对于中小型企业来说,风险之一就是像Bruce Schneier博客所说的那样,通过使用密钥logging器或其他恶意软件将您的银行证书丢给坏人。 “纽约时报”描述的一种特殊威胁是实时密钥logging器 。 底线是,商业银行login信息,坏人可以电汇出你的帐户,可能没有追索权。 商业银行账户login确实是王国的关键。
我决定大幅提高使用这些银行凭证的机器的安全性。 我的标准安全build议是Windows XP SP3,每晚自动应用修补程序。 病毒防护function已启用(我们通常使用ESET)。 用户是有限的用户; 他们不能添加软件。 软件限制可防止用户意外或故意下载软件并将其从用户目录中移出。 我们使用IE8是因为它在Active Directory环境中易于pipe理,但我认为这是一个潜在的弱点。 不幸的是,零日攻击的最可能的向量是flash或acrobat,我们都使用它们。
安全永远是方便与安全的折衷,所以答案和build议应该有利有弊。 我会回答一些build议,所以你可以看到我的想法在哪里。
你可以在Linux / BSD上安装另一台只用于访问银行网站的PC。 如果你真的想得到偏执狂,你可以把它放在自己的专用互联网连接上,而不是在常规networking上连接任何东西。 为您提供类似于双启动的好处,同时保持Windows PC可用于其他任务。 缺点是要维护的附加硬件/软件。 总有一种可能性,一些恶意的员工可以在键盘和计算机之间放置一个embedded式硬件USB键盘logging器 ,而不pipe你如何保护操作系统和软件。
就像所有的事情一样,基于风险的方法将是最好的,你采取这种方法的程度将取决于你的预算,风险,时间和潜在的破坏。 我当然不希望你在这里做一切事情。
以下是一些攻击媒介:
物理攻击
攻击types
这是您要专注于控制与物理访问有关的事物的空间:
软件攻击
一旦你把一个系统放在networking上,你就有了一个有趣的世界来防止你失去控制。
*我刚刚build立了一个专门的安全限制function工作站,似乎没有问题。
networking攻击
除了硬化机器,你还应该有强大的运输保护:
你可以在这个级别上做的事情:
*** SSL攻击现在已经是十几块钱了,它们本质上还是MITM(截至撰写本文),所以你应该采取措施来防止MITM
***如果您必须使用无线,请不要使用比WPA2-Enterprise更less的东西
检查您的银行的身份validation机制! Mine以“代码卡”的forms添加了伪RSA令牌,除了查看余额并在我自己的账户之间转移资金之外,大多数交易都要求我从该卡上打印的100中随机select一个号码。 每个代码只能使用一次,当他们都走了,我得到一张新的卡。 这满足了“你知道的东西和你有的东西”要求的双重因素,而没有发出所有用户真正的RSA令牌的开销,这只是一个个人账户。 如果您的银行不会为您的企业账户提供超出这个级别的安全级别,请将其抛出并find一个!
停止从那台机器上网。 不要检查电子邮件,不要去局域网之外的网站等等。在其他机器上做所有这些事情,然后在金融计算机上发布你需要做的事情。 不要将金融机器用作文件服务器,打印服务器等。
成本:500美元的戴尔冲浪优惠:您的数据更安全。
我也会投资在防火墙(硬件,而不是软件)放在机器前面。 不要让任何东西进入,并制定政策,而不是相信用户做正确的事情。
升级到Vista x64。 认真。 要可靠地开发要困难得多。
这不会阻止你的用户运行的恶意软件(通过访问网站等),但它会停止你不会检测到的基于networking的攻击。
根据这些人必须做的交易数量,您可以select无盘工作站进行银行交易。 无盘立即意味着从CDROM等只读介质启动。 就像一个剥离的CDROM可启动Linux,只有最低限度的软件(即只有网页浏览器)可能是这种工作的有效select。
除了特定的主机保护技术之外,还要深入探索防御方法。 例如,大多数网页过滤软件将阻止已知的不良网站。 如果你的一个用户早打了一个,这不会有帮助,但是一旦被发现,就会很快地进入过滤列表。 沿着同样的路线,看看像OpenDNS这样的外部DNS解决scheme,它们执行类似的function,但是没有networking过滤软件/设备的要求。 在你的防火墙上,执行出口过滤。 阻止IRC的已知端口等。不,这不会阻止使用自定义端口的恶意软件,但很多不会。 希望你可以使用网页过滤解决scheme来帮助那些使用自定义的东西。 另外,考虑实施IDS / IPS。 如果钱太紧,总会有Snort 。
在银行活动时强制用户双启动到其他操作系统(BSD?)。 临的:非常安全。 骗子:非常不方便,因为他们将无法访问各种Windows应用程序的计算出谁和连接到多less。
使用磁盘encryption。 无论你在操作系统中做什么,只要你能启动一张光盘并访问Windows之外的文件系统,你就不安全。 WinVista / Win7具有内置的encryptionfunction,但也有许多支持WinXP的第三方解决scheme。
研究NAPtypes的政策,在计算机没有获得互联网访问之前,打补丁到公司标准(如果你需要他们有互联网接入,那是)。
研究桌面虚拟化(MS和VMWare都有解决scheme),将银行应用程序隔离到自己的,pipe理严密的环境中。
只是我的5美分…
使用VMWare与一个基本的Linux来宾做所有的网上银行业务,但运行在所有的会计软件的计算机上,所以你可以轻松地在主机和来宾之间切换,以查看必要的数据。
移到64位Windows 7,因为恶意软件很less针对64位代码。 Pro的病毒较less; con的是,我们必须得到新的64位硬件,并处理各种不兼容。 XP模式可能是需要的 。
国家安全局和微软提出了最初的安全指南。 这些文件相当长,我build议您在可以重新格式化的计算机上testing设置,因为这是非常可能的事情,所以唯一的办法是从CD / DVD启动并擦除驱动器。
http://csrc.nist.gov/itsec/guidance_WinXP.html
http://technet.microsoft.com/en-us/library/cc163140.aspx
我同意你的想法,即flash / acrobat是最有可能的威胁。 限制用户权限是保护我能想到的计算机的最大步骤。
禁用gpedit.msc中所有计算机的自动运行。 我曾经工作的一些银行将禁用USB端口。 现在有一些应用程序可以监视它们,只允许允许的连接。 较老的银行将使用热熔胶来密封端口,并防止堵塞(一家银行使用软盘驱动器上的锁,并且会将现场的任何人锁在里面)。 研究人员在办公室附近的停车场放置USB拇指驱动器,并查看在办公室的电脑中插入了多less个USB拇指驱动器 – 安装最终只是将IP地址发送回家 – 更恶毒的安装者使用了可见的图标为“打开与资源pipe理器”欺骗用户不注意,所以他们点击安装程序。