莫让这六大方面危及你的安全!
2016-03-17 09:46:00   来源：来源：51CTO.com   评论：0 点击：

51CTO首届中国APP创新评选大赛正在招募>>

【51CTO.COM 快译】内部安全审查必不可少，但这还不够。IT部门还应该关注外部安全审查。

安全顾问说：“贵公司通过了我们的年度安全审查。当然，有几个方面需要改正。”

就像房间里的其他所有科技专业人士那样，我看了看列表。报告列出了存在的一些问题，比如未打补丁的应用程序、弱密码，以及活跃但未使用的网络服务。大家同意，这些问题都应该加以纠正。

我问道：“你有没有进行外部安全审查?比如说，审查我们公司使用的移动或Web应用程序?”

安全顾问说：“那倒没有”。我很失望，但并不觉得惊讶。

许多企业组织仍然处在本地应用程序或小规模托管服务这种环境下。2016年2月，知名调研公司Gartner发布了一份调查报告，表明13%的“上市公司”使用微软Office 365或Google Apps for Work来托管电子邮件。“剩余87%的受访公司使用由小型服务商管理的本地、混合、托管或私有云电子邮件。”

不过，我所认识的开发人员、企业家和投资者使用大量的移动、社交和Web应用程序。这些应用程序都在“公司高墙外面”如火如荼地发展，带来了内部安全审查忽视的潜在安全问题。

我问道：“那你可以至少列出我们应关注的主要的外部问题吗?”那位顾问表示，那不在项目范围的之内。

于是，我在下面列出了需要审查和保护的外部系统，哪怕贵企业的IT环境还没有在云端。

1. 域名注册

每年审查贵企业所有域名的续约日期。确保你的付款信息最新，确保管理和技术联系人信息准确，并确保登录到域名注册机构的信息得到妥善保护。

如果你失去了对域名的控制权，也就失去了对网站和电子邮件的控制权。不怀好意的人可能将网站流量重定向到别处。一旦贵企业的电子邮件路由被人控制，就有可能面临另外的黑客攻击，因为对电子邮件的访问常常相当于使用在线帐户的验证方法。

2. Web托管

还要审查帐户安全，确保你的Web托管服务提供商和Web内容管理系统(比如Drupal和WordPress等)帐户安全。你在做这项工作时，还要审查或续约你网站的安全证书。

3. 社交媒体

现在，大多数企业组织在社交媒体网站上设有帐户。管理这些帐户的人常常擅长沟通，而不擅长计算机安全。然而，社交媒体帐户被黑的话，企业组织的品牌、形象和声誉可能会受损。

可能的话，审查社交媒体网站的安全设置，并调整设置。比如说，为充当贵企业Facebook页面管理员的每个人启用双步骤验证。部署一款密码管理工具，让长密码可以在不直接允许多个用户管理单一帐户的网站(比如推特)上安全地共享，或者改用提供多用户帐户管理的社交媒体管理工具，比如HootSuite。

4. 外部协作工具

仔细关注协作工具，尤其是主管和领导层使用的那些工具。像BoardEffect这些董事会管理工具支持领导层之间的治理会话，可是与社交媒体一样，这些工具常常游离于IT环境之外。

5. 数据库

检查保存客户数据的外部系统。比如说，MailChimp和Constant Contact包含客户电子邮件。活动登记、调查和查询工具常常也获取客户数据。

还要认真审查工作流程。有这么个案例，有个IT工作人员发现，一位同事发送的电子邮件既含有帐户用户名，又含有密码