鎖定，這樣新的應用就無法在它上面運行?！熬W絡管理人員通常不愿意這樣做，因為他們認為這可能會使安裝新軟件變得有些復雜，”Tippett說?！岸聦嵣希绻阋惭b新應用，你可以先開鎖，安裝完畢后，再鎖上就OK了?！?p#

8.沒有正確配置路由器，從而禁止不必要的流量

惡意軟件的一種很流行的破壞方式就是在服務器上安裝后門或命令腳本。而防止黑客利用后門或命令腳本進行破壞的方法之一就是使用訪問空盒子列表對網絡進行劃分。這樣就可以防止服務器向非法的方向發送數據。例如，郵件服務器只能發送郵件流，而不是SSH流。除此以外，另一種方法就是將路由器用于缺省拒絕出口過濾，阻止所有出站流量，除非你想要留下某些有用信息。

“只有2%的企業這樣做了。我感到困惑的是為什么這樣一項簡單的工作其余98%的企業沒有做，” Tippett說。

9.不清楚重要數據信息的存儲位置，沒有嚴格遵守支付卡行業數據安全標準

大多數企業網絡管理人員認為，他們確切地知道關鍵數據的存儲位置，比如信用卡信息、社會安全號碼或其它個人身份識別信息，并且對這些存儲關鍵信息的服務器采用了最高級別的安全措施。但是，顯示情況卻是這些數據還有可能存儲在網絡上的其它地方，比如備份網站或軟件開發部。

正是這些次要的、非關鍵服務器才更容易受到攻擊，從而導致核心數據被竊，給企業帶來嚴重的災難。查找所有關鍵數據存儲位置的一個簡單方法就是執行網絡發現過程。“我們通常會在網絡上安裝一個探測器，這樣我們就能看到關鍵數據從哪里出來的，并且要用到哪里去，” Tippett說。

所謂的PCI DSS 實施包括對銀行信用卡/借記卡不同品牌12項非常嚴格的安全標準審查，審查其使用環境與信息安全問題的政策和程序，從而有效地保護持卡人的個人信息?！暗蠖鄶灯髽I網絡管理人員沒有遵守PCI標準?！?Tippett說。有時，雖然網絡管理人員對他們所知道的信用卡數據存儲服務器執行了PCI標準，但是，在托管這些重要數據的其它未知服務器上卻沒有采取任何措施。

根據Verizon Business的報告，98%的網絡犯案記錄都涉及到信用卡數據，但是，只有19%的企業遵循PCI標準?！帮@而易見的，遵循PCI標準真的很有效，” Tippett說。

10.沒有一個全面的備份/災難恢復計劃

并不是做備份有多么困難。問題是很多時候你會因為忙亂而忘記了他們。因為大多數的系統管理員往往一天下來都忙得頭昏腦漲，而備份看起 來是件浪費時間，毫無意義的工作——直到你真正需要它們之前。

顯然，你需要備份企業的重要數據。我不是暗示大多數管理員們沒有適當的備份策略。但是這些備份策略中，有很多策略十年來從未改變過。 你按照規定的時間間隔，用磁帶備份了指定的重要文件，然后你就把它拋在腦后了。你沒有考慮過評估與校正備份策略，甚至你都沒有定期測 試備份磁帶，以確認你的數據的確被正確備份下來了。直到某一天你不得不這么做(磁帶系統毀壞了，甚至更慘——你遭遇了一次災難性的數 據損失，現在你不得不使用備份來恢復)

至于災難恢復，擁有一個完善考慮過的災難恢復計劃往往更糟。也許，在你的抽屜里就躺著一份寫好的商務持續性計劃，但是它真的是最新的 嗎?它的確考慮到了你的所有設備和人員嗎?所有重要的人員都了解該計劃嗎?(舉個例子，也許在計劃完成之后，又有新人被提升到了關鍵 的位置上。)這個計劃已經覆蓋了所有的重要因素嗎?包括如何盡可能迅速的發現問題，如何提醒相關人員，如何隔離被影響的系統，以及如 何修復和恢復生產?

11. 忽視警報信號

UPS已經顯示了一周的警報，提醒你是時候更換這老古董了。郵件服務器突然每天都會重起好幾次。用戶投訴他們的網頁連接會突然神秘中斷幾 分鐘而后再恢復正常。不過所有的一切似乎都還在正常運轉，所以你稍稍推遲了檢查問題的時間……直到某一天，你剛上班，網絡就癱瘓了。

正如對待我們自己的身體健康狀況一樣，你應當及早留心網絡故障的早期危險信號，并在問題變得嚴重之前及早將它揪出來。#p#

12.從不記錄變動情況

當你對服務器的設置作過變動之后，應當花點時間把它記錄下來。當物理損壞的災難發生時，或者你的操作系統損壞以致你不得不從頭開始重 做系統時，你會很高興你事先做了這個工作。甚至有時候，情況根本沒剛才說的發生災難這么糟——你只是剛剛對服務器的設置作了變更，但 是看起來它并沒按照你的預期方式進行工作，而不巧的是此時你卻又忘記了原來的設置是什么。

