重慶OA快博

當(dāng)前位置：工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA快博

網(wǎng)絡(luò)安全管理要警惕九種“人”

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

一把菜刀在普通人手中只是切菜工具，但到了歹徒手中卻變成了行兇殺人的兇器。同樣，計(jì)算機(jī)和互聯(lián)網(wǎng)一旦被別有用心的人利用，就成了信息泄露的“蟻穴”、網(wǎng)絡(luò)攻擊的載體。于是，越來(lái)越多的信息泄露案例正在發(fā)生，越來(lái)越多的企業(yè)將互聯(lián)網(wǎng)視作罪魁禍?zhǔn)祝絹?lái)越多的企業(yè)網(wǎng)絡(luò)安全管理者為了安全想把高效方便的互聯(lián)網(wǎng)束之高閣。

其實(shí)，很多網(wǎng)絡(luò)安全事件都不是“天”災(zāi)，而是“人”禍！

您的網(wǎng)絡(luò)中有哪些“人”

計(jì)算機(jī)和互聯(lián)網(wǎng)所服務(wù)的對(duì)象是“人”，其研發(fā)、操作和使用對(duì)象同樣是“人”。企業(yè)中的領(lǐng)導(dǎo)層、普通員工、合作伙伴甚至一些從未謀面的客戶(hù)，總是會(huì)通過(guò)這樣或那樣的方式接入網(wǎng)絡(luò)。不同類(lèi)型的“人”在網(wǎng)絡(luò)中的網(wǎng)絡(luò)行為不同，訪問(wèn)權(quán)限不同，可能引發(fā)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也不同。認(rèn)真分析每種人的特點(diǎn)，對(duì)確保網(wǎng)絡(luò)安全有著重要的意義。

1. 網(wǎng)絡(luò)管理人員

一個(gè)合格、稱(chēng)職的網(wǎng)絡(luò)管理人員，其基本職責(zé)是要時(shí)刻保持企業(yè)網(wǎng)絡(luò)的暢通，維護(hù)中心服務(wù)器設(shè)備的正常運(yùn)轉(zhuǎn)，引導(dǎo)網(wǎng)絡(luò)辦公，使網(wǎng)絡(luò)發(fā)揮效益。

但是在很多企業(yè)中，網(wǎng)絡(luò)管理人員都沒(méi)有發(fā)揮出技術(shù)骨干和網(wǎng)絡(luò)中堅(jiān)的作用，往往被當(dāng)做跑上跑下的勤雜工。這也正是大多數(shù)企業(yè)在招聘網(wǎng)管時(shí)喜歡招年輕點(diǎn)的，能夠吃苦耐勞的人的原因。

網(wǎng)絡(luò)管理人員充其量是技術(shù)支持人員，整天忙里忙外，無(wú)外乎在做些為同事裝系統(tǒng)、殺病毒、解決IP 沖突等事務(wù)性工作。這些工作占據(jù)了他們90% 以上的時(shí)間，讓網(wǎng)絡(luò)管理人員疲于奔波，根本無(wú)暇分出身心去思考企業(yè)網(wǎng)絡(luò)安全和發(fā)展的深層次問(wèn)題，使得企業(yè)網(wǎng)絡(luò)的安全性大大降低，甚至存在構(gòu)建不合理、權(quán)限設(shè)置不恰當(dāng)、操作和防病毒系統(tǒng)升級(jí)不及時(shí)等問(wèn)題，從而埋下不必要的安全隱患。

企業(yè)級(jí)網(wǎng)絡(luò)環(huán)境的相對(duì)封閉性，管理員日常維護(hù)工作的艱巨和繁忙，決定了網(wǎng)絡(luò)管理人員無(wú)法及時(shí)掌握最新的安全動(dòng)態(tài)，不能及時(shí)學(xué)習(xí)和掌握足夠的安全技術(shù)手段來(lái)維護(hù)工作業(yè)務(wù)日益依賴(lài)的網(wǎng)絡(luò)平臺(tái)。

