引:很大一部分计算机安全问题都有着共同的起因:在未得到管理员认可时终端用户安装或运行了程序。你有必要知道:其实每个程序都是另一种攻击的潜在携带者。
很大一部分计算机安全问题都有着共同的起因:在未得到管理员认可时终端用户安装或运行了程序。
除了缓冲器溢出和一般的攻击之外,绝大部分攻击的出现是因为用户不经意的安装了未授权的恶意软件或其他程序。应该说有很多程序在本质上是恶意的,比如说病毒、蠕虫、木马和间谍软件。不过其中也有合法程序,它们也能造成新型的攻击问题。
每个程序都是另一种攻击的潜在携带者。你允许你的用户安装Macromedia的Flash部件,你就得冒着由于恶意代码Flash控制而导致被攻击的风险。安装Google新的搜索栏,就得冒着秘密信息有可能被检索的风险。允许终端用户在其计算机上播放个人CD,就有可能在不知不觉中安装了新的获取权限的程序。
我走过了许多地方,其中也访问了一些我手机都接收不到信号的国家。在那些能够联上互联网的地方,我就使用Skype来与家人和朋友通话。Skype相当不错,其话质要比手机好很多,而且便宜不少。
不过在我安装它时,它也已经慢慢开始流行起来。我知道它迟早会遭到攻击的。事实证明,几个月内,有人就发现了许多漏洞,Skype也发布了一些补丁。我相信这不是Skype发布的最后补丁,发现的漏洞会越来越多。
计算机上安装一个新软件,就意味着遭到攻击的风险就多了一分,无论软件是Skype、Java、RealPlayer、Firefox、QuickTime、iTunes,还是防病毒软件,其都无一幸免。我咨询过很多公司,他们告诉我的一个最好的化解安全漏洞的方法就是控制用户安装或运行软件。用户正在使用哪种浏览器附加软件?安装了哪种ActiveX控件?许多管理员都会惊讶的发现用户偷偷安装了GoToMyPC从而方便他们从家里访问自己办公机器。
许多公司很消极的看待我的建议。他们告诉我,迫使终端用户在安装软件前必须得到IT人员的许可将营造“限制学术自由”或“强权政策”的氛围。终端用户会极力反对,而管理层也决不会支持这种方式。
软件控制不能得到执行的主要理由是安装了许多防御软件。他们告诉我批准和控制哪些软件可以运行所花的时间和努力都是毫无意义的,都仅仅在浪费时间。而我认为最浪费时间的是总是与恶意软件、病毒、蠕虫、木马和垃圾软件进行斗争。每天IT计划中都要包括每种自动执行的恶意软件。
正如我们所知道的,绝大部分终端用户的问题源自于新安装的软件或未授权的配置改变。对计算机加以控制,你就会最小化支持费用和恶意攻击了。
|
