安全雜談：企業安全建設中的最大漏洞－－人

【賽迪網-IT技術報道】防火牆+防病毒+防間諜+IPS/IDS+VPN……，越來越多的安全產品被架設到企業的網絡機房，擔任起保護企業網絡安全、信息安全的重任。然而看似無懈可擊、固若金湯的安全系統下，安全事故卻依然經常發生。

最大的危險源是「人」

病毒不會憑空感染，必然是有人誤入「禁地」。

攻擊不會憑空出現，除了黑客不斷變幻攻擊手段，必然有人有意無意為黑客開了「方便之門」。

機密信息不可能自己外洩，必然是有人的行為不當導致信息暴露。

反向思考，各種網絡威脅也不可能攻入無懈可擊的網絡。傳統的病毒、已知的攻擊、明確的垃圾郵件，通常都會被對應的安全產品擋在門外。

但您的網絡為什麼依然不安全？

因為在安全建設的過程中，大部分安全產品都沒有把「人」的因素考慮進去。

最新的安全漏洞「人」

過去，病毒通常依靠軟盤、光盤傳播，傳播速度慢，擴散範圍小。而今，借助網絡、漏洞傳播的病毒隨時都可能蔓延至全球，更主要的是，現在的病毒更加充分地充分利用了社會工程學原理，通過各種「利誘」讓用戶染毒上身。

黑客都是利用漏洞來攻擊，但是這個「漏洞」不單單是指未及時修補的系統漏洞，還包括了很多人為造成的「管理方面」的漏洞，比如：訪問帶有誘惑性的網頁導致被植入後門程序，不加控制管理的隨意下載導致木馬感染……不管是有意還是無意，人為產生的「漏洞」已經成為黑客攻擊的最佳途徑。

上網行為管理專家，北京網康科技公司的陸繼周先生認為：「道理其實很簡單，安全威脅除了利用系統漏洞和安全產品的疏忽，更多的還是要借助社會工程學，借助缺乏安全意識的「人」的上網行為，才得以進駐網絡和系統。」

因此，安全建設最大的缺失，就是無法對「人」進行有效管理。

「人」的威脅不僅限於安全

事實上，「人」的行為帶來的，遠不只安全威脅這麼簡單。

以員工的網絡訪問行為為例，如果不加以控制，就會帶來各種危險。比較常見的包括：

◆ 帶寬被蠶食。企業帶寬雖然不斷擴大，業務應用卻依然得不到滿足，這就是網絡資源濫用的直接後果了，因為不加限制的P2P下載、在線視頻等就是網絡帶寬的最大殺手。

◆ 效率被降低。炒股、聊天、購物、遊戲等行為，與工作無關的視頻、語音、圖片、文檔的上傳和下載，必然帶來嚴重的生產力流失。

◆ 機密被洩漏。女秘書PK老闆的EMC「郵件門」事件、惠普「電話門」事件等，都在告訴我們一個事實：通過外發郵件、BBS論壇等導致內部機密信息洩漏的現象越來越普遍。企業/機構賴以生存的機密信息，很可能會被在職甚至離職員工有意或無意地洩露出去。

在安全體系建設過程中，除了要對「事」，更要對「人」！

七分管理你還缺幾分

「三分技術七分管理」，一直是安全領域的至理名言。三分技術，防治的更多的是已知的各種安全威脅；七分管理，則主要針對人，無論是通過各種安全制度約束，還是利用各項技術對人進行管理，目的都是約束「人」的行為，不給安全威脅可乘之機。

那麼，七分管理，您究竟執行了幾分？您的安全制度究竟有多少能夠被執行？能否制止員工訪問危險的網站或進行不當的操作？能否提前一步阻止機密信息的外發？

網康上網行為管理產品擁有Web訪問過濾、網絡應用控制、帶寬流量管理、信息收發監控、互聯網活動審計等5大功能，能夠做到細化、量化的上網行為管理效果，幫助企業全面的管理內部人員的上網行為，提升工作效率，降低安全風險。

陸繼周先生介紹說：「利用上網行為管理產品，企業可以對內部「人」的行為進行細緻、有效的管理，為員工劃清安全的道路，封閉可能帶來安全隱患的渠道，讓人的行為可控，從而實現更加安全的目標。」

「制度」雖然在一定程度上具有約束力，但它卻和網絡的複雜度成反比。越是複雜的網絡，就越難對「人」進行管理，但也更需要對人進行有效管理。根據IDC的調查，目前在歐洲和美國有80%的公司在監控員工的在線行為，而在世界500強企業中，絕大多數企業對員工的郵件、MSN等上網行為進行監控，而且這一舉措得到了法律條文上的支持。例如美國的《薩班斯‧奧克斯利法案》和中國公安部第82號令《互聯網安全保護技術措施規定》，都明確規定了連接到互聯網上的單位要做到記錄並留存用戶上網信息，並要求聯網單位要依此規定落實記錄留存的技術措施。

所以，安全防護的重點應該在對「人」的管理。

安全不是可以一勞永逸的事情。即使網絡中部署了眾多安全產品，即使您層層設防，只要「人」的問題沒有解決，就不代表您的網絡是安全的。

(