山丽网安面对不断老去的软件数据加密该如何守卫安全.doc

山丽网安：面对不断老去的软件 数据加密该如何守卫安全 生老病死，是生活在现实世界中人类或者动物的一条自然规律。而在人们创造的虚拟世界——信息世界中，生老病死似乎也存在，但它的对象是那些构成这个世界的数据、信息和软件本身。 在现实生活中，人们不断研究生命科学来试图延缓或者打破这条自然规律。而在信息世界，人们通过不断更新数据、信息和软件来保证“它的生存”。 在生命科学的研究中伴随着很多的风险，而在虚拟的信息世界，软件的更新也同样存在这风险。与真实世界不同的是，在虚拟的信息世界，“老化”的软件对于使用它的企业带来的还有信息和数据安全方面的危险。面对信息技术不断进步和“老化”软件带来的双重安全风险，我们该如何应对？就让在信息安全领域有多年防护经验的山丽网安来告诉您吧。 “老去的软件”——企业数据安全的隐患 企业资源规划（ERP）和客户关系管理（CRM）是企业内部最重要的两个应用程序，对于日常运作至关重要。ERP使企业的核心业务流程和资源有一个集成且实时的视图，例如生产、订单处理和库存管理。ERP系统还可以促进组织内部、重要供应商和客户之间业务功能的信息流动。而为了追求利润最大化，CRM系统用来简化和当前及未来客户之间的互动，管理营销活动，建立客户关系，提高客户满意度。 但许多企业的这两个程序正在不断老化。 修补老化的关键应用程序是非常困难的，因为许多传统的CRM和ERP系统都没有打补丁，而且非常脆弱。但是由于它们处理和存储了重要机密的数据，所以必须注意其安全性。在过去，原本的安全控制可能就够了，但是处于当今多设备、Internet连接并充满威胁的环境中，它们可能就难以应对了。 为了确保ERP和CRM应用程序的安全，必须在网络层、表示层以及最重要也最受黑客偏爱的攻击对象应用层实施控制。 未打补丁的ERP和CRM系统都特别脆弱，因为他们特别容易成为自动扫描器和攻击工具的目标。尽管不是每一个新漏洞都会有风险，但是真正遇到威胁时，你就必须努力修补旧系统。但是，知道漏洞何时对特定的应用程序有风险非常有用，因为这就可以优先升级补丁、防火墙和改变入侵检测系统。测试漏洞和补丁影响的一个方法是在一个虚拟测试环境中复制一个生产系统，然后使用渗透测试框架，用适当方法来试图感染用于测试的应用程序。如果测试的应用程序失败或被感染了，显然这个生产中的应用程序需要安装补丁来防御类似的攻击。 虽然补丁在旧系统上触发的问题并不少见，但是调查显示只有一小部分管理员因为未测试补丁而遭受系统故障。当然，可能你有一个传统或老化的基础设施已经被破坏或出故障了，就是因为过去打补丁的缘故，如果一个系统是处理关键任务的，那么强烈建议在安装新的补丁之前进行补丁测试。 当修补的整体风险太高时，虚拟补丁可以通过控制受影响应用程序的输入或输出来消除一些漏洞。不同于传统的补丁程序，虚拟补丁不需要昂贵的停机时间，因为一个应用程序可以不触碰到应用程序本身而打上补丁，它相关的库或操作系统可以一直运行。有时虚拟补丁是支持供应商不再支持的应用程序老版本的唯一方法。最简单的虚拟补丁方法是升级入侵防御系统过滤器的配置来阻挡试图利用该漏洞的攻击。在虚拟补丁修复该漏洞的过程中，一定要记录下这些变化。 最后，对企业来说，想要实现竞争优势，知识和信息共享是必不可少的。然而，符合行业以及公司的规定也是至关重要的。简而言之，运行易受攻击的软件已经不再可行，企业必须采取一切必要的主动或被动措施，来保持他们新旧应用程序的安全。 “不断前进的软件”——风险也水涨船高 虽然前面已经提到老去的软件和程序是许多企业的安全隐患，但对于软件的更新我们也必须有选择性。对于软件的漏洞补丁，我们必须第一时间更新，而对于那些尚在实验阶段的性能型升级或者变相功能修复（通过某种特定性能升级来弥补原来的漏洞），我们必须具有选择性。因为这些升级的补丁往往本身不成熟，甚至有的还处于实验阶段，一旦过早更新，往往也会给企业的数据带来不小的安全风险。 “防护的平衡点”——加密技术防护核心数据 许多信息化企业，尤其是技术型企业，往往在升级软件和维持现状中徘徊，因为升级可能意味着更好的功能和安全性，但同样存在“实验性”风险，而停止则似乎意味着“坐以待毙”。这种升与不升的抉择在众多企业中都有存在。而对于软件本身来说，微软XP系统可谓比较典型的代表。（近日，微软表示放弃更新XP，全面支持新的系统，并建议用更换系统，但许多用户仍然坚守“XP”的稳定性） 但对于个人、企业甚至政府机构中越来越敏感的数据，防护是必须的。所以与其在这种抉择中耽误安全防护的时间，不如去寻找一个平衡点——更本源且灵活的数据安全防护手段。而符合这种要求就是国际先进的多模加密技术。 多模加密技术采用对称算法和非对称算法相结合的技