江苏邗建集团:Windows7的安全艺术
2009-04-27那罡
那 罡
信息安全,这门化解风险的艺术功,对于很多企业来说,容易及格,但很难得高分。因为大多数安全问题源自内部的终端电脑。“一个易用、安全且稳定的操作系统,可以让企业的业务更健康,IT人员也可以把更多的注意力放在更有价值的方向上。”江苏邗建集团网络中心管理员周亮说。
体验:稳定与安全并存
周亮是一个对IT新事物充满好奇心的人,从Windows 1.0到Windows 7,一共12款产品,他全都玩过。他觉得,即将推出的Windows 7是最好用的。因为它更方便,界面更华丽,最重要的是它很安全。
周亮经历了Windows从低级到高级的整个发展过程,算得上是一个Windows的超级粉丝。用他的话来说,Windows的总体趋势是功能越来越强大了,用户使用起来越来越方便了。
出于对计算机的热爱,学建筑出身的周亮在江苏邗建集团转型为IT负责人,并担任重要的工作,比如网站维护和基础软件的开发等等。江苏邗建集团是江苏省省级建筑企业集团,而且还通过了ISO9000质量管理体系、ISO14000环境管理体系和OSHMS18000职业安全与健康管理体系贯标认证,并实现了三个贯标体系合并管理。
正因如此,江苏邗建集团对于内部IT的稳定和安全有着更高的要求。并且公司每年都会有相应的资金投入来支持IT建设。周亮介绍说,公司最重视办公自动化和系统开发,以及拥有一个安全稳定的IT环境。目前,公司在IT建设上主要应用的是财务系统和经济核算类系统平台,公司的终端数量达到了700台左右,还拥有10台服务器。
从发展形势来看,很多企业对网络威胁问题的关注已经逐步从防止外部入侵和攻击为主,转变为以防范内部违规和信息泄漏为重心。对于用户而言,最重要的业务资产就是加强内部保护,选择质量好的操作系统。
一次很偶然的机会,周亮参与了微软的一个网络活动,并得到了Windows 7RC版光盘。他在自己的机器上安装运行,并进行了一系列测试,比如:兼容性测试、安全性测试、易用性测试等项目。
“Windows 7安全性很高,权限管理设置更清晰,操作系统的自我防护更全面,对多用户的管理也更简洁。”周亮有些惊喜地说,“在Windows 7的整体应用上,在界面和使用的便捷程度上,在对电脑的配置要求上,Windows 7相比于以前的操作系统进步很大。我还曾将Windows 7作为网络终端服务器进行了调试,稳定性相当好。”
安全:提升不止一点点
体验了Windows 7出色的表现后,周亮将经营部门10台电脑的操作系统集体更换为Windows 7。
周亮说,因为经营部门对于电脑业务的最大需求就是用Office软件做核算,而且Windows 7使用便捷程度很高,所以大部分人上手很快。不少员工都在讨论Windows 7全新操作系统所带来的优雅界面:全新的工具条,完善的侧边栏,全新界面的资源管理器。
周亮说:“对于Windows 7,我最看重的还是安全性。比如在Windows XP 和Windows Vista中都带有软件限制策略,这是一个很不错的安全措施。管理员可以使用组策略防止用户运行某些可能引发安全风险的特定程序。Windows 7将这种概念改良,发展出了名为AppLocker(应用程序控制策略)的功能。它使用简单,并且给予管理员更灵活的控制能力。管理员可以结合整个域的组策略使用AppLocker,也可以在单机上结合本地安全策略使用这一功能。
当然,周亮对于Windows 7安全特性产生的兴奋,还不只是这点。在Windows Vista中,我们可以通过控制面板中的安全中心,对系统的安全特性进行设置。而在Windows 7中已经没有了安全中心的影子。这是因为安全中心已经融入到了全新的Action Center之中了。Action Center中除了包括原先的安全设置之外,还包含了其它管理任务所需的选项,如备份、 测试、诊断和故障排除以及 Windows Update等功能。
记者了解到,UAC(用户账户控制)是Windows Vista引入的概念,其设计目的是为了帮助用户更好地保护系统安全,防止恶意软件的入侵。它将所有账户,包括管理员账户以标准账户权限运行。如果用户进行的某些操作需要管理员特权,则需要先请求获得许可。在 Windows 7中,UAC还是存在的,只不过用户有了更多的选择。相比于Windows Vista的UAC性能,Windows 7的UAC性能提高了29%,在一般情况下,Windows 7的UAC不会对用户发出错误提示。
IE8:化解Web风险
从最近一些安全公司所发布的Web安全报告来看,目前的互联网非常脆弱,各种流行软件、社交网站(SNS)、浏览器插件的漏洞层出不穷,为黑客提供了大量入侵和攻击的机会。网页取代网络成为攻击活动的主要渠道,“挂马网页”已经成为黑客传播病毒的主要手段。
某安全公司最新调查表明:目前90%以上的木马病毒通过“挂马”方式传播,这些几乎都源于系统漏洞,后台服务器存在不安全设置,网站实现代码缺陷(如SQL注入、论坛代码缺陷、跨站脚本等),或网站提供Web服务的程序漏洞、IIS漏洞、Apache漏洞等隐患,给黑客可乘之机。
周亮说,Windows 7自带的IE8浏览器增强了很多安全特性,不仅可以帮助用户防护现有和新出的网络安全威胁,而且安全性更高,能有效阻止恶意软件的攻击。尤其是当用户在不知情的情况下被引导至钓鱼网站等不安全网站时,IE 8自带的筛选器就会弹出警告页面,并阻止试图下载恶意软件的行为。
此外,IE8还增加了隐私浏览的功能。这个功能对那些在网吧等公共场所上网而又不希望留下痕迹的用户极有帮助。当隐私浏览启用后,在隐私浏览模式下,工具条和扩展工具条会自动禁用,而浏览历史会在浏览器关闭时自动删除。同时,隐私浏览所具有的筛选功能,还能阻止旨在跟踪和收集用户网络活动的第三方内容,通过提醒用户,来决定允许或阻止第三方内容,从而有效保护隐私。
周亮说,过去,只要一个Web网页中出现Bug,它的崩溃就会直接导致整个浏览器甚至是整个操作系统崩溃。而IE8检测到问题后,能够自动恢复已经崩溃的标签,并保持网页崩溃之前的状态。
目前,跨网站脚本(XSS)攻击是一种领先的攻击方式。跨网站脚本允许恶意代码注入网页,从而使得用户的信息被披露,身份被盗。其中,XSS最令人不安的就是:用户看起来正常的网站其实是未经授权的,这给黑客窃取用户隐私数据提供了一个较大空间。
周亮说,XSS攻击和前段时间甚嚣尘上的SQL注入攻击一样,都是由于Web业务的代码编写人员不严谨的字符限制而导致的。在IE8中有一个XSS过滤器,可以监视流经浏览器的所有请求和响应,当检测到跨站脚本请求时,IE8就可以阻止恶意脚本的执行。