的確，做記錄花了你一點時間。但是就像備份一樣，它值得你花這些時間。

13.從不在LOG記錄上浪費空間

節省磁盤空間的一個方法是放棄使用LOG記錄功能，或者設置你的LOG記錄文件每增長到一個很小的數值后就覆蓋舊文件。但是實際問題是磁盤 空間其實相對便宜，但是相對于沒有了LOG文件后，你抓耳撓腮去查找問題所在并試圖解決問題所花費的數小時而言，無論是從金錢還是你所遭 受的挫折，所節省的空間都實在沒有多大價值。

某些軟件默認狀態下，沒有自動打開他們的LOG記錄功能。但是如果你想在問題出現后的眾多悲痛中解救自己的話，記住這個原理：“任何可以 被記錄的東西都應該被記錄下來”。

14.不及時安裝重要的更新

“這不會發生在我身上”的樂觀綜合癥導致了許多網絡的垮臺。的確，某些更新和補丁有時會打斷重要的應用軟件，導致連接故障，或者干脆 癱瘓操作系統。因此你應該在部署之前徹底的測試這些升級程序，以避免上述現象的發生。但是一旦確認這些更新或補丁安全后，你應當盡可 能快地安裝它們。

想想Nimda以及其他主要病毒、蠕蟲對系統造成的巨大損害吧，雖然針對它們的補丁早已被放了出來。

15.推遲升級以節約時間和金錢

升級你的操作系統以及特殊應用軟件可能既費時又費錢。但是推遲升級太久費用可能會更加昂貴，特別是對安全而言。有2個原因：

新軟件通常內置更好的安全機制。與以前相比，現在對安全代碼的關注明顯高多了。

供應商一般在一定時間之后就會停止對老版本軟件的支持。這意味著停止發布相應的安全補丁，所以如果你還繼續運行老版本的軟件，你將無 法抵御新的攻擊威脅。

如果在你的企業內升級全部系統并不可行，那么分批進行升級，首先升級最容易受到攻擊的系統。#p#

16.管理口令粗枝大葉

雖然多元認證(智能卡、指紋認證)等正變得日益流行，絕大多數企業依舊在依靠用戶名和密碼來登錄網絡系統。不良的口令策略以及粗枝大葉 的口令管理會成為安全系統最薄弱的一環，讓惡意攻擊者無需多少技術即可侵入你的系統。

要求口令必須足夠長度、足夠復雜(最好采用通行字短語)，要求用戶定期更改口令，不許使用重復的口令。通過Windows的組策略或第三方軟 件產品執行口令策略。確保用戶已經進行過口令保密性教育，并事先警告他們社會學工程師用于探取他們口令的相關技術。

如果可能，實行一個除口令或PIN碼之外的二次認證(你有什么或你是什么)。

17.無時無刻試圖取悅所有人

網絡管理員的工作并不需要每個人都喜歡你。你常常需要設定并執行人們不喜歡的規則。要抵御“例外”的誘惑(比如——“喔，看在你的份 上，我們會設置防火墻，讓你可以使用即時通信軟件”)

你的工作只是確保用戶可以正常工作——除此以外沒有別的。

18.從來不關心任何人

正如在網絡的安全性和完整性處于危險時你要堅守陣地一樣，聆聽管理層和用戶們的需求也同樣重要。找出他們完成工作所需的支持，并在你 的職責范圍內盡可能的讓他們的工作變得更容易(你的職責就是確保一個安全可靠的網絡)。

不要忽略網絡首先存在的理由：為了人們可以共享文件與設備，發送和接收郵件，訪問Internet，等等。如果你讓這些都變得分外困難，他們 可能會尋找方法繞過你的保密措施，這也許會引發更厲害的安全威脅。

19.不教別人做你的工作，以此確保自己的不可或缺

這是一個企業界的普遍誤解，而不僅僅是在IT界。你認為，如果你是唯一知道郵件服務器如何設置的人，是唯一知道所有交換機所在的人，你的工作就變得安全了。這也是許多系統管理員不肯記錄網絡設置與變化的另一個原因。

悲哀的現實是：沒有人是不可或缺的。如果你因為某種原因離開了，公司會繼續運作。你的保密措施可能會對你的繼任者造成很大的困難，但 是最后他或她還是會解決的。

而在你工作的這段時間內，如果你不訓練他人來接手你的工作，你可能會將自己鎖定在當前的工作崗位上，難以得到升遷……甚至難以獲得一次休假。

【編輯推薦】

1. 網絡主管常犯的十個愚蠢安全錯誤
2. 網絡管理員要用好手中法寶－協議分析器