網(wǎng)絡(luò)安全十大安全漏洞
2022年12月30日
在學(xué)習(xí)中,總會(huì)有些書籍給我們總結(jié)一些比較有價(jià)值的知識(shí)����。十大安全漏洞�,就是在學(xué)習(xí)過(guò)程中����,整理有關(guān)安全書籍摘錄整理而來(lái),供大家參考��。
1���,弱口令:所謂弱口令就是容易被猜測(cè)或重復(fù)的口令�,弱口令會(huì)對(duì)信息安全造成嚴(yán)重安全隱患����。不要令測(cè)試賬戶擁有的口令強(qiáng)度弱且沒(méi)有幾乎沒(méi)有有效監(jiān)控。由于弱口令引發(fā)的網(wǎng)絡(luò)安全事件不勝枚舉���,就在我們身邊也是時(shí)常發(fā)生的���。很多人,可能為了懶省事或方便自己����,最終也方便了黑客�。
注意:不要在系統(tǒng)或互聯(lián)網(wǎng)站點(diǎn)�,使用重復(fù)相同的安全口令�。
2,軟件補(bǔ)丁更新:軟件補(bǔ)丁更新���,是提升網(wǎng)絡(luò)安全的一種有效方式之一�。因?yàn)榇嬖诼┒?��,?dāng)然補(bǔ)丁修補(bǔ)后會(huì)解決發(fā)現(xiàn)相應(yīng)的漏洞���。修補(bǔ)漏洞原則上也是減少信息系統(tǒng)攻擊面。沒(méi)有打過(guò)安全補(bǔ)丁��、過(guò)時(shí)的��、有漏洞的或仍處于默認(rèn)配置狀態(tài)的軟件��,會(huì)為信息系統(tǒng)帶來(lái)嚴(yán)重風(fēng)險(xiǎn)�����。
大多數(shù)漏洞都可以通過(guò)及時(shí)打上安全補(bǔ)丁和測(cè)試予以避免����。
3�,遠(yuǎn)程訪問(wèn)點(diǎn):無(wú)安全措施或無(wú)監(jiān)控的遠(yuǎn)程訪問(wèn)點(diǎn)��,等于為企業(yè)網(wǎng)絡(luò)被隨意訪問(wèn)打開(kāi)了一條“捷徑”�����。有時(shí)�����,最大的隱患是公司前雇員的賬號(hào)沒(méi)有關(guān)閉�。也就是內(nèi)部人員轉(zhuǎn)變成外部人員過(guò)程中,授權(quán)沒(méi)有及時(shí)收回���,可能為系統(tǒng)帶來(lái)嚴(yán)重風(fēng)險(xiǎn)��。
4���,信息泄漏:信息泄漏使攻擊者可以了解有關(guān)操作系統(tǒng)和應(yīng)用程序的版本、用戶����、組、共享以及DNS的信息。使用諸如百度����、谷歌�、Facebook、校園網(wǎng)�����、QQ�����、微信諸如此類工具��,可以為攻擊者提供巨量的信息�。
5,非必要的服務(wù):運(yùn)行不必要的服務(wù)(諸如:FTP�、DNS、RPC等)的主機(jī)����,為攻擊者提供了更大的攻擊面。非必要的服務(wù)或軟件���,是我們?cè)跍y(cè)評(píng)中強(qiáng)調(diào)的安全風(fēng)險(xiǎn)����,我們?cè)跍y(cè)評(píng)中會(huì)訪談形式先問(wèn)一下,然后再上機(jī)進(jìn)行驗(yàn)證是否存在非必要多余的服務(wù)或安裝了非必須的軟件��。
6���,配置不當(dāng)?shù)姆阑饓?/strong>:防火墻規(guī)則可能變得非常復(fù)雜�����,或許可能引發(fā)彼此互相沖突����。常常增加的測(cè)試規(guī)則��,或緊急情況時(shí)打上的補(bǔ)丁后來(lái)忘記刪除���,從而防火墻規(guī)則可能允許攻擊者訪問(wèn)DMZ或內(nèi)部網(wǎng)絡(luò)����。一個(gè)正確合理的配置策略�����,是有利于保護(hù)網(wǎng)絡(luò)的。反之����,則對(duì)網(wǎng)絡(luò)是巨大的風(fēng)險(xiǎn)。
7���,配置不當(dāng)?shù)幕ヂ?lián)網(wǎng)服務(wù)器:互聯(lián)網(wǎng)服務(wù)器配置不當(dāng),尤其是跨站腳本和SQL注入漏洞的網(wǎng)頁(yè)服務(wù)器�����,更可能嚴(yán)重?fù)p害內(nèi)部整個(gè)網(wǎng)絡(luò)安全�����。配置不當(dāng)?shù)陌踩录?��,我們時(shí)?��?梢栽诰W(wǎng)上看到,諸如亞馬遜云服務(wù)經(jīng)常配置錯(cuò)誤��,發(fā)生數(shù)據(jù)泄露。
8�,不充分的日志記錄:由于互聯(lián)網(wǎng)網(wǎng)關(guān)及主機(jī)的監(jiān)控不足,攻擊者有機(jī)會(huì)在你的網(wǎng)絡(luò)環(huán)境中肆意妄為�。所以必須考慮監(jiān)控外流的通信流量,以便檢測(cè)出網(wǎng)絡(luò)中是否潛伏有高級(jí)和持久的“破壞者”(黑客)�����。很多單位設(shè)備的日志是默認(rèn)狀態(tài)���,但是很多默認(rèn)狀態(tài)屬于未開(kāi)啟����,則日志記錄可能只存在極少的默認(rèn)信息�����,是不能滿足日志留存要求的���。特別����,我們《網(wǎng)絡(luò)安全法》找到需要留存不低于六個(gè)月的法條����,也就伴隨著直接的合規(guī)風(fēng)險(xiǎn)�����。
9���,過(guò)度寬松的文件和目錄訪問(wèn)控制:Windows和UNIX內(nèi)部的文件共享只有少量或者幾乎沒(méi)有訪問(wèn)控制,這樣就讓攻擊者可以在網(wǎng)絡(luò)中自由地導(dǎo)出亂竄����,悄悄偷走最敏感的數(shù)據(jù)�����。
所謂攻不進(jìn)�、拿不走、看不懂是安全防護(hù)的三個(gè)層級(jí)����,然而有時(shí)過(guò)于寬松的訪問(wèn)控制導(dǎo)致你不知道他何時(shí)拿走了數(shù)據(jù)。如果加密過(guò)于弱��,那么就做不到“看不懂”的要求���。
10�����,缺乏記錄成冊(cè)的安全策略:任意的或未記錄成冊(cè)的安全控制使得在系統(tǒng)或網(wǎng)絡(luò)中執(zhí)行不一致的安全標(biāo)準(zhǔn)�,必然導(dǎo)致系統(tǒng)被攻破。這個(gè)則屬于網(wǎng)絡(luò)安全管理層面的東西了�����,人防則更多的需要考慮管理制度體系以及總體安全策略甚至安全操作規(guī)程的制定等等����。
來(lái)源:祺印說(shuō)信安
