應用程式安全管理的「八大」主張（一）

在BYOD、雲計算、大資料充斥的年代裡，應用程式仍然是公司資訊安全不可忽略的危險地帶，辦公、業務、流程、資料都離不開應用程式。 因此，所有系統管理員應該把管理你的應用程式及其安全作為首要任務。 應用程式可以通過配置應用程式的安全性、安裝應用程式到非標準目錄和埠、鎖定應用程式、保障P2P服務、確保你的應用程式程式設計人員的代碼安全等八大方面來進行多視角、系統化的管理。

1、安全地配置應用程式

應用程式應該按廠商推薦的安全設置進行配置。 三個最常見利用漏洞攻擊的Windows應用程式是微軟的Outlook(Express語言)、 Internet Explorer和Microsoft Office套件。 這些應用程式可能屬於最終使用者的工作站，人們需要它們來開展工作，但它們可能不屬於你組織的伺服器。 如果你的伺服器需要高安全性，刪除這些應用程式。 因為存在常見漏洞攻擊的風險，伺服器上不應該安裝電子郵件用戶端(如Outlook)或Microsoft Office。

在終端使用者的PC環境中，如果你要保留的應用程式並在同一時間將風險降到最低。 你可以通過定期更新應用安全補丁，如果沒有更高的安全級別，則確保按廠商的推薦設置進行配置。 Outlook和Outlook Express中都應該有自己的安全區域設置限制。 Internet Explorer的Internet區域應設置為中高或高。 Office提供管理範本(名為ADM檔)， 可以配置和部署使用系統原則或群組原則。 這些都可以從微軟的網站上下載或在Office資源工具組中找到。

其他應用程式通常會使用預設安全設置，你可以訪問廠商的技術支援資源來瞭解更多與你有關的安全選擇。 不幸的是，許多軟體廠商並不重視安全問題。 這時候，需要使用你從本文中學到的概念和做法，你可能還需要做一些研究。 如果一個針對你的應用程式漏洞被人知道，它通常會出現在常見安全網站上和郵寄清單中。 包含漏洞訊息最多的其中一個網站是SANS(www.sans.org)。 SANS每週公佈的漏洞清單幾乎影響了所有的作業系統平臺，包括Windows， Unix， Linux， Macintosh， FreeBSD等等。

2、保護電子郵件

電子郵件蠕蟲病毒仍然是電腦系統的頭號威脅，尤其是運行Outlook或Outlook Express的Windows系統。 大多數蠕蟲病毒作為一個檔附件或作為最終使用者執行的嵌入式腳本。 很明顯，你可以通過保護電子郵件顯著降低網路的曝光風險。 這可以通過禁用HTML內容和阻止潛在的惡意檔附件來完成。

所有超出純文字的電子郵件都可以被用來惡意攻擊電腦。 為此，限制電子郵件只有純文字是非常重要的，或者如果必須使用除純文字之外的電子郵件，也只使用純 HTML編碼。 你應該禁用指令碼語言和活動內容，如ActiveX控制項，JAVA和VBScript物件。 通常這很簡單，只需要檢查電子郵件用戶端的核取方塊來強制所有傳入的電子郵件以純文字格式來呈現。 有些客戶處理這個問題比其他人更加優雅，HTML-only消息在轉換過程中會嚴重錯位或顯示為空白。 Outlook和Outlook Express允許電子郵件的活動內容在無法訪問互聯網的區域打開，即禁用超出了純HTML格式編碼的內容。 這是微軟最新的電子郵件用戶端的預設設置。 早期的用戶端更加寬鬆，可以在互聯網安全區域打開電子郵件。

如果你能阻止活動內容執行，那麼你需要擔心的是終端使用者點擊惡意HTML連結或打開檔附件。 如果他們已經接入了互聯網，很難阻止使用者點擊惡意HTML連結。 在Windows環境中，你可以使用群組原則，Internet Explorer管理工具組(IEAK)，或一些其他類型的代理伺服器篩檢程式，只允許終端使用者訪問預先核准網站，但除此之外，你只能依賴于終端使用者教育程度。

3、阻止危險的檔案類型

阻止危險的檔附件是防止攻擊的最好方法，是針對目前電子郵件病毒和蠕蟲的首選方法。 最大的問題是「什麼構成了一個危險的檔案類型?」 事實是，幾乎所有的檔案類型可以被惡意使用，而更好的問題是「什麼是普遍使用的惡意檔案類型?」 表1顯示了通常阻止的組織擔心使用這些檔案類型為載體的各種流行攻擊的Windows檔案類型。 這些都是流行的電子郵件伺服器阻止清單。 該清單並不小。

表1 常用阻止的檔副檔名

如表1一樣龐大，很多讀者可能可以根據自己的經驗添加其他檔擴展到清單中。 只有你能判斷什麼檔副檔名有一個可接受的成本/收益比率，並且被允許進入你的網路。 然而，讓每一個檔擴展到你的網路都可能存在安全性漏洞。 例如，Visual Basic腳本(.vbs)檔是電子郵件蠕蟲和病毒最常見的惡意檔案類型之一。 儘管人們很少以正當的理由互相發送.vbs檔，但蠕蟲和病毒始終是這麼做的時候，阻止.vbs檔自動進入你的網路才有意義。

危險的檔副檔名可以在互聯網閘道設備、電子郵件伺服器或電子郵件用戶端中阻止。 大量的商業和開源專案存在的目的是為了阻止檔附件在閘道和電子郵件伺服器上。 此外，大多數防病毒廠商提供電子郵件伺服器防病毒解決方案。