【10月14日51CTO外電頭條】泰坦尼克號曾被認為是不會沉沒的，盡管當(dāng)前的工程技術(shù)可以確保豪華游輪不大可能撞上巨大的冰山，但也不能100%保證它就是安全的。

在現(xiàn)代企業(yè)中，許多人也曾有類似的刀槍不入的看法，但對于大型企業(yè)，要想全年不發(fā)生一起事故難度可不小，我們應(yīng)該聽過很多關(guān)于暴力攻擊，無線網(wǎng)絡(luò)嗅探，藍牙狙擊的故事，這些行為的目的只有一個，就是想方設(shè)法搞到企業(yè)的商業(yè)機密。

有六個安全漏洞在很多企業(yè)中長期都處于打開狀態(tài)，即使是那些自認為在安全方面做得還不錯的企業(yè)也如此，在你的企業(yè)撞上冰山之前，來聽聽安全顧問的建議吧。

1、無線網(wǎng)絡(luò)上未經(jīng)授權(quán)訪問的智能手機

智能手機給企業(yè)帶來的風(fēng)險超過了傳統(tǒng)的PC設(shè)備，主要原因是有些員工不能抗拒在辦公室使用個人設(shè)備，即使公司明令禁止使用，但他們往往也會將這些條款拋諸腦后。

互聯(lián)網(wǎng)安全顧問公司SecTheory創(chuàng)始人Robert Hansen說：“危險之源是智能手機屬于三穴設(shè)備：可連接藍牙，Wi-Fi和GSM網(wǎng)絡(luò)，員工在辦公室使用個人設(shè)備會引入一個潛在的攻擊點，通常，你使用的智能手機可以跨多個無線頻道，如果不懷好意的人在停車場安裝一個藍牙狙擊槍，那么他在一英里外就可以攔截藍牙通信，首先通過藍牙連接到智能手機，然后再連接到企業(yè)無線網(wǎng)絡(luò)，藍牙是給黑客接入Wi-Fi網(wǎng)絡(luò)，進入進入企業(yè)網(wǎng)絡(luò)敞開的一扇大門”。

Hansen說單純禁止智能手機是不現(xiàn)實的，相反，他認為IT部門應(yīng)該只允許經(jīng)過授權(quán)的設(shè)備訪問網(wǎng)絡(luò)，并綁定MAC地址，這樣在出現(xiàn)問題時可以進行追蹤，因為每個移動設(shè)備都具有一個唯一的MAC地址。

另一個策略是使用網(wǎng)絡(luò)訪問控制（NAC），無論是誰要訪問網(wǎng)絡(luò)，都必須經(jīng)過授權(quán)和登入驗證，理想情況下，企業(yè)應(yīng)該從企業(yè)網(wǎng)絡(luò)中獨立出一個專門供來賓使用的Wi-Fi網(wǎng)絡(luò)，雖然這樣可能會造出兩個無線網(wǎng)絡(luò)，會顯得有些冗余和增加管理開銷，但為了安全起見，Hansen認為這樣做是值得的。還有一個比較武斷的做法，就是讓所有想使用移動設(shè)備的員工統(tǒng)一平臺，如Google的Android，從而阻止那些不受支持的設(shè)備，這樣IT部門就不用處理眾多的設(shè)備品牌和平臺了，可以將重心放在安全事件的預(yù)防，發(fā)現(xiàn)和處理上。

2、網(wǎng)絡(luò)打印機上開放的端口

誰能想到打印機也會帶來安全風(fēng)險呢，想必大多數(shù)公司都認為打印機是沒有危險的，近幾年來，帶Wi-Fi功能的打印機已經(jīng)很常見，有些甚至還支持3G網(wǎng)絡(luò)和接入電話線發(fā)送傳真，有些型號會阻止訪問打印機上的某些端口，但Hansen說，如果一家大公司有200個打印機端口需要阻止訪問，那么可能有另1000個端口就是敞開的，黑客可以通過這些端口入侵企業(yè)網(wǎng)絡(luò)的，更惡毒的伎倆是采集所有打印輸出的內(nèi)容，要知道傳送給打印機的商業(yè)機密可不少。安全專家Jay Valentine說：“你之所以沒有聽說過是因為目前還沒有一個有效的方法來關(guān)閉它們，在電力行業(yè)，我看到所有訪問都是網(wǎng)絡(luò)端口進行的，風(fēng)險真的是太高了”。

解決這個問題的最好辦法是禁用打印機上的無線功能，如果現(xiàn)實不允許這么做，應(yīng)確保所有端口阻止任何未經(jīng)授權(quán)的訪問。使用安全管理工具監(jiān)控和報告開放的打印機端口也很重要，ActiveXperts軟件公司的Active Monitor就是這樣的工具。

3、定制開發(fā)的Web應(yīng)用程序潛伏著的不良代碼

任何安全專家都非常害怕粗心程序員開發(fā)的程序，不管是定制開發(fā)的軟件，還是商業(yè)軟件或開源軟件，都存在這樣的問題，如果你的程序中使用了SQL Server的xp_cmdshell，那一定是沒有安全意識的人編寫的代碼，它會將攻擊面放得很寬，黑客可以藉此獲得數(shù)據(jù)庫的全部訪問權(quán)限，你的數(shù)據(jù)將毫無秘密可言，并且還可以利用這個漏洞在網(wǎng)絡(luò)上安裝后門。

Hansen說Web服務(wù)器上的PHP程序也常常成為攻擊的目標(biāo)，很小的編碼錯誤，如從應(yīng)用程序調(diào)用一個遠程文件時的保護措施不當(dāng)，就會為黑客留下嵌入惡意代碼的機會，如果開發(fā)人員限制不嚴格，用戶在表單中的輸入就可以調(diào)用某個文件，或是公司博客使用trackback功能向文章原始出處報告鏈接時，可能未對URL進行處理，進而引發(fā)對數(shù)據(jù)庫的非法查詢。