作为邦克山社区学院的CIO,Bret Moeller支持学生们积极试用技术,毕竟,这是学生教育的一个方面;但是如果学生们朝廷的独立研究不涉及擅自闯入学院的网络,他会更高兴。
负责为波士顿地区的这家学院管理及保护网络的Moeller说:“有些学生在学校发现,他们生活中的全部乐趣就是闯入学院网络,不是收集他们无权访问的信息,就是破坏网络以证明自己有这个本领。”
他说:“我们能检测到我们网络上的扫描活动,设法把尽可能多的内容保护起来,或者不允许软件安装在工作站上,但有时候我们的保护机制会存在漏洞。我们对最终用户的控制不可能做到像企业环境那样严密,但仍得采取尽可能多的措施来保护自己的环境不受最终用户的破坏。”
其实,不单单只有Moeller面临这种困境,许多公司的网络与安全管理人员也面临同样的难题,
波耐蒙研究所(Ponemon Institute)的近期研究显示,绝大多数用户不遵守公司制订的安全标准,有的还有意为之。另外,RSA刚刚公布的调查数据显示,可信赖的内部人员由于日常行为“带来了高得异常的数据泄露风险。”
达拉斯玫琳凯化妆品公司的技术负责人Steve Moore说:“最终用户比过去来得更聪明。PC出现在家庭中,而不再仅仅出现在办公室,加上人们能够查证IT人员对自己所说的内容,这带来了不同的环境。”
另外,用户很容易从数不胜数的网站上找到教人如何避开公司政策的详细内容,连《华尔街日报》这样的出版物都有清楚的相关介绍。
由于需要不断遵从法规,IT主管们陷入了左右为难的境地。
菲尼克斯城怀特电子设计公司的IT副总裁James Kritcher说:“一方面日益需要访问更多信息,另一方面要求保护信息、避免擅自使用及不当使用,我们在不断努力平衡这两者之间的关系。我们现在有越来越多的帐户、密码及其他机制来管理对各种资源的访问。由此带来的开销和复杂性加大了允许不当访问的可能性。”
比方说,如果用户共享太多信息或者忘了更新密码,就会在无意中把不合适的访问权授予同事、朋友和家人。Craig Bush发现用户当中缺失的一个环节是密码安全。他说,公司已制定了政策来确保密码不被滥用或者被透露,但是用户认为管理密码是一件麻烦的事,而不是一项保护措施。
Bush是佛罗里达州盖恩斯维尔Exactech公司的网络管理员,他说:“可笑的是,最终用户根本不把密码当回事;我们要求他们改变或者更新密码时,他们还以为我们这么做只想给他们增添麻烦。我发现,基本的密码安全机制是大多数最终用户当中缺迭的一个环节。他们根本没有意识到现在有技术能够利用他们的密码来获取信息、破坏整个网络。”
而另一些时候,带来最大麻烦的恰恰是比较精通技术的用户。加拿大不列颠哥伦比亚省劳工与公民服务部的数据网络运营经理Martin Webb说,用户试图在工作场所安装消费者无线路由器。
Webb说:“消费者路由器在交付时关闭了所有安全设置,以便安装,不过这也直接给网络安全带来了安全漏洞。这似乎没什么不对;相关人员在安装时也没有什么恶意,但我们对此仍得密切关注,不然会面临重大风险。”
工作与生活混在一起
另一个常见问题就是用户试图把工作带回家――但结果把一些不该离开企业网络和工作场所的数据也带回了家。据旧金山国际律师事务所必百瑞(Pillsbury Winthrop Shaw Pittman LLP)的网络服务与工程主管Albert Ganzon声称,比方说,要是拇指驱动器即USB闪存盘使用不当,可能会让一家公司倒闭。考虑到几乎不可能为闪存盘上保存的信息确保安全,负责保护公司和客户数据让Ganzon处于高度警惕的状态。
他解释说:“有了闪存盘,某人下载任何数据的拷贝、然后溜之大吉变得轻而易举。我们没法在这种事件发生之前有所发现。我们也没法在不影响USB闪存盘其他合法功能的情况下禁用它。确保客户数据的机密性对我们来说至关重要;一旦可能出现数据泄露,这是非常棘手的方面。”
