内容摘要:本文总结出了十条“计算机安全陋习”,希望大家看看自己犯了其中哪些错误,有则改之,无则加冕。
实际上,公司的安全措施应扮演业务推动者而不是扼杀者的角色。“应该这么看:有了安全措施,什么是你以前做不了而现在可以做的事?它又是怎样去推动公司业务的发展的?” Maiwald说。
正确做法:引入一套变化管理系统(CMS)可以有效地解决推动新业务,同时对安全进行维护的矛盾。
陋习五、对内对外不设置或不细分访问权
现在很多企业网络缺少有效的访问权控制,只要你有了一个可以进入的用户名和密码,企业所有的机密都将暴露在你眼前。如果你是企业的业务合作伙伴而你只
需要访问企业的某个特定的网站,你很可能会发现自己手中的数字护照简直像隐身衣一样可以让你畅通无阻。
如果企业内部系统或网络没有一套访问控制和授权机制,那简直就和坐在火山口上一样危险。“如果被攻击者侵入了,或者内部出现了心怀叵测之人,那就彻底玩完了。” Wysopal说道。“在企业内部网络实施访问控制或对关键网络进行适当的隔离,就不会像现在这样离危险只有一步之遥了。”
那些现在已经完成或正在部署无线局域网的公司,问题尤其严重。其中很多根本没有对无线接入点进行配置以限制只许公司员工进入,于是只要任何人处在无线信号覆盖到的区域他就能轻松进入公司网络。“只要把笔记本带到纽约的金融区或市中心,你就能发现大量不设防的无线接入点。” Mellis说道。
为员工和访问者分配不同的访问权限使其能完成各自的工作,是相当重要的,安全管理员应该也值得为此付出相应的时间和劳动。而且别忘了系统管理员也不能例外,同样不能赋予系统管理员不该有的访问权。
正确做法:要重视访问权控制,对用户身份进行集中管理,并采取一些切实有效的安全措施,比如对登录系统失败的行为进行记录,把关闭所有不需要的网络服务作为一种习惯保持下去,任何人离开公司后就应该马上收回其访问权。
责编:豆豆技术应用