保护企业网络和数据安全 十大计算机安全陋习

　　解决办法就是用户在接入网络之前必须接受相应的安全检查。“当你用VPN连进来时，首先将通过一段非信任区，在那里你的计算机要被扫描和验证是否安全，然后才会被允许访问内部资源。”

　　而且还应该对VPN进行配置以限制外部用户的权限。“你需要访问公司所有的资源吗?应不应该允许你在家里做开发?如果对公司来说软件是绝对机密的，那么从公司外部连入的用户就不应该有访问这些软件资源的权限。” Wysopal说道。

　　密码策略如果设计不好，也会有安全隐患。这是一个很微妙的“如何平衡”的问题，如果密码策略太严格了，比如要求你必须同时使用字符和数字，至少八位长度而且还得经常更换的话，那么用户很可能就会因为怕记不住而把密码写在纸条上;但如果密码策略太宽松了，那些简单的密码又很容易被猜出来。就看你如何找到平衡点了。

　　正确做法：除了有网络访问控制系统之外还应该部署外来用户安全检疫系统。

　　陋习十、对用户有太多要求，有些甚至是强迫性的

　　有时候过分要求安全反而会促使用户采取一些消极的手段来逃避。举个例子，员工早上来上班，首先，进入Windows需要密码，进入Novell服务器也需要密码，进入销售管理程序还需要密码，好不容易等输完所有密码进去了，还得忍受各种各样来自桌面防火墙、防垃圾邮件、防病毒软件的警告信息。

　　结果怎样呢?一旦用户登录以后，他们就再也不想退出了，即使是晚上下班回家也不退出，因为第二天来又要重复这个过程，这实在是太讨厌了。为了让桌面防火墙和防病毒程序能安静点，很多用户都选择把它们的安全级别设到最低。

　　因此，Unisys的顾问Pironti建议允许使用短而好记的密码。他举出银行的例子来证明这种策略是可行的。

　　“银行一直以来都很小心，不对用户做太多要求。” Pironti说，“看看PIN码，使用的是四位数字，数字安全领域的专家可能会觉得这远远不够保险，利用随机数字产生器很容易就能猜出来，而且用户很可能会选择用出生年月做密码。那银行为什么还决定这么做呢?因为它们考虑到绝大多数人的记性不会差到需要把四位数字写在纸上的地步。”

　　对银行来说，短密码带来的好处要胜过它的安全隐患。今天大家在使用ATM的时候都不会考虑太多的安全问题，因为大家都相信银行。

　　当然，解决安全中的复杂性，最好的方案就是采用统一用户身份管理系统，有了它，一张智能卡不但能开公司的门还能帮你登录计算机系统，不用密码，省了麻烦。但这种方案需要物理安全和数字安全的紧密配合，而一般这种系统都很昂贵。

　　正确做法：不要对用户要求太多，一套用户身份管理系统能帮你解决不少问题。

　　总结

　　上述这些陋习都是过程和行为的问题而不仅仅是技术问题。不是说技术不重要，但正确的安全观念在于你是否能意识到可能出现的问题，并是否了解到该如何进行安全保护。而且大家常常缺少大局观，弄不清楚或者意识不到某个部分的改变是否会对整体造成影响。我们只有在接受了“安全威胁总是会出现”这样一个事实后，才能总结出一些可靠的经验。