您的位置: 网界网 > 周报全文 > 正文

[周报全文]危险的用户行为让网络面临风险—IT经理讲述用户自身演绎的安全噩梦

2007年12月26日 13:41:57 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:IT经理讲述用户自身演绎的安全噩梦

标签
安全
用户行为
 

【CNW.com.cn 专稿】行为走向失控

作为Bunker Hill社区学院的CIO[注]Bret Moeller支持学生学习一部分试验性质的技术,但是如果这些独立的学生不在学院网络上进行黑客活动,他会更高兴。

负责管理和保护波士顿地区学院网络的Bret Moeller说:“有一些学生在学校的全部乐趣就是入侵学校的网络,收集他们无权访问的信息或者只是为了证明自己的能力而毁掉网络。”

他说:“我们可以检测到网络上的扫描活动,设法尽可能多地锁住东西或者不允许在工作站上安装软件,但是有时我们的保护措施会存在漏洞。”

Ponemon Institute调研公司进行的研究显示,多数用户违反公司安全标准,并且是有意为之。此外,RSA刚刚公布的调查数据显示,“可信赖”的内部人员由于他们每天的行为而“造成大范围的数据泄露。”

用户的挑战

在法规遵从性成为必须执行的规定情况下,IT经理左右为难了。

凤凰城White Electronic Designs公司IT副总裁James Kritcher说:“我们一直在设法平衡对信息大范围访问的需要与保护信息不被非法和不当使用的要求。我们现在拥有大量的账户、口令和其他机制来管理对不同资源的访问。由此而来的开销和复杂性增加了允许不当访问的可能性。”

另一些时候,精通技术的用户制造的麻烦最大。加拿大不列颠哥伦比亚省劳工与公民服务部数据网络运营经理Martin Webb说,用户试图在工作场所安装消费级无线路由器。

Webb说:“消费级路由器出厂时关闭了所有安全设置,以方便安装,但这也直接给网络安全造成漏洞。它似乎是件无害的事情,并且通常他们部署这类路由器时并无恶意,但这仍是必须控制的东西,否则我们将面临严重的风险。”

业务与生活混合

另一个常见问题是用户试图把工作带回家,但结果是带走一些本不应当带离企业网络和设施的数据。旧金山国际律师事务所Pillsbury Winthrop Shaw Pittman网络服务工程主管Albert Ganzon说,使用不当的U盘会让公司倒闭。鉴于他几乎不可能完全保护保存在U盘上的信息的安全,因此,保护公司和客户数据安全的责任让Ganzon处于一种高度的戒备状态。

他解释说:“U盘使得有人下载任何数据并带着它离开是那么的容易。我们不能防止这种事情的发生。我们不可能在不减弱U盘的其他合法功能的情况下关闭它。保持客户数据的机密性对于我们来说至关重要,可能在存在数据泄露时,这是个非常难对付的问题。”

对于田纳西州JacksonReviere & Bell律师事务所IT管理员Koie Smith来说,上Internet网冲浪和访问像MySpaceFaceBook这样的个人网站的用户存在重大风险, 任他使用一种叫做Squid的基于Linux的代理服务器进行内容过滤和切断对那些网站的访问。首先,他十分肯定,那些网站不被用于工作目的。除此之外,Smith说他发现那些网站以及另一些网站充斥着随时进入他的企业网络的间谍件。

Smith说:“尽管我们由于生产力的原因需要网络,但浏览Web显然是个问题,因为用户会从网上带来间谍件或病毒。在计算机缺少足够的保护措施(+本站微信networkworldweixin),甚至在一些情况下采取了足够的保护措施时,网络上的病毒仍可能由于用户浏览他们不应当浏览的网络而给企业网络造成损失。”他补充说,内容过滤还起到保护合法用户和机构的作用。“网络上有许多我们公司不允许出现在工作场所的东西,不受限制的Web浏览为其打开了大门。”

需要更多的教育

麻省SpringfieldMassMutual Financial GroupCISO Bruce Bonsall最担心的是大多数企业雇员家庭式的工作方式容易给网络留下安全漏洞,使雇员容易受到攻击。他还担心因用户没有受到有关安全政策或潜在威胁的那些他们本应受到的教育而受到攻击。

Bonsall说:“我认为,人们不会停止把工作和生活混在一起的工作方式。我们必须依靠他们在打开链接时保持良好的卫生习惯,尽力阻止外面的“污水”涌进企业网络。”

就他而言,像网页钓鱼和僵尸网络这样有针对性的攻击让他感到担心,因为它们可以利用没有及时接受企业教育的用户。他说,像网络访问控制和安全信息管理等技术可以帮助保护网络,但也仅仅是提供了一定程度上的保护。随着攻击变得更加复杂,用户教育是唯一选择。(美国《Network World》供本报专稿)

相关链接

杜绝危险的办法

■ 教育用户保持良好的安全习惯

■ 可能的话,不要将工作带回到家里

■ 网络准入控制能起到一定的作用

■ 基于Web的安全防护是企业必须做的

■ 企业必须平衡员工对信息访问的需求

参考资料

1.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]