Ganzon不一定认为用户有意让网络、公司及客户面临风险,但用户在处理工作时,可能会避开某些安全政策,而不考虑可能带来的后果。他说:“即便数据丢失或者被偷,人们有时也压根儿不知道自己造成的风险。”
Chris Majauckas同意上述说法。波士顿大都市出版公司(Metrocorp Publications)的这名计算机技术经理表示,用户在某些情况下认为自己在遵守政策,而他们的行为继续在带来重大风险。比方说,最令他烦恼的安全问题之一就是,用户通过公司的个人计算机登录到公司网络上,却通过私人帐户下载电子邮件附件。
Majauckas说:“下载来自私人电子邮件的邮件附件是病毒攻击的主要途径之一。如果他们使用公司邮箱,我们就可以进行检查、搜寻病毒;但是他们使用私人邮箱来处理公司电子邮件,这样一来,他们打开邮件时,我们无法扫描、搜寻病毒。我才不会依赖谷歌邮箱来检查我网络上的病毒。”
对田纳西州杰克逊Rainey, Kizer, Reviere & Bell律师事务所的IT管理员Koie Smith来说,上网冲浪及访问MySpace或者FaceBook等个人网站的用户带来了重大风险,以至于他使用一种名为Squid的基于Linux的代理服务器对内容进行过滤,并禁止对这些网站进行访问。举例说,他相当肯定这些网站并不用于工作目的;除此之外,诸如此类的网站充斥着随时潜入他公司网络的间谍软件。
Smith说:“尽管我们为了提高工作效率而需要上网,但上网浏览显然是个问题,因为用户会带来间谍软件或者病毒。如果计算机上缺乏足够的保护――甚至在某些情况下得到了足够保护,为非作歹的病毒仍有可能因某个用户浏览了不该浏览的网站而致使网络动弹不得。”他补充说,内容过滤还有助于合法保护用户和公司。“网上有我们公司不允许出现在工作场所的东西,不受限制的上网浏览无异于为此打开了大门。”
需要加强教育
Bruce Bonsall是马萨诸塞州斯普林菲尔德大众互助人寿保险公司(MassMutual Financial Group)的首席信息安全官,他最担心的是,大多数公司员工把工作与家庭生活混在了一起,这给网络留下了安全漏洞,员工也容易遭到攻击。他说,他还对用户群体没有在安全政策或者潜在威胁方面得到应有的教育表示了担忧。
Bonsall说:“我觉得,认为人们不会再把工作与个人生活混在一起是不现实的。我们必须依靠他们在打开链接时采取正确的做法,并且设法阻止外面的种种安全威胁进入公司网络。”
对他而言,像网页钓鱼(phishing)和捕鲸(whaling,把公司高官选作下手目标的电子邮件欺骗手法)这些有针对性的攻击让人担心,因为这些攻击会利用用户没有及时接受公司教育方面的漏洞。他表示,网络访问控制和安全信息管理等技术有助于保护网络,但帮助非常有限。随着攻击变得更加狡猾,用户教育成了惟一选择。
Bonsall说:“坏人们现在把目标对准了重要的网络工作人员和高级主管,这让人非常不安。坏人所能利用的与目标有关的信息越多,对方(哪怕精明的最终用户)上当受骗的可能性就越大。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
隐藏Word功能可能导致系统信息泄露
研究人员发现一个隐藏的微软Word功能,该功能可能被攻击者滥用以获取受害者的系统信息。
-
Delta航空公司Deborah Wheeler:从数据泄漏事故中学习经验
从Word到航空公司:Deborah Wheeler在2月份接受了新的挑战,担任Delta航空公司首席信息安全官。新工作状态如何?旅游业
-
隐私vs.安全:该如何平衡?
中国的《网络安全法》已于今年6月1日正式开始实行,这给现代企业在维护信息隐私和安全性方面带来更多的挑战,也将对如何平衡隐私和安全性的探讨推上风口浪尖。
-
Project Zero发现Cloudflare漏洞:已致百万客户数据泄露
谷歌的Project Zero发现一个严重Cloudflare漏洞,该漏洞可能已经导致Cloudflare内容交付网络托管的数百万网站的客户数据泄露。