江蘇邗建集團(tuán):Windows7的安全藝術(shù)

那 罡

信息安全,這門化解風(fēng)險(xiǎn)的藝術(shù)功,對于很多企業(yè)來說,容易及格,但很難得高分。因?yàn)榇蠖鄶?shù)安全問題源自內(nèi)部的終端電腦?！耙粋€(gè)易用、安全且穩(wěn)定的操作系統(tǒng),可以讓企業(yè)的業(yè)務(wù)更健康,IT人員也可以把更多的注意力放在更有價(jià)值的方向上?！苯K邗建集團(tuán)網(wǎng)絡(luò)中心管理員周亮說。

體驗(yàn):穩(wěn)定與安全并存

周亮是一個(gè)對IT新事物充滿好奇心的人,從Windows 1.0到Windows 7,一共12款產(chǎn)品,他全都玩過。他覺得,即將推出的Windows 7是最好用的。因?yàn)樗奖?界面更華麗,最重要的是它很安全。

周亮經(jīng)歷了Windows從低級到高級的整個(gè)發(fā)展過程,算得上是一個(gè)Windows的超級粉絲。用他的話來說,Windows的總體趨勢是功能越來越強(qiáng)大了,用戶使用起來越來越方便了。

出于對計(jì)算機(jī)的熱愛,學(xué)建筑出身的周亮在江蘇邗建集團(tuán)轉(zhuǎn)型為IT負(fù)責(zé)人,并擔(dān)任重要的工作,比如網(wǎng)站維護(hù)和基礎(chǔ)軟件的開發(fā)等等。江蘇邗建集團(tuán)是江蘇省省級建筑企業(yè)集團(tuán),而且還通過了ISO9000質(zhì)量管理體系、ISO14000環(huán)境管理體系和OSHMS18000職業(yè)安全與健康管理體系貫標(biāo)認(rèn)證,并實(shí)現(xiàn)了三個(gè)貫標(biāo)體系合并管理。

正因如此,江蘇邗建集團(tuán)對于內(nèi)部IT的穩(wěn)定和安全有著更高的要求。并且公司每年都會有相應(yīng)的資金投入來支持IT建設(shè)。周亮介紹說,公司最重視辦公自動化和系統(tǒng)開發(fā),以及擁有一個(gè)安全穩(wěn)定的IT環(huán)境。目前,公司在IT建設(shè)上主要應(yīng)用的是財(cái)務(wù)系統(tǒng)和經(jīng)濟(jì)核算類系統(tǒng)平臺,公司的終端數(shù)量達(dá)到了700臺左右,還擁有10臺服務(wù)器。

從發(fā)展形勢來看,很多企業(yè)對網(wǎng)絡(luò)威脅問題的關(guān)注已經(jīng)逐步從防止外部入侵和攻擊為主,轉(zhuǎn)變?yōu)橐苑婪秲?nèi)部違規(guī)和信息泄漏為重心。對于用戶而言,最重要的業(yè)務(wù)資產(chǎn)就是加強(qiáng)內(nèi)部保護(hù),選擇質(zhì)量好的操作系統(tǒng)。

一次很偶然的機(jī)會,周亮參與了微軟的一個(gè)網(wǎng)絡(luò)活動,并得到了Windows 7RC版光盤。他在自己的機(jī)器上安裝運(yùn)行,并進(jìn)行了一系列測試,比如:兼容性測試、安全性測試、易用性測試等項(xiàng)目。

“Windows 7安全性很高,權(quán)限管理設(shè)置更清晰,操作系統(tǒng)的自我防護(hù)更全面,對多用戶的管理也更簡潔?！敝芰劣行@喜地說,“在Windows 7的整體應(yīng)用上,在界面和使用的便捷程度上,在對電腦的配置要求上,Windows 7相比于以前的操作系統(tǒng)進(jìn)步很大。我還曾將Windows 7作為網(wǎng)絡(luò)終端服務(wù)器進(jìn)行了調(diào)試,穩(wěn)定性相當(dāng)好?！?/p>

安全:提升不止一點(diǎn)點(diǎn)

體驗(yàn)了Windows 7出色的表現(xiàn)后,周亮將經(jīng)營部門10臺電腦的操作系統(tǒng)集體更換為Windows 7。

周亮說,因?yàn)榻?jīng)營部門對于電腦業(yè)務(wù)的最大需求就是用Office軟件做核算,而且Windows 7使用便捷程度很高,所以大部分人上手很快。不少員工都在討論Windows 7全新操作系統(tǒng)所帶來的優(yōu)雅界面:全新的工具條,完善的側(cè)邊欄,全新界面的資源管理器。

周亮說:“對于Windows 7,我最看重的還是安全性。比如在Windows XP 和Windows Vista中都帶有軟件限制策略,這是一個(gè)很不錯(cuò)的安全措施。管理員可以使用組策略防止用戶運(yùn)行某些可能引發(fā)安全風(fēng)險(xiǎn)的特定程序。Windows 7將這種概念改良,發(fā)展出了名為AppLocker(應(yīng)用程序控制策略)的功能。它使用簡單,并且給予管理員更靈活的控制能力。管理員可以結(jié)合整個(gè)域的組策略使用AppLocker,也可以在單機(jī)上結(jié)合本地安全策略使用這一功能。

