评估 2007 Office system 的安全和隐私威胁
更新时间: 2009年2月
应用到: Office Resource Kit
上一次修改主题: 2009-02-05
本文内容:
安全威胁概述
代码和应用程序威胁
文档威胁
外部威胁
Internet Explorer 威胁
隐私威胁
安全漏洞
安全桌面配置是任何组织的深层防御策略的一个重要部分。在计划包含 2007 Microsoft Office system 的安全桌面配置之前,需要了解与 2007 Office system 相关的安全威胁,然后确定其中哪些威胁对组织的业务资产或业务流程具有风险。还需要确定哪些隐私威胁对用户的个人信息和私人信息具有风险。
安全威胁概述
2007 Office system 的安全模型可以帮助您减小六种类型的安全威胁。其中每种安全威胁都包括一些威胁代理,并且可以被广泛的安全攻击所利用。下图显示了安全威胁和最常见的威胁代理的示例。
.gif "安全和隐私威胁")
大多数组织面临着六种安全威胁所带来的一些潜在风险。但是,并非每个组织都面临着相同的威胁代理或安全攻击。作为计划包含 2007 Office system 的安全桌面配置的第一步,请按照以下小节中提供的指导来决定:
六种安全威胁中的相关性。
具有潜在风险的威胁代理。
攻击者利用这些威胁代理进行攻击的可能方式。
您的组织应该创建一些便于您确定组织中的威胁的文档,其中包括风险模型、安全计划和操作计划。除了您要依据这些文档之外,在评估安全威胁时一定要考虑以下各项:
网络安全体系结构(例如,外围网络设计、Extranet 设计、防火墙设计和代理服务器设计)。
物理安全策略(例如,制定访问限制、文档保留策略和便携式计算机安全策略)。
隐私策略(例如,定义个人信息和私人信息)。
身份验证和授权的基础结构(例如,如何向客户、供应商或合作伙伴授予对您的网络的访问权限)。
应对突发安全威胁的准备工作计划。
电子邮件和 Internet 访问的个人使用策略。
此外,如果发现了新的威胁或威胁代理,则一定要更新组织的现有风险模型或安全计划。
代码和应用程序威胁
代码和应用程序威胁是常见的桌面安全威胁。典型的威胁代理包括 ActiveX 控件、加载项和 Visual Basic for Applications (VBA) 宏。编写恶意代码或创建恶意程序的程序员可能会利用这些威胁代理,然后在用户的计算机上运行恶意的代码或程序。代码和应用程序威胁会给任意规模的组织带来潜在风险。特别是,如果您的组织允许用户执行以下操作,则代码和应用程序威胁会给您的组织带来潜在风险:
运行宏、ActiveX 控件或加载项。
接收电子邮件附件。
在公用网络(如 Internet)中共享文档。
打开组织以外的来源(如客户、供应商或合作伙伴)提供的文档。
如果代码和应用程序威胁给组织带来了风险,请参阅为 2007 Office system 评估默认安全设置和隐私选项,以确定是否需要更改默认的安全设置来减小代码和应用程序威胁。
文档威胁
未经授权的用户尝试获得组织文档或包含在组织文档中的信息的访问权限时,会出现文档威胁。当未经授权的攻击者或入侵者获得文档访问权限时,则可能会造成以下损失:
保密性(文档数据不再专有)。
完整性(文档数据被更改或损坏)。
内容(文档数据丢失)。
虽然许多组织未选择减小文档威胁(这是因为他们发觉文档威胁的影响程度很小,而减小文档威胁的管理成本却很高),但是大多数组织面临着文档威胁。在以下任何情况下,文档威胁会给您的组织带来风险:
组织的网络安全体系结构无法阻止入侵者或攻击者获得内部网络的访问权限,这将增加入侵者或攻击者可能会获得组织文档访问权限的风险。
您的组织允许用户通过 Internet 发送、接收或共享专有的文档,包括财务数据、项目计划、演示文稿或绘图。
您的组织允许用户将便携式计算机连接到公用网络,这将增加无法识别的攻击者可能会获得用户便携式计算机上所保存文档的访问权限的风险。
您的组织允许用户将包含专有信息的文档带出办公室。
您认为未经授权的攻击者或入侵者有可能获得包含专有信息的文档的访问权限。
如果文档威胁给组织带来了风险,请参阅为 2007 Office system 评估默认安全设置和隐私选项,以确定是否需要更改默认的安全设置来减小文档威胁。
外部威胁
外部威胁包括通过 Intranet 或公用网络(如 Internet)将文档链接到另一个文档、数据库或网站的任何威胁代理。通过下面的威胁代理可利用外部威胁:
超链接 攻击者通常会创建指向不受信任的文档或网站(这些文档或网站包含恶意的代码或内容)的超链接来利用此威胁代理。
数据连接 攻击者通常会创建到数据源或数据库的数据连接,然后使用该数据连接恶意操作或提取数据,从而利用此威胁代理。
Web beacon 攻击者通常在电子邮件中嵌入一个指向远程映像的不可见链接来利用此威胁代理。当用户打开该电子邮件时,链接将会激活并下载远程映像。这样,用户信息(如用户的电子邮件地址和用户计算机的 IP 地址)可能会发送到远程计算机。
包装程序对象 攻击者可能会让嵌入对象执行恶意代码,从而利用此威胁代理。
如果您的组织执行以下操作,则外部威胁可能会带来风险:
为用户提供不受限制的公用网络(如 Internet)访问权限。
允许用户接收包含嵌入的图像和 HTML 的电子邮件。
允许用户使用电子表格或其他文档中的数据连接。
如果外部威胁给组织带来了风险,请参阅为 2007 Office system 评估默认安全设置和隐私选项,以确定是否需要更改默认的安全设置来减小外部威胁。
Internet Explorer 威胁
当应用程序或文档以编程方式使用 Internet Explorer 功能时,可能会出现 Internet Explorer 威胁。Internet Explorer 威胁给应用程序和文档带来了风险,因为 Internet Explorer 具有的任何威胁同样也存在于承载 Internet Explorer 的应用程序或文档中。Internet Explorer 威胁包括大量的威胁代理,并且可通过各种安全攻击被利用。例如,这些威胁代理包括 ActiveX 控件安装、文件下载、多用途 Internet 邮件扩展 (MIME) 探查、区域提升和加载项安装。
如果您的组织执行以下操作,则 Internet Explorer 威胁将会带来风险:
允许用户运行使用 Internet Explorer 功能的 ActiveX 控件、加载项或宏。
开发和分发调用 Internet Explorer 功能的 Office 解决方案。
如果您的组织面临着 Internet Explorer 威胁,请参阅为 2007 Office system 评估默认安全设置和隐私选项,以确定是否需要更改默认的安全设置来减小 Internet Explorer 威胁。
隐私威胁
隐私威胁包括未经用户同意或确认就泄露或透露个人信息或私人信息的任何威胁代理。通过一些威胁代理可以利用隐私威胁,但最常见的威胁代理是隐藏的文档数据(称为元数据)。元数据使用户能够记录或跟踪文档属性,如作者姓名、组织名称、文档编辑时间或文档版本号。可以从文档中删除元数据,但是如果不删除元数据,则打开文档的任何人都可以访问元数据。
当文档包含被认为是机密信息或专有信息的补充内容(如批注、修订、注释、自定义 XML 数据、隐藏文字、水印以及页眉和页脚信息)时,隐私威胁也可能会被利用。除非从文档中删除此内容,否则具有文档访问权限的任何人也有权访问补充内容。
除了隐私威胁会泄露信息之外,在有些情况下,如果启用或使用各种应用程序特性或功能,则也可能会泄露或透露私人信息。尽管未将这些特性和功能认为是威胁代理,但是它们可能会透露或泄露组织视为机密信息或专有信息的个人信息或私人信息。
有关隐私的详细信息,请参阅“2007 Microsoft Office system 隐私声明”,可以在信任中心中单击“隐私选项”,然后单击“阅读我们的隐私声明”来访问此隐私声明。
大多数组织面临着隐私威胁或者想要主动防止泄露私人信息或个人信息。请参阅为 2007 Office system 评估默认安全设置和隐私选项,以确定是否需要更改默认的隐私选项或安全设置,以减小隐私威胁。
安全漏洞
安全漏洞是特殊类型的安全威胁,可通过诸如 Microsoft 安全公告或 Service Pack 之类的软件更新来解决这类安全威胁。安全漏洞可能包括许多威胁代理,如:
远程代码执行
特权提升
信息泄露
恶意的程序员和用户可以通过各种安全攻击来利用安全漏洞。在发布安全公告或 Service Pack 来应对安全漏洞之前,此漏洞可能会给您的组织带来潜在威胁。如果安全漏洞给您的组织带来了潜在威胁,请参阅为 2007 Office system 评估默认安全设置和隐私选项中的“评估安全漏洞的默认安全设置”,以确定是否需要更改默认安全设置来解决安全漏洞。