好学IT学院:IT信息技术分享交流平台
标签:安全  来源:IT168  作者:沈之扬编译  发布时间:2008-12-10  ★★★加入收藏〗〖手机版
摘要:多年来,许多首席安全官因担心形形色色的病毒、特洛伊木马和蠕虫而寝食难安。而如今促使IT员工加强安全工作的却是内部员工。据弗雷斯特研究公司声称,绝大部分安全事件与内部员工有关,有些人估计这个比例高达85%。…

多年来,许多首席安全官因担心形形色色的病毒、特洛伊木马和蠕虫而寝食难安。而如今促使IT员工加强安全工作的却是内部员工。据弗雷斯特研究公司声称,绝大部分安全事件与内部员工有关,有些人估计这个比例高达85%。

员工无意犯下的错误、笔记本电脑被偷、承包商未经授权访问信息、满腹牢骚的员工、密码管理不当……所有这些因素意味着收入大幅减少、承担法律责任、工作效率降低以及品牌形象受损。

下面介绍几种主要的内部安全威胁以及如何避免的方法。

一、内部员工中了网络钓鱼的招

鱼叉式网络钓鱼(spear phishing)是一种企图利用电子邮件来实施欺诈活动的伎俩,针对某家特定的组织,企图擅自访问机密数据。据弗雷斯特研究公司的高级分析师Paul Stamp声称,虽然这种攻击谈不上是一种新出现的现象,但变得越来越狡猾。

Stamp说:“过去,网络钓鱼攻击往往来自某个被废黜的尼日利亚国王的请求。如今,网络钓鱼攻击几乎到了以假乱真的水平。”

造成后果:蒙在鼓里的员工向不怀好意的入侵者泄露了从密码到财务数据的各种机密信息。由于这些内部员工无法识别欺诈性网站和伪造的电子邮件消息,实际上向犯罪分子敞开了公司原先紧闭的大门。

难怪鱼叉式网络钓鱼攻击出现了数量激增的势头。赛门铁克探测网络(Symantec Probe Network)在今年上半年共检测到了166248封不同的网络钓鱼邮件,比去年上半年增加了6%。赛门铁克还阻挡了超过15亿封的网络钓鱼邮件,比去年上半年增加了19%。

解决办法:对付网络钓鱼的策略包括部署可显示网站实际域名的反网络钓鱼工具条,另外维护知名网络钓鱼网站名单,供员工查询。美国系统管理、网络和安全学会(SANS Institute)的研究主任Alan Paller表示,但是许多公司可能会忘了培训IT人员、开展公司安全意识活动。他建议,而是应当“针对内部员工开展善意的鱼叉式网络钓鱼演习活动….. 除此之外,没有其他解决办法。”

二、笔记本电脑不受控制

你不小心把笔记本电脑落在酒店、结果给清洁工捡到,带来的不仅仅是麻烦。据软件安全公司赛门铁克声称,笔记本电脑或其他数据存储介质被偷或丢失占到了与身份失窃有关的所有数据泄密事件的54%。

而这还不是全部。笔记本电脑被偷或丢失会导致公司遭受重大经济损失。计算机安全学会联合联邦调查局开展的计算机犯罪与安全调查显示,笔记本电脑被偷和专利信息被偷是导致调查对象遭受经济损失的第三大和第四大根源。不过,多达47%的调查对象在去年遇到了笔记本电脑/移动设备被偷事件。

笔记本电脑并不是惟一的安全风险。iPod播放器、“黑莓”手机和闪存棒等便携式设备拥有前所未有的磁盘存储功能,同时它们也带来了危险。这些小型工具不但让用户可以绕过防火墙之类的边界防线,还让员工可以把专利信息带到公司外面。更糟糕的是,Gartner公司估计,只有大约10%的企业针对可移动存储设备制订了相关的安全政策。

解决办法:公司应当要求员工使用启动密码来保护笔记本电脑,那样即使笔记本电脑被偷,至少数据对窃贼来说也毫无用处。要养成这种习惯:及时从所有便携式设备清除旧的电子邮件、文本消息、通话记录以及不需要的文件。

员工充分利用设备的内置加密功能和密码保护特性,这始终是个好主意。比方说,金士敦公司的绝密版锐盘(Data Traveler Elite Privacy Edition)这款USB闪存盘就能通过基于硬件的128位AES加密技术,动态保护全部数据的安全;如果密码连续输入25次、每次都失败,就会把潜在用户拒之门外。