另外，對(duì)一個(gè)企業(yè)級(jí)客戶(hù)來(lái)說(shuō)，花很大的投入去招聘高水平的網(wǎng)絡(luò)安全專(zhuān)家，專(zhuān)職為自己?jiǎn)挝换蚱髽I(yè)服務(wù)，無(wú)論從成本考慮，還是對(duì)高水平的安全專(zhuān)家自身的發(fā)展來(lái)說(shuō)，都是非常不切實(shí)際和不現(xiàn)實(shí)的。

而且，一個(gè)高水平的專(zhuān)家往往需要扎實(shí)的理論基礎(chǔ)，經(jīng)過(guò)多年的培養(yǎng)，擁有豐富的實(shí)踐積累才能培養(yǎng)出來(lái)，非常不容易。所以，真正高水平的網(wǎng)絡(luò)安全專(zhuān)家數(shù)量很少。尤其是，網(wǎng)絡(luò)安全管理技術(shù)往往涉及方方面面，沒(méi)有哪一個(gè)安全專(zhuān)家能精通所有的領(lǐng)域，對(duì)于企業(yè)級(jí)網(wǎng)絡(luò)安全體系的構(gòu)筑來(lái)說(shuō)，往往需要精通不同領(lǐng)域的網(wǎng)絡(luò)安全專(zhuān)家共同努力。

2. 對(duì)網(wǎng)絡(luò)安全防范技術(shù)手段掌握較少的企業(yè)高層

隨著互聯(lián)網(wǎng)的迅速發(fā)展，IT 環(huán)境也變得越來(lái)越復(fù)雜和開(kāi)放，層出不窮的漏洞、惡意威脅和攻擊日益增多，網(wǎng)絡(luò)安全事件與日俱增，大大增加了網(wǎng)絡(luò)的管理難度和成本。

與此同時(shí)，作為企業(yè)領(lǐng)導(dǎo)的決策層和管理層通常對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)知識(shí)了解不多，特別是對(duì)網(wǎng)絡(luò)安全防范技術(shù)手段知之甚少。管理層安全意識(shí)薄弱，花巨資構(gòu)筑硬件基礎(chǔ)架構(gòu)和軟件平臺(tái)，卻不愿意或者不到出事就不愿意花適當(dāng)?shù)腻X(qián)，來(lái)把自家的信息架構(gòu)安全門(mén)檻逐步提高到合理的水平。

對(duì)于企業(yè)級(jí)用戶(hù)來(lái)說(shuō)，面臨最大的問(wèn)題常是因“無(wú)知而無(wú)畏”造成巨大的損失，而且這種現(xiàn)象非常普遍。

這主要是受客戶(hù)自身的管理員技術(shù)水平的限制，加上缺乏足夠的技術(shù)和服務(wù)支持，不了解如何來(lái)更好地提供足夠的保障。

除此之外，相當(dāng)一部分的企業(yè)管理層缺乏穩(wěn)定性和連續(xù)性。企業(yè)部門(mén)級(jí)管理層頻頻走馬換將，從而使相關(guān)政策不具備連續(xù)性，給技術(shù)管理部門(mén)帶來(lái)了較大的壓力，惡化了企業(yè)的內(nèi)外部環(huán)境，導(dǎo)致了網(wǎng)絡(luò)安全力量的薄弱，使得安全防范手段簡(jiǎn)單，從而引發(fā)一些安全問(wèn)題。

3. 安全防范意識(shí)薄弱的員工

網(wǎng)絡(luò)管理人員經(jīng)常給系統(tǒng)打補(bǔ)丁，定時(shí)升級(jí)殺毒軟件，也不遺余力地看護(hù)裝有防火墻的關(guān)鍵設(shè)施，為什么安全事件還是頻頻發(fā)生？究其原因，員工的安全意識(shí)薄弱是一個(gè)很重要的因素。

某IT專(zhuān)業(yè)研究機(jī)構(gòu)研究表明，88% 的信息泄露事件與內(nèi)部員工的粗心大意有關(guān)。員工網(wǎng)絡(luò)安全意識(shí)淡薄，或者在網(wǎng)絡(luò)中進(jìn)行不當(dāng)?shù)牟僮餍袨?，是安全隱患增多的主要原因。

