一、 内网监控和数据安全势在必然:
1、 限制上网冲浪 目前,蠕虫与病毒主要还是通过受感染的电子邮件附件传送,所以公司的IT部门总是忙于发布最新的蠕虫预警警报,忙于修复蠕虫造成的破坏,因为它们会感染办公室里的每一台电脑。还有一个次要的、但是呈上升趋势的问题是,员工在工作时间浏览一些网站的娱乐休闲页面,并且下载文件。这并非偶然的行为,根据哈里斯互动调查(Harris Interactive Study)最近得出的一项调研结果,员工每周在正常的上班时间内,会花8.3个小时去访问一些与工作毫无关系的网站。
克里斯金森说,很多工作懒散并且郁郁不得志的员工会不断地通过刺探公司电脑系统上的各种破绽,大搞诸如访问非法网站、下载可能携带病毒的可执行文件等"恶作剧",从而给公司的IT信息安全制造麻烦。西格尔说:"网上冲浪行为正在导致各种各样的问题,特别是当员工在不知情的情况下下载了间谍软件时。有些人虽然访问的是合法站点,但是他们的电脑却因此而被装置了cookies(由你浏览的网站服务器发送出来的一条条的辨识信息,它们会存储在你的电脑里,这样你在下次登录时就无需再输入这些信息了)。"他提到有很多个热门网站,例如屏保下载网站Webshots、互联网营销公司Gator等都已成为间谍软件非常青睐的输送渠道。
西格尔指出:"我们调查了二十家不同的公司,它们都没有使用员工上网管理系统来阻止或规范员工的网上冲浪行为。在我们关注的某家公司,有一个月其员工一共登录了三百个赌博以及**网站,导致公司的每台电脑都被自动安装了间谍软件。"
间谍软件会把用户的cookies信息发送给广告商,后者会根据这些信息展开相应的推销行动。虽然这看起来好像没有什么太大的害处,但是西格尔说,这家公司10%的网络流量都是间谍软件向第三方传送的网络数据,这极大地损害了公司网络的效率。另外他还补充,在其中两家规模为400人至1,000人的公司,每年由于员工在上班时间上网冲浪而导致的问题估计要耗费公司150万至180万美元。 当然,公司里偶尔也会潜伏一些为一己私利而破坏企业IT安全的坏分子。西格尔说,最近他在和一家客户公司合作时,发现该公司的一台个人电脑安装了黑客工具,该电脑的用户利用它来扫描一些易攻击的电脑,获取存储在其中的机密资料。
2、应用安全工具 人们通常都认为,一个坚不可摧的安全系统必然拥有很多能够发挥关键作用的工具。例如,有一种常用的工具便能够屏蔽掉一些指定的赌博或**网站,或者在员工欲登录一些购物性或娱乐性的网站时,提醒他这是一个与公司业务毫无关系的网站,从而不动声色地阻止员工的访问或登录。西格尔说,诸如这类的屏蔽工具有相当不错的实用效果,常常是每机必装的,并且其使用许可费也相当合理,一个员工一年大概只需要10美元至20美元。公司用于内部IT安全管理的另一种常见工具是电子邮件内容管制软件。该软件通过搜索关键词,监控员工上网行为是否有违反公司规定政策的举动。因为公司特别担心员工会把一些涉及知识产权的信息或者敏感的客户资料通过电子邮件泄密出去。时常出门在外的员工喜欢使用诸如个人数字助理(PDA)、智能手机以及其他手提移动设备从网络上下载数据。随着这些移动设备的逐渐普及,它们对公司IT安全造成的危害也在日益增长。为移动技术提供安全解决方案的Trust Digital公司的CEO马利亚托(Nick Magliato)说:"一个经过鉴定被认可的用户可以通过个人电脑下载任何文件,他就是把整个CRM系统都下载到他的PDA 里也没问题。一些较大的公司已经意识到这是一个信息安全漏洞。"此外,PDA也可能感染病毒,并将之传播到公司电脑系统上。
马利亚托还补充,Trust Digital推出了一个基于公司政策的安全管理系统,它可以监控移动设备与公司电脑系统之间的互动,并且给负责IT安全的管理者提供高达100个参数,帮助他们决定在什么情况下应允许或是拒绝外界对公司数据的访问。Core Capital的勒克说:"我们现在对于无线上网技术、无线同步技术以及移动设备的管理非常松散,这给IT部门的人员带来了很多他们没有预料到的问题。"例如,有一名员工将自己的PDA设置为与公司以及家里的电脑同时同步的状态,假如他没有及时升级家里的病毒防护软件,便会在不经意间传播家中电脑上的病毒,然后公司的电脑系统就这样被拿下了。
3、 明确操作权限
目前已经出现了少数几家软件供应商,他们的产品旨在帮助大型企业监控公司电脑用户的行为是否在其权限范围内,从而确保他们是在有授权的情况下执行某些操作。Approva就是其中的一家软件供应商,它的产品-BizRights应用软件主要是销售给大公司。公司首席营销官赛文(Neil Selvin)说:"我们的目的是确保公司能够有效地为组织里的每个员工分配合适的工作任务。很多人都把注意力放在谁有权进行哪一种操作、而实际上又是谁在执行这些操作上,而我们希望确保公司的员工无法凭空捏造出一个等待公司付账的供应商来。" BizRights软件适用于公司各个不同的层级,并且还可用于做模拟情景分析,例如,假如公司授予一个较低层级的经理更多的权力时,会出现什么样的结果。它还能就员工执行的各种不同的操作汇编出报告,从而帮助经理人决定这些下属所拥有的权限是否恰当、是否需要做出调整。
|