用户危险网络行为让其网络面临风险

    【IT168专稿】作为邦克山社区学院的CIO，Bret Moeller支持学生们积极试用技术，毕竟，这是学生教育的一个方面；但是如果学生们朝廷的独立研究不涉及擅自闯入学院的网络，他会更高兴。

    负责为波士顿地区的这家学院管理及保护网络的Moeller说：“有些学生在学校发现，他们生活中的全部乐趣就是闯入学院网络，不是收集他们无权访问的信息，就是破坏网络以证明自己有这个本领。”

    他说：“我们能检测到我们网络上的扫描活动，设法把尽可能多的内容保护起来，或者不允许软件安装在工作站上，但有时候我们的保护机制会存在漏洞。我们对最终用户的控制不可能做到像企业环境那样严密，但仍得采取尽可能多的措施来保护自己的环境不受最终用户的破坏。”

    其实，不单单只有Moeller面临这种困境，许多公司的网络与安全管理人员也面临同样的难题，

    波耐蒙研究所（Ponemon Institute）的近期研究显示，绝大多数用户不遵守公司制订的安全标准，有的还有意为之。另外，RSA刚刚公布的调查数据显示，可信赖的内部人员由于日常行为“带来了高得异常的数据泄露风险。”

    达拉斯玫琳凯化妆品公司的技术负责人Steve Moore说：“最终用户比过去来得更聪明。PC出现在家庭中，而不再仅仅出现在办公室，加上人们能够查证IT人员对自己所说的内容，这带来了不同的环境。”

    另外，用户很容易从数不胜数的网站上找到教人如何避开公司政策的详细内容，连《华尔街日报》这样的出版物都有清楚的相关介绍。

    由于需要不断遵从法规，IT主管们陷入了左右为难的境地。

    菲尼克斯城怀特电子设计公司的IT副总裁James Kritcher说：“一方面日益需要访问更多信息，另一方面要求保护信息、避免擅自使用及不当使用，我们在不断努力平衡这两者之间的关系。我们现在有越来越多的帐户、密码及其他机制来管理对各种资源的访问。由此带来的开销和复杂性加大了允许不当访问的可能性。”

    比方说，如果用户共享太多信息或者忘了更新密码，就会在无意中把不合适的访问权授予同事、朋友和家人。Craig Bush发现用户当中缺失的一个环节是密码安全。他说，公司已制定了政策来确保密码不被滥用或者被透露，但是用户认为管理密码是一件麻烦的事，而不是一项保护措施。

    Bush是佛罗里达州盖恩斯维尔Exactech公司的网络管理员，他说：“可笑的是，最终用户根本不把密码当回事；我们要求他们改变或者更新密码时，他们还以为我们这么做只想给他们增添麻烦。我发现，基本的密码安全机制是大多数最终用户当中缺迭的一个环节。他们根本没有意识到现在有技术能够利用他们的密码来获取信息、破坏整个网络。”

    而另一些时候，带来最大麻烦的恰恰是比较精通技术的用户。加拿大不列颠哥伦比亚省劳工与公民服务部的数据网络运营经理Martin Webb说，用户试图在工作场所安装消费者无线路由器。

    Webb说：“消费者路由器在交付时关闭了所有安全设置，以便安装，不过这也直接给网络安全带来了安全漏洞。这似乎没什么不对；相关人员在安装时也没有什么恶意，但我们对此仍得密切关注，不然会面临重大风险。”

    工作与生活混在一起

    另一个常见问题就是用户试图把工作带回家――但结果把一些不该离开企业网络和工作场所的数据也带回了家。据旧金山国际律师事务所必百瑞（Pillsbury Winthrop Shaw Pittman LLP）的网络服务与工程主管Albert Ganzon声称，比方说，要是拇指驱动器即USB闪存盘使用不当，可能会让一家公司倒闭。考虑到几乎不可能为闪存盘上保存的信息确保安全，负责保护公司和客户数据让Ganzon处于高度警惕的状态。

    他解释说：“有了闪存盘，某人下载任何数据的拷贝、然后溜之大吉变得轻而易举。我们没法在这种事件发生之前有所发现。我们也没法在不影响USB闪存盘其他合法功能的情况下禁用它。确保客户数据的机密性对我们来说至关重要；一旦可能出现数据泄露，这是非常棘手的方面。”

    Ganzon不一定认为用户有意让网络、公司及客户面临风险，但用户在处理工作时，可能会避开某些安全政策，而不考虑可能带来的后果。他说：“即便数据丢失或者被偷，人们有时也压根儿不知道自己造成的风险。”

    Chris Majauckas同意上述说法。波士顿大都市出版公司（Metrocorp Publications）的这名计算机技术经理表示，用户在某些情况下认为自己在遵守政策，而他们的行为继续在带来重大风险。比方说，最令他烦恼的安全问题之一就是，用户通过公司的个人计算机登录到公司网络上，却通过私人帐户下载电子邮件附件。

    Majauckas说：“下载来自私人电子邮件的邮件附件是病毒攻击的主要途径之一。如果他们使用公司邮箱，我们就可以进行检查、搜寻病毒；但是他们使用私人邮箱来处理公司电子邮件，这样一来，他们打开邮件时，我们无法扫描、搜寻病毒。我才不会依赖谷歌邮箱来检查我网络上的病毒。”

    对田纳西州杰克逊Rainey, Kizer, Reviere & Bell律师事务所的IT管理员Koie Smith来说，上网冲浪及访问MySpace或者FaceBook等个人网站的用户带来了重大风险，以至于他使用一种名为Squid的基于Linux的代理服务器对内容进行过滤，并禁止对这些网站进行访问。举例说，他相当肯定这些网站并不用于工作目的；除此之外，诸如此类的网站充斥着随时潜入他公司网络的间谍软件。

    Smith说：“尽管我们为了提高工作效率而需要上网，但上网浏览显然是个问题，因为用户会带来间谍软件或者病毒。如果计算机上缺乏足够的保护――甚至在某些情况下得到了足够保护，为非作歹的病毒仍有可能因某个用户浏览了不该浏览的网站而致使网络动弹不得。”他补充说，内容过滤还有助于合法保护用户和公司。“网上有我们公司不允许出现在工作场所的东西，不受限制的上网浏览无异于为此打开了大门。”