PCI Security Standards Council 於日前公布了一份無線網路部署的指導原則 (Guildline),針對想要符合 PCI DSS 規範的廠商提出了應用無線網路 (802.11) 時所應注意的事項。雖然我們所處的環境不見得需要符合 PCI DSS 的規範,但是因為無線網路已經成為許多公司網路環境的一部分,而且無線網路所造成的安全危害也不容忽視,所以仍舊值得做為我們增進無線網路安全的重要參考依據。
該文件將建議事項大致分類為實體保護、隔離無線網路與有線網路、惡意 (rogue) 的 AP、設定、驗證與加密機制、無線網路使用政策、入侵偵測與存取記錄幾個主題。各個主題除了進一步加以說明外,也條列了重點式的建議做法,可提供無線網路的管理者一個方便且有用的作業準則之基礎來源。
在一份由 MIS Training Institute 與 NetWitness 針對 CISO 所做的問卷報告中指出,有高達 80% 的受訪者認為內部員工才是資料安全最大的威脅來源。但是比較弔詭的是,30% 的受訪者使用防火牆做為資料外洩的主要防禦機制。這裡指的防火牆應該是應用程式層的防火牆 (Layer-7 Firewall),儘管如此結果仍舊有些令人驚訝。也許是因為提供選擇的選項不夠多,竟然連 IDS 都有 15% 的受訪者當作主要的防禦機制。另外一個必須注意的問題就是有高達 18% 的重要資料不在伺服器上,而是散落在使用者的電腦 (8%)、協力廠商 (8%),更添加了資料保護的困難度。同時也顯現出保護資料光從伺服器著手已經不足,建立有效的多層次防禦機制才能避免資料安全受到威脅。
相關連結:
http://tinyurl.com/58ntcd,如果在多年前看到這種網址,大概會覺得一整個莫名其妙,因為網址通常會取有意義的名稱。58ntcd,這種跟密碼一樣的名稱,很明顯不符合使用性的要求。其實這樣的服務統稱為短網址,tinyurl是其中相當有名的一個。這樣服務說穿了,就是把一個很長(也不一定很長,但是通常比短網址長)的網址縮短成類似這個模樣。這樣做的目的,除了看起來很酷之外,早期有些讀信軟體沒有辦法自動辨識信件內文中因過長而導致換行的網址,所以短網址在這個時候就很適用。而近年來大為風行的推特 (Twitter),因為每個訊息有 140 個字元的上限,因此短網址成為在推特中分享網址的必要手段。也因為這些原因,短網址成了大家所熟悉的朋友。
這麼一個簡單又立意良善的服務,卻因為具備”隱藏”原始網址的特性,因而受到有心分子的利用。嚴格來說,短網址並不能隱藏原始的網址。當使用者點選之後,短網址的服務會將使用者導到原始的網址,此時原始的網址一覽無遺。但是因為使用者在實際點選之前無法即時得知原始的網址,一旦原始網址真有惡意,等到點選後才發覺通常已經為時已晚。另外一個更深層的問題是,當使用者看到短網址時,通常會因為熟悉而放鬆戒心,認為這樣的網址是”安全的”而加以點選,而忽略了這樣點選的動作實際上是連到別的網址。
