应用程序安全管理的“八大”主张

在BYOD、云计算、大数据充斥的年代里，应用程序仍然是企业信息安全不可忽略的危险地带，办公、业务、流程、数据都离不开应用程序。因此，所有系统管理员应该把管理你的应用程序及其安全作为首要任务。应用程序可以通过配置应用程序的安全性、安装应用程序到非标准目录和端口、锁定应用程序、保障P2P服务、确保你的应用程序编程人员的代码安全等八大方面来进行多视角、系统化的管理。

1、安全地配置应用程序

应用程序应该按厂商推荐的安全设置进行配置。三个最常见利用漏洞攻击的Windows应用程序是微软的Outlook(Express语言)、Internet Explorer和Microsoft Office套件。这些应用程序可能属于最终用户的工作站，人们需要它们来开展工作，但它们可能不属于你组织的服务器。如果你的服务器需要高安全性，删除这些应用程序。因为存在常见漏洞攻击的风险，服务器上不应该安装电子邮件客户端(如Outlook)或Microsoft Office.

在终端用户的PC环境中，如果你要保留的应用程序并在同一时间将风险降到最低。你可以通过定期更新应用安全补丁，如果没有更高的安全级别，则确保按厂商的推荐设置进行配置。Outlook和Outlook Express中都应该有自己的安全区域设置限制。Internet Explorer的Internet区域应设置为中高或高。Office提供管理模板(名为ADM文件)， 可以配置和部署使用系统策略或组策略。这些都可以从微软的网站上下载或在Office资源工具包中找到。

其他应用程序通常会使用默认安全设置，你可以访问厂商的技术支持资源来了解更多与你有关的安全选择。不幸的是，许多软件厂商并不重视安全问题。这时候，需要使用你从本文中学到的概念和做法，你可能还需要做一些研究。如果一个针对你的应用程序漏洞被人知道，它通常会出现在常见安全网站上和邮件列表中。包含漏洞讯息最多的其中一个网站是SANS(www.sans.org)。SANS每周公布的漏洞列表几乎影响了所有的操作系统平台，包括Windows, Unix, Linux, Macintosh, FreeBSD等等。

2、保护电子邮件

电子邮件蠕虫病毒仍然是计算机系统的头号威胁，尤其是运行Outlook或Outlook Express的Windows系统。大多数蠕虫病毒作为一个文件附件或作为最终用户执行的嵌入式脚本。很明显，你可以通过保护电子邮件显着降低网络的曝光风险。这可以通过禁用HTML内容和阻止潜在的恶意文件附件来完成。

所有超出纯文本的电子邮件都可以被用来恶意攻击计算机。为此，限制电子邮件只有纯文本是非常重要的，或者如果必须使用除纯文本之外的电子邮件，也只使用纯HTML编码。你应该禁用脚本语言和活动内容，如ActiveX控件，Java和VBScript对象。通常这很简单，只需要检查电子邮件客户端的复选框来强制所有传入的电子邮件以纯文本格式来呈现。有些客户处理这个问题比其他人更加优雅，HTML-only消息在转换过程中会严重错位或显示为空白。Outlook和Outlook Express允许电子邮件的活动内容在无法访问互联网的区域打开，即禁用超出了纯HTML格式编码的内容。这是微软最新的电子邮件客户端的默认设置。早期的客户端更加宽松，可以在互联网安全区域打开电子邮件。

如果你能阻止活动内容执行，那么你需要担心的是终端用户点击恶意HTML链接或打开文件附件。如果他们已经接入了互联网，很难阻止用户点击恶意HTML链接。在Windows环境中，你可以使用组策略，Internet Explorer管理工具包(IEAK)，或一些其他类型的代理服务器过滤器，只允许终端用户访问预先核准网站，但除此之外，你只能依赖于终端用户教育程度。

3、阻止危险的文件类型

阻止危险的文件附件是防止攻击的最好方法，是针对目前电子邮件病毒和蠕虫的首选方法。最大的问题是“什么构成了一个危险的文件类型?” 事实是，几乎所有的文件类型可以被恶意使用，而更好的问题是“什么是普遍使用的恶意文件类型?”表1显示了通常阻止的组织担心使用这些文件类型为载体的各种流行攻击的Windows文件类型。这些都是流行的电子邮件服务器阻止列表。该列表并不小。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友