一、上网行为访问控制隐患 信息安全漏洞导致的最常见结果便是网络和应用的瘫痪。而这对企业造成的经济损失难以估量。在那些曾出现安全漏洞的企业中,分别有四分之一的美国和欧洲公司以及将近半数的中国公司无法量化其财务损失。但很明显,损失极为惨重。瑞士银行潘恩韦伯公司(UBS PaineWebber)的一位前系统管理员,即因在该公司的系统中部署了一颗逻辑炸弹而正在受审,其造成的损失非常高昂:全美约2,000台服务器出现宕机,8,000多名经纪人的工作被中断。 该公司用于对系统进行备份并使其恢复运行的成本估计约为310万美元,其中包括用于支付加班以及其他应急措施的费用。此外,该公司也无法量化此次攻击对其营业额所造成的影响。超过半数的业务技术专家表示,当企业现有和以前的雇员企图危及系统安全时,安全技术、政策和培训在阻止其制造信息安全漏洞方面几乎起不到什么作用。与其他国家相比,内部威胁对美国公司来说更成问题。去年,将近四分之一的美国公司表示,授权用户和雇员是引起攻击的原因之一,印度公司、中国公司和欧洲公司的相应比例为22%、15%和11%。许多IT安全经理表示,迅速膨胀的外部威胁占据了其太多时间,以致无暇顾及来自内部的攻击。西门子威迪欧汽车集团(VDO Automotive)信息安全管理员乔?戴厄尔(Joe Dial)表示:“那些人真是疯狂,很难阻止他们。” 他又补充说,如果对内部信息安全威胁做出过激反应,还会阻止企业雇员使用其工作所需的信息。“我不能让信息安全问题阻碍生产力的发展,但这确实是个两难选择。”狄特摩尔表示,最大的内部威胁往往来自那些未经批准就滥用数据访问权限的系统管理员或档案管理员;但他同时也承认,采取措施防止他们这样做也并非什么上策。更艰巨的工作在于公司须对数据进行控制以及对外部威胁进行管理。 为了避免百密一疏,对数据访问的控制在某些特殊的行业已经引起高度重视。如从事软件外包的群硕软件开发(上海)有限公司(下称群硕)对数据的保护十分严格。群硕主要从事面向欧美的软件外包业务,为微软公司(Microsoft)、英特尔公司(Intel)等欧美大客户从事最新技术的开发,保密性要求极高。在群硕,不同的项目组分割在不同办公区,依靠门禁系统凭卡进入,谢绝外来人员入内,开发人员的电脑不能使用可移动存储设备,办公室里不设打印机和传真机。群硕董事长兼总裁刘英武笑称:“除了记在大脑里外,任何数据都没有办法带出办公室。” 在公司,内部控制访问正在变得越来越普遍。互助保险公司Amerisure公司(下称Amerisure)采用RSA安全公司的双重认证来保护其IT系统。同时,该公司也已开始采用思杰(Citrix)瘦客户机访问慧智(Wyse)终端,远程工作的员工不必再通过拨号上网了。 这些终端既没有硬盘也没有软驱,这样用户就难以携带数据。“如果你盗走的是台瘦客户机,那就等于什么也没偷。”公司的企业架构师杰克?威尔逊(Jack Wilson)表示。Amerisure目前约有80台笔记本电脑投入使用,多数为经理级人员所用,威尔逊计划在明年初将这些笔记本电脑转换为Citrix瘦客户机。在保护客户数据方面,美国公司要领先于其他国家的企业,其具体做法包括:提醒雇员遵守隐私标准(64%)、保护网上交易(52%)以及通信加密(42%)。几近半数的美国公司对雇员的内部电子邮件和网站使用情况进行监测,有多于四分之一的企业对即时通讯和外部电子邮件的内容进行监测。 只有28%的美国安全政策规定:必须对客户数据加密;那些丢失数据的企业正因为缺少此类规定而损失惨重。而中国公司和印度公司的信息安全政策则更倾向于强调:必须对所有的客户数据加密。在保护数据方面,身份管理系统等面向雇员的技术扮演着越来越重要的角色,有时它起着最根本的作用。医疗联盟最近将其雇员口令由原来的六位延长至八位,同时它也在考虑采用单用户同时登录多系统的做法。更先进的安全手段包括感应卡和生物测定工具,用于控制对由多个保健专家共用的工作站的访问。在医疗联盟这样的医疗保健环境中应用生物测定手段,有一个特别的问题,即有时用户会拒绝触摸传感器,以免沾染上细菌。狄特摩尔说,雇员不愿意脱掉橡胶手套来留下指纹。受访的美国公司中只有9%采用生物测定工具作为其访问权限控制系统的组成部分。 二、局域网桌面管理系统 目前市场上比较流行的国外局域网桌面管理系统有CA Unicenter、Landesk,国内的NetInhand、LANDesk Management Suite 7是目前比较流行的局域网桌面管理系统。选择局域网桌面管理系统(DMI)时,要考虑以下因素: 用户自身管理模式:桌面管理系统需要在每台被管理客户机上安装Agent,网络管理人员可以远程控制被监测客户机,这涉及到一些客户的隐私问题。因此用户在购买局域网桌面管理系统产品之前最好首先考虑自身的管理模式是否能支持局域网网管软件的使用。 支持的操作系统种类:局域网桌面管理系统的Agent要求能够支持企业中所有操作系统。 当某种操作系统设备数量较少时,出于节约软件购买成本的角度,也可以考虑购买只支持企业主流操作系统的局域网桌面管理系统。 网络带宽占用情况:远程控制、软件派送等网络功能传递的数据量大,很可能造成数据传输的阻塞,因此局域网桌面管理系统必须有数据压缩功能,减少带宽占用。
|