管理资讯保安服务领导供应商Verizon Business对过去几年里危害程度比较深的90个安全漏洞进行了一次系统分析，发现与这90个安全漏洞相关的“犯案”记录竟然高达2.85亿条，惊人的数字，不是吗?其中大多数重头案件都涉及有组织犯罪，比如非法登录一个未加保护网络，并窃取信用卡资料、社会安全号码或其他个人身份信息等等。
　　
　　而令人惊讶地是，这些安全漏洞大多是由于网络管理员没有对自己负责的网络系统，尤其是非关键服务器采取明显的防护措施造成而造成的。
　　
　　“根本原因就在于网络管理员没有做好最基本的工作，就这么简单。”Verizon Business技术创新部副总裁Peter Tippett说，Tippett是安全领域的权威人士，从事安全漏洞审计工作长达18年之久。
　　
　　在Tippett的帮助下，我们总结了以下网络管理人员们最常见的错误清单，这些错误将直接导致网络一片混乱并导致严重的安全漏洞。针对每个错误，我们给出了最简单的解决方案，希望能众多网络管理员有所帮助。
　　
　　1.未更改网络设备的缺省密码
　　
　　“我们发现，很多企业的服务器、交换机、路由器以及其它网络设备都使用缺省密码——通常是‘password’或‘admin’，这是多么令人难以置信。”Tippett说。“大多数CIO们认为，这个问题不可能发生在他们身上，而事实则恰恰相反。”
　　
　　为了避免这个问题，你需要对你网络中的每一台网络设备进行一次彻底的漏洞扫描，而不仅仅是核心或关键设备，Tippett说。然后修改每台设备的缺省密码。根据Verizon Business的研究结果，在过去的一年中所发生的网络侵害案件中，有一半以上是由于某个网络设备使用缺省密码而给犯案人员留下了可乘之机。
　　
　　2.多台网络设备“共享”同一个密码
　　
　　企业的IT部门常常对多个服务器使用相同的密码，并且很多人都知道这个密码。就密码本省而言，它的安全性可能非常高——一个数字和字母的复杂组合，但是，一旦它被多个系统共享，那么所有这些系统都处于危险之中。
　　
　　例如，某个知道这一“通用”密码的人离职了，而他很有可能在新公司还是使用同一密码。或者某个负责部署非关键系统比如数据中心冷却系统的外包人员，很有可能对其负责的所有客户的所有系统使用相同的密码。在这些情况下，如果密码被某个黑客得到，那么他就可以进入许多服务器并且造成很大的破坏。
　　
　　Tippett说，企业IT部门需要制定一个流程——无论是自动还是手动——以确保服务器密码不会在多个系统之间共享，并且还要定期更换，这样才能保证密码安全。最简单也最有效的办法就是专门找一个人负责保管企业目前服务器的所有密码。
　　
　　3.未能有效找出Web服务器的SQL编码错误
　　
　　根据VerizonBusiness的研究结果，最常见的黑客攻击是对连接到Web服务器的SQL数据库的攻击，这大约占到了研究记录的79%.而黑客侵入这些系统的方式是利用Web表单提交一个SQL命令。如果表单的编码是正确的，那么它是不会接受SQL命令的。但是，有时开发人员的编码食物就可能“创造”所谓的SQL注入漏洞，黑客可以一用这些漏洞直接从数据库中查询他们所需要的信息。
　　
　　Tippett说，避免SQL注入攻击的最简单方法就是运行一个应用防火墙，首先把它设置为“学习”模式，以便能够观察用户如何把数据输入字段中，然后将该应用防火墙设置为“操作”模式，这样SQL命令就不能“注入”字段中了。SQL编码问题十分普遍。“如果一个企业对自己的100台服务器进行测试，它们可能会发现其中90台有SQL注入问题。”Tippett说。
　　
　　通常情况下，企业仅仅解决了核心服务器的SQL注入漏洞，但是他们忽略了很重要的一点：黑客往往是通过非关键系统进入到他们的网络的。Tippett建议网络管理员利用访问控制列表对网络进行划分，限制服务器同非重要设备的通讯。这样就可以有些地防止黑客利用一个小小的SQL编码错误非法获取数据。
　　
　　4.未正确配置访问控制列表
　　
　　使用访问控制列表分割网络是确保服务器不会越界的最简单有效的方式，它能确保每台网络设备或系统只与它们需要的服务器或系统进行通讯。例如，如果你允许业务合作伙伴可以通过你的VPN访问你内网中的两台服务器，那么你应该在访问控制列表中进行设置，确保这些业务合作伙伴只能访问这两台服务器，而不能越界。即便是某个黑客利用合作伙伴的这个通道进入你的企业内网，那么他也仅仅能窃取这两台服务器上的数据，危害范围大大降低。
　　
　　“但是，现实情况却是，利用VPN进入企业网络的黑客往往在内网中畅通无阻，”Tippett说。事实上，如果所有企业都能正确配置访问控制列表，那么过去的一年中所发生的网络侵害事件就能减少66%.配置访问控制列表是一件非常简单的工作，而CIO们不愿做这件事的理由是它涉及到将路由器用作防火墙，这是许多网络管理员并不希望的。
　　
　　5.允许不安全的远程访问和管理软件
　　
　　黑客侵入企业内网最常用的手段之一就是使用远程访问和管理软件包，比如PCAnywhere、Virtual Network Computing(VNC)或Secure Shell(SSH)。通常，这些应用软件都缺乏最基本的保障措施，比如安全的密码。
　　
　　解决这一问题的最简单方法就是对你的整个IP地址空间运行一个外部扫描，寻找PCAnywhere、VirtualNetworkComputing(VNC)或SecureShell(SSH)。一旦检测到这些应用，立刻对其增加额外的保障措施，比如令牌或证书。除此以外，另一种方法就是扫描外部路由器的NetFlow数据，看看有没有远程访问管理流量出现在你的网络中。
　　
　　根据Verizon Business的报告，不安全的远程访问和管理软件所占的比例也是非常高的，达到了27%.
