企業(yè)安全建設(shè)中的首要漏洞是人為操作

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

防火墻+防病毒+防間諜+IPS/IDS+VPN……，越來(lái)越多的安全產(chǎn)品被架設(shè)到企業(yè)的網(wǎng)絡(luò)機(jī)房，擔(dān)任起保護(hù)企業(yè)網(wǎng)絡(luò)安全、信息安全的重任。然而看似無(wú)懈可擊、固若金湯的安全系統(tǒng)下，安全事故卻依然經(jīng)常發(fā)生。

病毒不會(huì)憑空感染，必然是有人誤入“禁地”。

攻擊不會(huì)憑空出現(xiàn)，除了黑客不斷變幻攻擊手段，必然有人有意無(wú)意為黑客開了“方便之門”。

機(jī)密信息不可能自己外泄，必然是有人的行為不當(dāng)導(dǎo)致信息暴露。

因?yàn)樵诎踩ㄔO(shè)的過(guò)程中，大部分安全產(chǎn)品都沒(méi)有把“人”的因素考慮進(jìn)去。

過(guò)去，病毒通常依靠軟盤、光盤傳播，傳播速度慢，擴(kuò)散范圍小。而今，借助網(wǎng)絡(luò)、漏洞傳播的病毒隨時(shí)都可能蔓延至全球，更主要的是，現(xiàn)在的病毒更加充分地充分利用了社會(huì)工程學(xué)原理，通過(guò)各種“利誘”讓用戶染毒上身。

黑客都是利用漏洞來(lái)攻擊，但是這個(gè)“漏洞”不單單是指未及時(shí)修補(bǔ)的系統(tǒng)漏洞，還包括了很多人為造成的“管理方面”的漏洞，比如：訪問(wèn)帶有誘惑性的網(wǎng)頁(yè)導(dǎo)致被植入后門程序，不加控制管理的隨意下載導(dǎo)致木馬感染……不管是有意還是無(wú)意，人為產(chǎn)生的“漏洞”已經(jīng)成為黑客攻擊的最佳途徑。

上網(wǎng)行為管理專家陸繼周先生認(rèn)為：“道理其實(shí)很簡(jiǎn)單，安全威脅除了利用系統(tǒng)漏洞和安全產(chǎn)品的疏忽，更多的還是要借助社會(huì)工程學(xué)，借助缺乏安全意識(shí)的“人”的上網(wǎng)行為，才得以進(jìn)駐網(wǎng)絡(luò)和系統(tǒng)。”

因此，安全建設(shè)最大的缺失，就是無(wú)法對(duì)“人”進(jìn)行有效管理。

事實(shí)上，“人”的行為帶來(lái)的，遠(yuǎn)不只安全威脅這么簡(jiǎn)單。

以員工的網(wǎng)絡(luò)訪問(wèn)行為為例，如果不加以控制，就會(huì)帶來(lái)各種危險(xiǎn)。比較常見(jiàn)的包括：

◆ 帶寬被蠶食。企業(yè)帶寬雖然不斷擴(kuò)大，業(yè)務(wù)應(yīng)用卻依然得不到滿足，這就是網(wǎng)絡(luò)資源濫用的直接后果了，因?yàn)椴患酉拗频腜2P下載、在線視頻等就是網(wǎng)絡(luò)帶寬的最大殺手。

◆ 效率被降低。炒股、聊天、購(gòu)物、游戲等行為，與工作無(wú)關(guān)的視頻、語(yǔ)音、圖片、文檔的上傳和下載，必然帶來(lái)嚴(yán)重的生產(chǎn)力流失。

◆ 機(jī)密被泄漏。女秘書PK老板的EMC“郵件門”事件、惠普“電話門”事件等，都在告訴我們一個(gè)事實(shí)：通過(guò)外發(fā)郵件、BBS論壇等導(dǎo)致內(nèi)部機(jī)密信息泄漏的現(xiàn)象越來(lái)越普遍。企業(yè)/機(jī)構(gòu)賴以生存的機(jī)密信息，很可能會(huì)被在職甚至離職員工有意或無(wú)意地泄露出去。

在安全體系建設(shè)過(guò)程中，除了要對(duì)“事”，更要對(duì)“人”！

“三分技術(shù)七分管理”，一直是安全領(lǐng)域的至理名言。三分技術(shù)，防治的更多的是已知的各種安全威脅；七分管理，則主要針對(duì)人，無(wú)論是通過(guò)各種安全制度約束，還是利用各項(xiàng)技術(shù)對(duì)人進(jìn)行管理，目的都是約束“人”的行為，不給安全威脅可乘之機(jī)。

那么，七分管理，您究竟執(zhí)行了幾分？您的安全制度究竟有多少能夠被執(zhí)行？能否制止員工訪問(wèn)危險(xiǎn)的網(wǎng)站或進(jìn)行不當(dāng)?shù)牟僮?？能否提前一步阻止機(jī)密信息的外發(fā)？

陸繼周先生介紹說(shuō)：“利用上網(wǎng)行為管理產(chǎn)品，企業(yè)可以對(duì)內(nèi)部“人”的行為進(jìn)行細(xì)致、有效的管理，為員工劃清安全的道路，封閉可能帶來(lái)安全隱患的渠道，讓人的行為可控，從而實(shí)現(xiàn)更加安全的目標(biāo)。”

“制度”雖然在一定程度上具有約束力，但它卻和網(wǎng)絡(luò)的復(fù)雜度成反比。越是復(fù)雜的網(wǎng)絡(luò)，就越難對(duì)“人”進(jìn)行管理，但也更需要對(duì)人進(jìn)行有效管理。根據(jù)IDC 的調(diào)查，目前在歐洲和美國(guó)有80%的公司在監(jiān)控員工的在線行為，而在世界500強(qiáng)企業(yè)中，絕大多數(shù)企業(yè)對(duì)員工的郵件、MSN等上網(wǎng)行為進(jìn)行監(jiān)控，而且這一舉措得到了法律條文上的支持。例如美國(guó)的《薩班斯•奧克斯利法案》和中國(guó)公安部第82號(hào)令《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，都明確規(guī)定了連接到互聯(lián)網(wǎng)上的單位要做到記錄并留存用戶上網(wǎng)信息，并要求聯(lián)網(wǎng)單位要依此規(guī)定落實(shí)記錄留存的技術(shù)措施。

所以，安全防護(hù)的重點(diǎn)應(yīng)該在對(duì)“人”的管理。

安全不是可以一勞永逸的事情。即使網(wǎng)絡(luò)中部署了眾多安全產(chǎn)品，即使您層層設(shè)防，只要“人”的問(wèn)題沒(méi)有解決，就不代表您的網(wǎng)絡(luò)是安全的。（CBISMB）