没有防火墙的安全:明智还是愚蠢？(2)

　　该公司最近发生的一次安全突破事件是在两年前。当时，一位16岁的黑客使用一台劫持的计算机中的软件嗅探出口令和其它登录数据。后来，这台被劫持的计算机发现有人登录SDSC网络，这个黑客就可以跟着登录了。

　　在记录检查中，他被发现了，这个黑客在网络中到处寻找可以利用的计算机。他找到了几台要攻破的计算机。这些计算机使用了安全补丁，但是没有重新启动。这个事件是攻击许多研究机构的一次大型攻击活动的一部分。

　　Singer说，在这种攻击中，有没有防火墙是一样的。入侵者是通过一个可信赖的用户间来的，系统可以识别他们的身份。防火墙也不能阻止他们。他们一旦登录之后，他们的入侵者的行为使我们发现了他们。

　　Singer介绍说，SDSC的安全方法减少了网络被攻破之后的影响范围，并且帮助该公司迅速恢复，比其它受到影响的机构恢复得快。

　　不用防火墙防御的关键

　　Singer认为缩小攻击影响范围的安全措施是基于主机的并且包括下列标准:

　　·知晓计算环境;

　　·有一个集中的设置管理环境;

　　·实施定期的或者经常的打补丁措施;

　　·保持严格的身份识别，包括严格禁止明文的口令。

　　大多数公开的攻击活动，特别是蠕虫，都是利用已经有了补丁的安全漏洞，有些补丁甚至已经发布好几个月或者几年了。积极地使用补丁可能解决大多数公司的90%的安全问题。

　　Singer说，在SDSC环境中禁止使用明文的口令是非常重要的。这个政策规定，禁止使用明文口令的身份识别协议，否则，被拦截和重复使用其它秘密的信息就会在SDSC的可信赖的网络和其它网络之间传递。

　　对于有权限的访问，用户必须解释他们为什么需要访问和签署一个可接受的使用协议，他们的管理者也要签署这个协议。根口令仅提供给绝对需要的地方，例如在安装过程中需要登录到系统控制台的人。

　　使用明文口令的账户很容易被嗅探到口令的黑客攻破，例如两年前攻破SDSC网络的16岁少年。这个规定实际上可以减少坏蛋成功的机会。