企業(yè)網(wǎng)絡(luò)安全與否，最終還是要依賴(lài)于用戶(hù)的安全意識(shí)。安全意識(shí)淡薄的員工，一些好奇或者不當(dāng)?shù)男袨闀?huì)把威脅主動(dòng)地從外部帶到內(nèi)部，或者給內(nèi)部不良分子創(chuàng)造可乘之機(jī)，不經(jīng)意間造成不可挽救的損失。

粗心大意的員工往往會(huì)忽略網(wǎng)絡(luò)安全管理準(zhǔn)則，例如，選擇一些非常容易記憶的密碼；從互聯(lián)網(wǎng)上隨意下載文件，導(dǎo)致企業(yè)網(wǎng)絡(luò)感染病毒；在QQ 網(wǎng)友聊天，不慎泄露企業(yè)數(shù)據(jù)；更有甚者會(huì)瀏覽黃色網(wǎng)站，感染木馬。

4. 心懷不滿(mǎn)的員工

這部分人看起來(lái)好像是正常的員工，像其他人一樣安靜地工作，但他們并非正常員工，其內(nèi)心深懷對(duì)企業(yè)、對(duì)領(lǐng)導(dǎo)或者對(duì)其他同事的不滿(mǎn)。

心懷不滿(mǎn)的員工是企業(yè)內(nèi)部最危險(xiǎn)的安全隱患，一旦其情緒失控，可能利用自己在企業(yè)網(wǎng)絡(luò)中的權(quán)限或者竊取過(guò)來(lái)的其他用戶(hù)的權(quán)限進(jìn)行破壞，而且其破壞力將非常大。

5. 離職的企業(yè)員工

員工離職的原因有很多，比如，因競(jìng)爭(zhēng)對(duì)手挖“墻腳”而離職，因工作不稱(chēng)職被“炒魷魚(yú)”，因不適應(yīng)工作環(huán)境主動(dòng)辭職，因工作調(diào)動(dòng)、調(diào)整職位或調(diào)整部門(mén)而離職，需要繼續(xù)深造而辭職等。

不同的離職原因?qū)τ诠镜陌踩[患程度不同。前兩種的離職者相對(duì)后面給公司的安全帶來(lái)的安全隱患顯然要多些，而后面幾種原因的離職者同樣也不能完全忽略。

離職員工在離職時(shí)可能帶走原企業(yè)的機(jī)密數(shù)據(jù)，或利用事先預(yù)留的賬號(hào)、端口、竊聽(tīng)程序進(jìn)入到原企業(yè)網(wǎng)絡(luò)，甚至在物質(zhì)引誘和極度不滿(mǎn)時(shí)主動(dòng)泄露機(jī)密。

6. 麻痹大意的網(wǎng)管部門(mén)

網(wǎng)絡(luò)安全管理是一個(gè)常抓不懈的過(guò)程，不可能一蹴而就。但是，天天與計(jì)算機(jī)、網(wǎng)關(guān)、防火墻、路由器打交道，網(wǎng)管也易產(chǎn)生“審美疲勞”，逐漸放松對(duì)自己的要求和對(duì)網(wǎng)絡(luò)的維護(hù)管理。

一個(gè)網(wǎng)絡(luò)搭建完成之后，日常維護(hù)的好壞直接關(guān)系到網(wǎng)絡(luò)的運(yùn)行質(zhì)量。網(wǎng)管的粗心大意會(huì)讓網(wǎng)絡(luò)遭遇災(zāi)難，輕則感染病毒，重則被黑客入侵，甚至?xí)劤蓴?shù)據(jù)丟失的嚴(yán)重后果。

7. 口無(wú)遮攔的合作伙伴

為了更好地合作，有些企業(yè)會(huì)對(duì)合作伙伴開(kāi)放一些端口，賦予較低級(jí)別的權(quán)限。合作伙伴得到的這些信息可能包含部分商業(yè)機(jī)密，他們?yōu)榱斯拇蹬c合作企業(yè)的關(guān)系，或者搶占市場(chǎng)先機(jī)，也可能有意無(wú)意地將這些機(jī)密信息泄露出去。