當(dāng)然,周亮對于Windows 7安全特性產(chǎn)生的興奮,還不只是這點(diǎn)。在Windows Vista中,我們可以通過控制面板中的安全中心,對系統(tǒng)的安全特性進(jìn)行設(shè)置。而在Windows 7中已經(jīng)沒有了安全中心的影子。這是因?yàn)榘踩行囊呀?jīng)融入到了全新的Action Center之中了。Action Center中除了包括原先的安全設(shè)置之外,還包含了其它管理任務(wù)所需的選項(xiàng),如備份、 測試、診斷和故障排除以及 Windows Update等功能。

記者了解到,UAC(用戶賬戶控制)是Windows Vista引入的概念,其設(shè)計(jì)目的是為了幫助用戶更好地保護(hù)系統(tǒng)安全,防止惡意軟件的入侵。它將所有賬戶,包括管理員賬戶以標(biāo)準(zhǔn)賬戶權(quán)限運(yùn)行。如果用戶進(jìn)行的某些操作需要管理員特權(quán),則需要先請求獲得許可。在 Windows 7中,UAC還是存在的,只不過用戶有了更多的選擇。相比于Windows Vista的UAC性能,Windows 7的UAC性能提高了29%,在一般情況下,Windows 7的UAC不會對用戶發(fā)出錯(cuò)誤提示。

IE8:化解Web風(fēng)險(xiǎn)

從最近一些安全公司所發(fā)布的Web安全報(bào)告來看,目前的互聯(lián)網(wǎng)非常脆弱,各種流行軟件、社交網(wǎng)站(SNS)、瀏覽器插件的漏洞層出不窮,為黑客提供了大量入侵和攻擊的機(jī)會。網(wǎng)頁取代網(wǎng)絡(luò)成為攻擊活動的主要渠道,“掛馬網(wǎng)頁”已經(jīng)成為黑客傳播病毒的主要手段。

某安全公司最新調(diào)查表明:目前90%以上的木馬病毒通過“掛馬”方式傳播,這些幾乎都源于系統(tǒng)漏洞,后臺服務(wù)器存在不安全設(shè)置,網(wǎng)站實(shí)現(xiàn)代碼缺陷(如SQL注入、論壇代碼缺陷、跨站腳本等),或網(wǎng)站提供Web服務(wù)的程序漏洞、IIS漏洞、Apache漏洞等隱患,給黑客可乘之機(jī)。

周亮說,Windows 7自帶的IE8瀏覽器增強(qiáng)了很多安全特性,不僅可以幫助用戶防護(hù)現(xiàn)有和新出的網(wǎng)絡(luò)安全威脅,而且安全性更高,能有效阻止惡意軟件的攻擊。尤其是當(dāng)用戶在不知情的情況下被引導(dǎo)至釣魚網(wǎng)站等不安全網(wǎng)站時(shí),IE 8自帶的篩選器就會彈出警告頁面,并阻止試圖下載惡意軟件的行為。

此外,IE8還增加了隱私瀏覽的功能。這個(gè)功能對那些在網(wǎng)吧等公共場所上網(wǎng)而又不希望留下痕跡的用戶極有幫助。當(dāng)隱私瀏覽啟用后,在隱私瀏覽模式下,工具條和擴(kuò)展工具條會自動禁用,而瀏覽歷史會在瀏覽器關(guān)閉時(shí)自動刪除。同時(shí),隱私瀏覽所具有的篩選功能,還能阻止旨在跟蹤和收集用戶網(wǎng)絡(luò)活動的第三方內(nèi)容,通過提醒用戶,來決定允許或阻止第三方內(nèi)容,從而有效保護(hù)隱私。

周亮說,過去,只要一個(gè)Web網(wǎng)頁中出現(xiàn)Bug,它的崩潰就會直接導(dǎo)致整個(gè)瀏覽器甚至是整個(gè)操作系統(tǒng)崩潰。而IE8檢測到問題后,能夠自動恢復(fù)已經(jīng)崩潰的標(biāo)簽,并保持網(wǎng)頁崩潰之前的狀態(tài)。

目前,跨網(wǎng)站腳本(XSS)攻擊是一種領(lǐng)先的攻擊方式?？缇W(wǎng)站腳本允許惡意代碼注入網(wǎng)頁,從而使得用戶的信息被披露,身份被盜。其中,XSS最令人不安的就是:用戶看起來正常的網(wǎng)站其實(shí)是未經(jīng)授權(quán)的,這給黑客竊取用戶隱私數(shù)據(jù)提供了一個(gè)較大空間。

周亮說,XSS攻擊和前段時(shí)間甚囂塵上的SQL注入攻擊一樣,都是由于Web業(yè)務(wù)的代碼編寫人員不嚴(yán)謹(jǐn)?shù)淖址拗贫鴮?dǎo)致的。在IE8中有一個(gè)XSS過濾器,可以監(jiān)視流經(jīng)瀏覽器的所有請求和響應(yīng),當(dāng)檢測到跨站腳本請求時(shí),IE8就可以阻止惡意腳本的執(zhí)行。