十种最糟糕的不安全行为

　　万事达4000万资料被窃，酿成有史以来最大隐私泄露案。安全专家们一直在不断寻觅那些经实践证明切实可行的方法，以便我们可以用来确保网络和数据的安全。而实际上，这些专家们最多看到的往往是一些不正确的危及系统安全的行为和想法，有些甚至是非常危险的。鉴于一个重大错误有时比一大堆最佳实践更具有指导意义，本文列出了十个最糟糕的不安全行为，这是采访了十多名安全顾问后写成的，读者不妨看看哪些就发生在自己身上，然后听听相关建议。

　　1 过于依赖工具

　　信息安全专业人员当中存在一种普遍而危险的看法: 每个问题总有相应的工具可以解决。只要我们采用了合理的技术: 防病毒、防垃圾邮件、防火墙、补丁管理器、虚拟专用网(VPN)、公钥基础设施(PKI)、入侵预防系统(IPS)和入侵检测系统(IDS)，我们就高枕无忧。

　　问题在于，产品的效果完全取决于配置及监控产品的人。优利系统公司的安全顾问John Pironti说: “工具只能帮助你，却不能为你完成所有工作。要始终记住，我们至少比计算机聪明50%，计算机只知道‘是’和‘不’，而我们还知道‘也许是’。我们可以评估更多的不确定因素，因为我们可以从诸多方面来利用工具。”

　　以入侵检测和入侵防御系统为例。它们从盒子里拿出来后并不能直接很好地发挥作用，你必须教它们如何进行检测。一旦投入使用后，你就得监控日志，寻找攻击模式。就连有些在配置IDS及IPS产品方面做得很到位的IT公司也会出岔子，原因就是它们对这些工具生成的大量日志报告监控不力。

　　马萨诸塞州萨德伯里的安全专业公司的安全顾问Mark Mellis说: “问题在于，没有明确由谁负责这项工作。“这些产品很烦人。它们会生成大量的日志信息。人们只有在磁盘被占满后才会去看一下，然后丢弃许多数据。”

　　Mellis和他的同行说，这是一个错误，因为只要认真查看日志——哪怕是迅速浏览一下，就可以了解系统运行状况及有人试图发动哪些攻击方面的许多信息。那样，你就可以设置工具，从而寻找攻击模式、发出报警。这是个不断调整的过程。

　　过于依赖工具也会导致矫枉过正，这可能会导致看不到全局。如果你面临垃圾邮件问题，购买功能强大的过滤器显然是个办法。但如果这个工具设置的规则过严，就会发生误报——许多合法的电子邮件就会受到影响。

　　用户往往会因为同样的原因禁用桌面防火墙的功能。如果在下载实用程序或者MP3文件时，频频遇到弹出的警告信息，他们就会感到恼火。顾问们说，从中得出的教训是，确保数据安全绝不仅仅是采用一大堆产品。Mellis说:“安全不是可以用钱买来的，而是看你怎么去做。”

　　正确做法: 如果你面临大量的日志数据，不妨考虑购买安全信息管理系统(SIM)，譬如GuardedNet公司的neuSecure。

　　2 忽视人为因素

　　一旦你接受了这个事实: 安全不但是技术问题，更是行为问题，就会开始知道制订及执行安全策略是多么重要。

　　伯顿集团的安全分析师Eric Maiwald说: “目前大家在谈论的热点问题是什么?那就是网页仿冒!网页仿冒涉及社会工程学，就是骗用户做自己希望他们做的事，譬如把个人信息透露给自己。安全产品防范这种事情作用有多大?作用不大。这涉及安全意识。”

　　公司的安全策略结合了技术和员工行为。策略的制订需要业务和IT领导人的共同努力。当然，有些策略主要依靠技术(如根据PC配置限制其使用)，而其他策略纯粹依靠行为(如不要把口令写在黄颜色粘贴便条上)。两者同样重要。

　　正确做法: 如果你没有安全策略，就拟写一份，并且确保贵组织的每个人都了解该策略。

　　3 只要能解决掉眼前的问题就行

　　最近进行的安全战略部署调查发现，大约43%的公司没有安全策略。IBM的企业安全战略部门主管Stuart McIrvine认为，他知道个中原委。McIrvine领导的八人小组负责监督IBM的整个产品组合的安全策略，他说: “他们是根据一个个具体的事件做出决策的，而缺少全面的风险管理策略。”

　　让这个问题更严重的是这一事实: 数据安全历来是IT部门的一项职能，而技术专长被认为起着至关重要的作用。得克萨斯州奥斯丁的Veridyn安全专业公司的顾问Doug Landoll说，结果是，交叉部门(人力资源、法律与培训等部门)的工作被安全人员认为是别人的工作。技术专家的培训方式就是学会利用技术解决问题。

　　幸好，企业风险管理策略有助于弥补各种IT领域之间的缝隙。赛门铁克全球服务部门的开发主管Chris Wysopal说，譬如讲，许多系统管理员在推广新服务器时，根本不进行任何安全测试工作。他说: “他们没有采取额外措施，看看我实施的系统有没有危及网络安全?”比如说，使用某个系统上的默认口令有可能为访问其他系统提供机会。

　　另外，使用综合方法可以解决一些最重要的安全问题。Mellis说: “通过更改思科路由器的访问控制列表，我就可以解决许多Windows问题。”

　　企业风险管理策略可以让所有相关方知道需要优先处理哪些工作。McIrvine说，如果你是网上零售商，文件服务器每天会创造1700万美元的收入，那么与员工门户网站相比，你需要下更多的力气来保护这些服务器。马萨诸塞州纳提克的数据安全系统公司的总裁Sanford Sherizen建议，在进行任何重大的系统改进或者工作场所变化之前，需要评估一下对安全的影响。

　　正确做法: 组建一支跨部门小组，查明组织需要注意的危险区域。