　　
　　6.没有对非关键应用进行基本漏洞扫描或测试
　　
　　根据Verizon Business的研究结果，近80%的黑客攻击都是由于Web应用存在安全漏洞造成的。网络管理人员知道，系统最大的漏洞就在Web应用中，所以他们用尽浑身解数对关键系统和Web系统进行测试。
　　
　　现在的问题是，大多数黑客攻击利用的都是企业内网非关键系统的安全漏洞。“主要问题是，我们疯狂的测试核心网络应用，而忽略了非Web应用测试，”Tippett说。因此，他建议网络管理员在做漏洞扫描或测试时应该把网撒的更大更广泛。
　　
　　“我们从小受的教育就是一定要根据轻重缓解安排工作，但是不良分子却不管所谓的轻重缓急，哪个容易攻破，他们就进入哪个。”Tippett说。“一旦他们进入你的网络，他们就在里面为所欲为。”
　　
　　7.未能对服务器采取有效的保护措施，恶意软件泛滥
　　
　　VerizonBusiness的研究报告表明，服务器恶意软件大约占到了所有安全漏洞的38%.大多数恶意软件是由黑客远程安装的，用来窃取用户的数据。通常情况下，恶意软件都是定制的，所以它们不能被防病毒软件发现。网络管理员查找服务器恶意软件(比如键盘记录软件或间谍软件)的一个有效手段就是在自己的每台服务器上运行一个基于主机的入侵检测系统软件，而不仅仅是核心服务器。
　　
　　Tippett表示，一些非常简单的方法就可以避免许多这类攻击，比如服务器锁定，这样新的应用就无法在它上面运行。“网络管理人员通常不愿意这样做，因为他们认为这可能会使安装新软件变得有些复杂，”Tippett说。“而事实上，如果你要安装新应用，你可以先开锁，安装完毕后，再锁上就OK了。”
　　
　　8.没有正确配置路由器，从而禁止不必要的流量
　　
　　恶意软件的一种很流行的破坏方式就是在服务器上安装后门或命令脚本。而防止黑客利用后门或命令脚本进行破坏的方法之一就是使用访问空盒子列表对网络进行划分。这样就可以防止服务器向非法的方向发送数据。例如，邮件服务器只能发送邮件流，而不是SSH流。除此以外，另一种方法就是将路由器用于缺省拒绝出口过滤，阻止所有出站流量，除非你想要留下某些有用信息。
　　
　　“只有2%的企业这样做了。我感到困惑的是为什么这样一项简单的工作其余98%的企业没有做，”Tippett说。
　　
　　9.不清楚重要数据信息的存储位置，没有严格遵守支付卡行业数据安全标准
　　
　　大多数企业网络管理人员认为，他们确切地知道关键数据的存储位置，比如信用卡信息、社会安全号码或其它个人身份识别信息，并且对这些存储关键信息的服务器采用了最高级别的安全措施。但是，显示情况却是这些数据还有可能存储在网络上的其它地方，比如备份网站或软件开发部。
　　
　　正是这些次要的、非关键服务器才更容易受到攻击，从而导致核心数据被窃，给企业带来严重的灾难。查找所有关键数据存储位置的一个简单方法就是执行网络发现过程。“我们通常会在网络上安装一个探测器，这样我们就能看到关键数据从哪里出来的，并且要用到哪里去，”Tippett说。
　　
　　所谓的PCIDSS实施包括对银行信用卡/借记卡不同品牌12项非常严格的安全标准审查，审查其使用环境与信息安全问题的政策和程序，从而有效地保护持卡人的个人信息。“但大多数企业网络管理人员没有遵守PCI标准。”Tippett说。有时，虽然网络管理人员对他们所知道的信用卡数据存储服务器执行了PCI标准，但是，在托管这些重要数据的其它未知服务器上却没有采取任何措施。
　　
　　根据Verizon Business的报告，98%的网络犯案记录都涉及到信用卡数据，但是，只有19%的企业遵循PCI标准。“显而易见的，遵循PCI标准真的很有效，”Tippett说。
　　
　　10.没有一个全面的备份/灾难恢复计划
　　
　　并不是做备份有多么困难。问题是很多时候你会因为忙乱而忘记了他们。因为大多数的系统管理员往往一天下来都忙得头昏脑涨，而备份看起来是件浪费时间，毫无意义的工作——直到你真正需要它们之前。
　　
　　显然，你需要备份企业的重要数据。我不是暗示大多数管理员们没有适当的备份策略。但是这些备份策略中，有很多策略十年来从未改变过。你按照规定的时间间隔，用磁带备份了指定的重要文件，然后你就把它抛在脑后了。你没有考虑过评估与校正备份策略，甚至你都没有定期测试备份磁带，以确认你的数据的确被正确备份下来了。直到某一天你不得不这么做(磁带系统毁坏了，甚至更惨——你遭遇了一次灾难性的数据损失，现在你不得不使用备份来恢复)
　　
　　至于灾难恢复，拥有一个完善考虑过的灾难恢复计划往往更糟。也许，在你的抽屉里就躺着一份写好的商务持续性计划，但是它真的是最新的吗?它的确考虑到了你的所有设备和人员吗?所有重要的人员都了解该计划吗?(举个例子，也许在计划完成之后，又有新人被提升到了关键的位置上。)这个计划已经覆盖了所有的重要因素吗?包括如何尽可能迅速的发现问题，如何提醒相关人员，如何隔离被影响的系统，以及如何修复和恢复生产?