现在就该堵上的六大企业安全漏洞

避免这个问题的最好办法是不使用免费提供的PHP脚本，博客插件和其它可能不安全的代码，如果确实需要，必须用安全监控工具检测出PHP脚本中的漏洞。 

4、社交网络欺骗

Facebook和Twitter用户可能被欺骗而泄露敏感信息，通常，这种类型的攻击是细微的，不一定有追查的必要。

Hansen说：“找工作的人通常会泄露一些个人信息，我的一个客户曾告诉我，黑客利用求职网站的虚假邮件地址冒充招聘人员要求求职者提供登录凭据信息，一般来说，求职网站的工作人员是不会要求求职者提供登录信息的，这就好像信封上的地址，它写的地址并一定代表信就真的是从那里寄出的”。

企业应该使用电子邮件验证系统核实发件人的身份，一般采用向显示的发件人地址发送一封邮件以确认其真伪，有些地方已经将非法假冒他人电子邮件的做法列为非法行为。

5、员工非法下载电影和音乐

P2P网络不会在打压下消失，在大公司里并不难发现使用P2P网络的员工，他们可能会用它非法下载电影和音乐，还有的人会用来分发软件，安全培训公司Security Awareness的CEO Winn Schwartau说：“正常来说，企业应该完全封锁P2P网络，P2P程序应该通过企业服务器上的黑名单列表和过滤器全部禁行”。

Schwartau说：“纽约一家金融服务公司的网络上开放了所有P2P端口，全天都有P2P程序在运行，最后居然发现公司的一台服务器被作为色情文件服务器了，黑客们很喜欢借用P2P服务器实施攻击或见不得光的犯罪活动，向P2P文件注入恶意代码对他们来说是小儿科，一旦有人运行了被破坏的P2P文件，黑客就在他的电脑上落脚了，如果不幸是公司的电脑，那公司的网络就向黑客敞开了大门”。

Schwartau建议实施资源隔离，这种技术可以根据用户的权限控制对网络资源的访问，不同的操作系统方法有所不一样，但在企业缺乏有效的安全策略或策略得不到有效遵守的情况下，采用这种技术的价值还是很大的。

Schwartau建议IT部门应定期扫描企业网络和服务器，查看是否有P2P活动，如果发现了P2P活动，应保持警惕并及时采取措施加以限制。

6、短信欺诈和恶意软件感染

智能手机上的短信是另一个潜在的攻击点，黑客向目标雇员发送SMS短信，诱使其泄露如登录凭据等敏感信息，此外，它们还能利用智能手机操作系统的漏洞，通过短信直接在手机上安装恶意软件。

Schwartau说：“在我们的实验中证明，一个rootkit完全可以开启智能手机的麦克风，但其所有者一点也不知情，攻击者可以向目标手机发送一条看不见的短信，告诉它拨打指定电话，并开启麦克风，如果攻击对象刚好在参加一个重要的会议，这种攻击的威力就显得无比强大了，手机将沦为一个永远不会被发现的窃听器”。

Schwartau说有许多方法可以过滤SMS活动，但都得依赖于运营商，因为SMS不是基于IP的，系统要管理员通常拿它没有办法，最好的办法是选择部署了恶意软件过滤，SMS过滤和重定向等攻击过滤的运营商。

最后，出台严厉的管理制度，要求员工使用指定或公司配发的智能手机，确保政策得到完美执行是减少这类风险的最佳办法。

当然，凭现在的技术，企业不可能阻止掉所有的安全攻击，黑客也会不断尝试新的攻击手段，现在你要做的是尽快堵住本文指出的六个安全漏洞，此外，你还应该时刻关注最新的恶意软件活动。

【推荐阅读】

◆IT运维管理专区

◆别让打印机成为网络安全体系中的薄弱环节

◆网络安全管理十大注意事项

◆IT运维管理：企业网络安全的研究措施

◆网管软件专区