|
用一条巧克力棒交换你所在公司的网络密码,你愿意吗?在2004年欧洲信息安全会议(Infosecurity Europe 2004)举办之前,其主办单位在伦敦利物浦街地铁站对经过的“上班族”做了这样一项调查。
调查结果令人吃惊,37% 的受访者立刻点头答应,另有34% 的受访者后来也不敌采访人员的诱导,暗示他们宠物或小孩的名字就是密码。可能威胁到公司机密泄露的密码就这样轻易地到了陌生人手中。 最简单的“后门” 恐怕这个意见调查的结果出乎大多数人的意料。密码只是简单的几个字母和数字,份量却不轻。这些员工泄露的密码可能有访问公司机密资料的权限;也可能造成公司网络被人远程监控,或者存储空间被“种”上一只病毒,后果不堪设想。 电脑和互联网在为所有的现代化公司带来高效率和生意的同时,机密被窃取、IT设备及其数据遭破坏等网络安全问题就一直让各公司IT管理人员们的神经绷紧。各种杀毒软件、防火墙高度普及,实现用户授权和认证的安全管理解决方案市场之大足以让安全厂商们眉开眼笑。在3月份举办的2004亚太安全论坛上,IDC预测2007年全球安全市场的总额将从2002年的639亿美元增长为1188亿美元,IT安全投资也可谓“疯狂”。 不过眼下的局势有点儿让人哭笑不得。不论公司的安全部署造就了怎样的“铜墙”和“天网”,它惨败在了“巧克力棒”这个全新的“黑客工具”手下,这简直是一道最简单的“后门”。2004欧洲信息安全会议活动总监Claire Sellick针对前述的“地铁站巧克力棒调查”结果评论道:“这表明雇主对员工的宣导不足,以至于他们不了解信息安全的重要性。” 超过四分之三员工的“背叛”,其实印证了IT安全界普遍认同的一个说法—70%的安全损失是由企业内部原因造成的。仅是基于密码的访问权限管理就往往因为内部管理和员工疏忽而造成问题不断:由于没有清晰定义每位员工在系统内的访问权限,使本该由一定级别的人员才能掌握的业务秘密泄露;过于复杂的密码因为难于记忆,而被员工写下来贴在办公桌上;离职或被解聘员工的系统登陆账号和密码一直没有被更换和取消;专业财务管理的密码和普通桌面密码混用……解决这些问题的落脚点显然应该是对人的管理。 几乎所有的公司都会发布一系列的文件、规章制度,限定公司内部不同职务、不同部门的员工的权限,给每个岗位都制定了严格的IT操作行为规范。但是,这些文字性的手段往往会因为各种原因而难于良好地执行。员工对于诸多“缚住手脚”的规定有天然的抵触心理,在“提高工作效率”的大旗下“偶尔”因为忙碌而忽略这些制度听起来似乎天经地义。
1 2 3 4 5 6 下一页 |
