用户行为让网络面临风险

   行为走向失控

    作为Bunker Hill社区学院的CIO，Bret Moeller支持学生学习一部分试验性质的技术，但是如果这些独立的学生不在学院网络中进行黑客活动，他会更高兴。

    负责管理和保护波士顿地区学院网络的Bret Moeller说：“有一些学生在学校发现他们生活中的全部乐趣就是入侵学院的网络，收集他们无权访问的信息或者只是为了证明自己的能力而毁掉网络。”

    他说：“我们可以检测到我们网络上的扫描活动，我们设法尽可能多地锁住东西或者不允许在工作站上安装软件，但是有时我们的保护措施会存在漏洞。我们不能像企业环境中的管理人员那样控制最终用户，但我们仍必须采取尽可能多的措施来保护我们的环境不受最终用户的破坏。”

    Ponemon Institute调研公司进行的研究显示，多数用户违反公司安全标准，并且是有意为之。此外，RSA刚刚公布的调查数据显示，“可信赖”的内部人员由于他们每天的行为而“造成大范围的数据泄露。”

    达拉斯Mary Kay Cosmetics公司技术负责人Steve Moore说：“最终用户比以前更聪明。PC出现在家庭中而不再只是办公室中的设备，这种变化挑战了企业IT人员的权威，造就了一个不同的环境。”

    此外，用户可以容易地找到如何避开企业政策的详细描述，这类信息可以从数不清的Internet网站得到，甚至白纸黑字地印在像《华尔街日报》这样的出版物上。

    用户的挑战

    在遵从性法规成为必须执行的规定的情况下，IT经理左右为难。

    凤凰城White Electronic Designs公司IT副总裁James Kritcher说：“我们一直在设法平衡对信息大范围访问的需要与保护信息不被非法和不当使用的要求。我们现在拥有大量的账户、口令和其它机制来管理对不同资源的访问。由此而来的开销和复杂性增加了允许不当访问的可能性。”

    例如，如果用户透露太多的信息或忽视更新口令，会在不知情的情况下将不合适的访问权交给同事、朋友和家人。Craig Bush发现用户中缺少的一样东西是口令安全性。他说公司制定了政策来确保口令不被滥用或被透露，可是用户把管理口令看做是一种麻烦而不是一种安全措施。

    Bush是佛罗里达州Gainesville市Exactech公司网络管理员。他说：“可笑的是，最终用户不认为口令是个重要的东西，当我们要求他们改变或更新口令字时他们认为我们这样做是给他们添麻烦。一般的口令安全性是我认为大多数最终用户中缺少的一块。他们没有意识到现在存在可以利用他们的口令来获取信息和破坏整个网络的技术。”

    另一些时候，正是更精通技术的用户制造最大的麻烦。加拿大不列颠哥伦比亚省劳工与公民服务部数据网络运营经理Martin Webb说，用户试图在工作场所安装消费级无线路由器。

    Webb说：“消费级路由器出厂时将关闭了所有安全设备，以方便安装，但这也直接给网络安全造成安全漏洞。它似乎是件无害的事情，并且通常他们部署这类路由器时并无恶意，但这仍是必须控制的东西，否则我们面临严重的风险。”

    业务与生活混合

    另一个常见问题是用户试图把工作带回家，但结果是带走一些本不应当带离企业网络和设施的数据。例如，据旧金山国际律师事务所Pillsbury Winthrop Shaw Pittman网络服务工程主管Albert Ganzon说，使用不当的U盘会让公司倒闭。鉴于他几乎不可能保护保存在优盘上的信息的安全，因此保护公司和客户数据安全的责任让Ganzon处于一种高度的戒备状态。

    他解释说：“U盘使得有人下载任何数据并带着它离开是那么的容易。我们不能防止这种事情的发生。我们不可能在不减弱优盘的其它合法功能的情况下关闭它。保持客户数据的机密性对于我们来说至关重要，在存在数据泄露的可能时，这是个非常难对付的问题。”

    Ganzon不一定认为用户有意让网络、公司和客户面临风险，但是在完成自己的工作时，他们可能避开某些安全政策，不考虑可能的后果。他说：“如果数据丢失或被盗，人们根本不知道他们这时造成的风险。”

    Chris Majauckas对此表示赞同。这位波士顿Metrocorp Publications公司计算机技术经理说，用户在某些情况下认为他们遵守安全政策，但继续用他们的行动制造巨大的风险。例如，他的安全烦恼之一就是员工通过公司的PC登录到企业网络上从个人邮件账户下载电子邮件。

    Majauckas说：“从个人电子邮件账户下载电子邮件附件是病毒攻击的主要来源之一。如果他们使用企业邮件，我们可以查杀邮件携带的病毒。但他们认为最好不把企业电子邮件用于个人使用，因此他们以那种我们无法扫描病毒的方式打开电子邮件。我不会依靠Google查杀我的网络上的病毒。”

    对于田纳西州Jackson市Reviere & Bell律师事务所IT管理员Koie Smith来说，上Internet网冲浪和访问像MySpace或FaceBook这样的个人网站的用户造成重大风险，以致他使用一种叫做Squid的基于Linux的代理服务器进行内容过滤和切断对那些网站的访问。首先，他十分肯定那些网站不被用于工作目的。除此之外，Smith说他发现那些网站以及另一些网站充斥着随时进入他的企业网络的间谍件。

    Smith说：“尽管我们由于生产力的原因需要Internet，但浏览Web显然是个问题，因为用户会从网上带来间谍件或病毒。在计算机缺少足够的保护措施，甚至在一些情况下采取了足够的保护措施时，Internet上的病毒仍可能由于用户浏览他们不应当浏览的网络而损失你的网络。”他补充说内容过滤还起到保护合法保护用户和机构的作用。“Internet上有许多我们的公司不允许现出在工作场所的东西，不受限制的Web浏览为它们打开了大门。”

    需要更多的教育

    麻省Springfield市MassMutual Financial Group的CISO Bruce Bonsall最担心的是大多数企业雇员混在一起的工作和家庭生活容易给网络留下安全漏洞，使雇员容易受到攻击。他说他还当担心用户没有受到有关安全政策或潜在威胁的那些他们本应受到的教育。

    Bonsall说：“我认为人们会停止把工作和生活混在一起是不现实的。我们必须依靠他们在打开链接时保持良好的卫生习惯，尽力阻止外面的污水涌进企业网络。”

    就他而言，像网页钓鱼和僵尸网络这样的有针对性的攻击让他感到担心，因为它们可以利用没有及时接受企业教育的用户。他说，像网络访问控制和安全信息管理等技术可以帮助保护网络，但也仅仅提供一定程度上的保护。随着攻击变得更加复杂，用户教育是惟一选择。

    Bonsall说：“坏人们正在把目标瞄准高级网络工作人员和高级经理，这很麻烦。他们利用的与目标有关的信息越多，有的人，甚至精明的最终用户，就越有可能上当。”

    杜绝危险的办法

    教育用户保持良好的安全习惯，尽量远离风险
    可能的话，不要将工作带回到家里
    网络准入控制能起到一定的作用
    基于Web的安全防护是企业必须做的
    企业必须平衡内部员工对信息访问的需求