远程访问、用户自动配置、Web身份验证将仍然将是2008年企业安全面临最关键的问题。在本篇技术技巧中,我们将回顾一下访问管理的情况,以及今年可能发生的变化。
对于用户门户网站应用程序而言,一旦用户成功登录,是否应该允许他/她看到当前找回密码的答案?如果该门户采用单点登陆(SSO)系统,这个问题是不是很重要?
我们公司使用一个“superuser”帐号(Unix的root和Windows的administrator),但是我知道这样的帐号是通过获取未经授权访问系统,最容易遭到攻击,而且代价很大的方法之一,因为文件、设备或者命令都不受到限制。有什么方法能够维护这些帐号,又同时降低风险?
更改本地管理员密码,是一种很好的安全措施,可以防止工作站被入侵和恶意破坏。但是,如果你仍想通过域或是活动目录(AD)对计算机进行控制,一定要注意下面这一点……
当雇员使用匿名的时候,他们会变得非常危险。雇员可以滥用匿名避开公司的防火墙,反击公司阻止雇员访问自己的个人电子邮件账户以及进行不适当的或者非法的网络浏览的措施,如访问淫秽和赌博网站等。
智能卡可以解决认证系统中的很多困难。虽然只有一张信用卡那么大,但是它不仅可以包括用户的认证证书,而且还能包括其他信息,如账户和银行资料、加密密码,甚至是生物识别数据……
如果网络采用双因素认证保护措施,是否仍然存在用户证书被盗窃的风险呢?
企业数据泄漏是一个令人恐慌的问题。安全从业人员不得不一直在解决由电子邮件、即时消息和其它互联网渠道产生的数据泄漏问题。
是否可以采用PKI来管理笔记本电脑的加密? 还是应该采用独立的产品?
风险评估是一个复杂的话题,超出了这几段文字能够覆盖的范围。但是,风险评估是信息安全的核心。