间谍软件会把用户的cookies信息发送给广告商，后者会根据这些信息展开相应的推销行动。虽然这看起来好像没有什么太大的害处，但是西格尔说，这家公司10%的网络流量都是间谍软件向第三方传送的网络数据，这极大地损害了公司网络的效率。另外他还补充，在其中两家规模为400人至1,000人的公司，每年由于员工在上班时间上网冲浪而导致的问题估计要耗费公司150万至180万美元。
     当然，公司里偶尔也会潜伏一些为一己私利而破坏企业IT安全的坏分子。西格尔说，最近他在和一家客户公司合作时，发现该公司的一台个人电脑安装了黑客工具，该电脑的用户利用它来扫描一些易攻击的电脑，获取存储在其中的机密资料。
     2、应用安全工具
     人们通常都认为，一个坚不可摧的安全系统必然拥有很多能够发挥关键作用的工具。例如，有一种常用的工具便能够屏蔽掉一些指定的赌博或色情网站，或者在员工欲登录一些购物性或娱乐性的网站时，提醒他这是一个与公司业务毫无关系的网站，从而不动声色地阻止员工的访问或登录。西格尔说，诸如这类的屏蔽工具有相当不错的实用效果，常常是每机必装的，并且其使用许可费也相当合理，一个员工一年大概只需要10美元至20美元。
公司用于内部IT安全管理的另一种常见工具是电子邮件内容管制软件。该软件通过搜索关键词，监控员工是否有违反公司规定政策的举动。因为公司特别担心员工会把一些涉及知识产权的信息或者敏感的客户资料通过电子邮件泄露出去。
     时常出门在外的员工喜欢使用诸如个人数字助理（PDA）、智能手机以及其他手提移动设备从网络上下载数据。随着这些移动设备的逐渐普及，它们对公司IT安全造成的危害也在日益增长。
     为移动技术提供安全解决方案的Trust Digital公司的CEO马利亚托（Nick Magliato）说："一个经过鉴定被认可的用户可以通过个人电脑下载任何文件，他就是把整个CRM系统都下载到他的PDA 里也没问题。一些较大的公司已经意识到这是一个安全漏洞。"此外，PDA也可能感染病毒，并将之传播到公司电脑系统上。
     马利亚托还补充，Trust Digital推出了一个基于公司政策的安全管理系统，它可以监控移动设备与公司电脑系统之间的互动，并且给负责IT安全的管理者提供高达100个参数，帮助他们决定在什么情况下应允许或是拒绝外界对公司数据的访问。
     Core Capital的勒克说："我们现在对于无线上网技术、无线同步技术以及移动设备的管理非常松散，这给IT部门的人员带来了很多他们没有预料到的问题。"例如，有一名员工将自己的PDA设置为与公司以及家里的电脑同时同步的状态，假如他没有及时升级家里的病毒防护软件，便会在不经意间传播家中电脑上的病毒，然后公司的电脑系统就这样被拿下了。
     3、 明确操作权限
     目前已经出现了少数几家软件供应商，他们的产品旨在帮助大型企业监控公司电脑用户的行为是否在其权限范围内，从而确保他们是在有授权的情况下执行某些操作。
     Approva就是其中的一家软件供应商，它的产品-BizRights应用软件主要是销售给大公司。公司首席营销官赛文（Neil Selvin）说："我们的目的是确保公司能够有效地为组织里的每个员工分配合适的工作任务。很多人都把注意力放在谁有权进行哪一种操作、而实际上又是谁在执行这些操作上，而我们希望确保公司的员工无法凭空捏造出一个等待公司付账的供应商来。"
     BizRights软件适用于公司各个不同的层级，并且还可用于做模拟情景分析，例如，假如公司授予一个较低层级的经理更多的权力时，会出现什么样的结果。它还能就员工执行的各种不同的操作汇编出报告，从而帮助经理人决定这些下属所拥有的权限是否恰当、是否需要做出调整。
     Intrusic公司令企业对IT内部安全的看法产生了另一个转变。该公司生产了一种名为Zephon的软件工具，它可以追踪网络组件应对恶性入侵的方式，并分析出哪些系统已被病毒感染。 Intrusic公司总裁宾厄姆（Jonathan Bingham）说："我们所推崇的信念之一就是：不要信任你的电脑系统用户。访问控制是企业经常使用的控制方法，但是根据对诸多大公司以及政府组织的相关调查，我们得出了如下结论：不能信任你的电脑系统用户。"
他指出，很多恶意攻击都是由一些看起来似乎是授权用户的黑客所发起的。因为在此之前，这些入侵者已经通过扫描和锁定虚拟内部网（VPNs，公司为满足漫游的授权员工的工作需要而设立的专用网络）上的用户而获得了合法的访问权限。
     Zephon会分析公司电脑系统上接收以及发送出去的所有资料，并自动报告可能产生的危害。宾厄姆说："Zephon在信息拦截方式、隐蔽数据信道以及所谓的'反向通道'（通过它，外界便可以穿过防火墙获取电脑系统上的信息）中所发现的问题，也就是公司在网络安全上所存在的黑洞。首席信息官对这方面的问题是浑然不知的。"
     4、 贯彻规章制度
     要约束员工在公司电脑系统上的行为，企业必须制定一套明确的规章制度，至于屏蔽以及监控工具，则不管其效力有多高，都应将之视为这些规章制度的补充。业内专家称，规章制度才是公司网络安全策略中最重要的部分， 西格尔说："有一项规则就是只开放员工在执行某项操作时所必需的权限。如果某人需要的只是一个应用程序，例如在线订单输入，你就可以把他的权限锁定为仅能进行此项操作。这是个常识性的问题，但是有很多公司都没有采纳。"他曾碰到了这样一种情况，某公司安装了一种阻止员工登录某些网站的屏蔽工具，但是员工发现他们可以通过登录客户的网站而绕开这一工具的限制。
     内容监控软件供应商Vericept称，虽然很多公司都加大了对接受使用规则（AUPs）的应用，但却很少认真地去推行它。AUPs应该得到定期的更新，从而保证一些最新的沟通工具，例如网络电邮、网上聊天室、即时信息、电子公告栏以及点对点（P2P）文件共享等都被考虑进去了。 先发制人型的策略对于企业维护内部的IT安全至关重要。你需要的只不过是一些技术的组合，并且不必太过复杂，然后定期更新它们就行了。
     有家公司便通过强制要求自己的员工将浏览器的版本由微软的 Internet Explorer换成另外一种"较低调"的版本，从而降低公司电脑系统受到恶意攻击的机率，这便是一种非常简单的做法。因目前非常普及的IE已经成为大多数病毒传播者锁定的头号目标，所以，放弃使用它能够帮助公司消除一个很大的未知数。 [ 上一页返回 ]