8. 心懷叵測(cè)的競(jìng)爭(zhēng)對(duì)手

一個(gè)企業(yè)在不同的發(fā)展階段、不同的產(chǎn)品市場(chǎng)都有明確的競(jìng)爭(zhēng)對(duì)手，會(huì)在清醒認(rèn)識(shí)自身所處競(jìng)爭(zhēng)地位的基礎(chǔ)上制定相應(yīng)的競(jìng)爭(zhēng)策略。為了使自身處于絕對(duì)的競(jìng)爭(zhēng)優(yōu)勢(shì)，很多企業(yè)會(huì)不擇手段地刺探競(jìng)爭(zhēng)對(duì)手的情報(bào)，拉攏腐蝕競(jìng)爭(zhēng)對(duì)手所在企業(yè)的技術(shù)人員，利用地位引誘競(jìng)爭(zhēng)對(duì)手員工跳槽，或者干脆雇用黑客入侵競(jìng)爭(zhēng)對(duì)手的網(wǎng)站，竊取機(jī)密數(shù)據(jù)。

9. 四處游蕩的黑客

網(wǎng)絡(luò)中的黑客也許并沒(méi)有明確的攻擊目標(biāo)，但是卻樂(lè)此不疲。他們利用自己所掌握的熟練的計(jì)算機(jī)技術(shù)，通過(guò)IP 地址欺騙、源路由攻擊、端口掃描、DoS 拒絕服務(wù)、竊聽(tīng)報(bào)文、應(yīng)用層攻擊、木馬技術(shù)入侵企業(yè)網(wǎng)站。

一旦入侵成功，為了顯示自己的能力，黑客很可能會(huì)進(jìn)行網(wǎng)頁(yè)篡改或者其他破壞，并在發(fā)現(xiàn)有用的數(shù)據(jù)后，對(duì)企業(yè)進(jìn)行敲詐勒索，甚至出售。

管理人的行為的管理措施

在企業(yè)網(wǎng)絡(luò)中，每個(gè)“人”都有自己的位置，都在扮演著不同的角色。只有有效管理好“人的行為”，才能有效地管理好網(wǎng)絡(luò)，確保信息系統(tǒng)安全、可靠、穩(wěn)定地運(yùn)行，進(jìn)而保障企業(yè)網(wǎng)上業(yè)務(wù)的正常開(kāi)展。

1. 建章立制，讓員工有章可循

要使企業(yè)網(wǎng)絡(luò)真正地發(fā)揮作用，進(jìn)一步健全和完善安全防范制度和措施、不斷提高防范能力和技術(shù)水平是首先要做的工作。

首先是完善制度。網(wǎng)絡(luò)信息安全防范制度和措施是企業(yè)網(wǎng)絡(luò)安全的高壓電和防火墻，可以有效防范人為因素造成的網(wǎng)絡(luò)安全事件。各項(xiàng)制度和措施的制定，應(yīng)當(dāng)堅(jiān)持“安全第一，預(yù)防為主”的方針，明確各類(lèi)“人”在網(wǎng)絡(luò)中的責(zé)任、權(quán)利和義務(wù)，明確獎(jiǎng)懲措施，采用工作責(zé)任制和責(zé)任追究制，使每類(lèi)“人”都在時(shí)刻警醒自己，為企業(yè)網(wǎng)絡(luò)創(chuàng)造一個(gè)安全的運(yùn)行環(huán)境。

其次是明確職責(zé)。網(wǎng)管人員不僅要充當(dāng)救火隊(duì)員的角色，還要明確工作職責(zé)，找準(zhǔn)定位，從繁重的事務(wù)工作中解放出來(lái)，使其真正充當(dāng)好企業(yè)網(wǎng)絡(luò)規(guī)劃師、維護(hù)員和服務(wù)員的角色。

2. 呼吁管理層重視網(wǎng)絡(luò)安全管理工作

安全，要從上到下的重視！高層沒(méi)有安全意識(shí)，就會(huì)漠視或者不重視網(wǎng)管技術(shù)部門(mén)的工作，或者認(rèn)為出了問(wèn)題靠技術(shù)部門(mén)的人就會(huì)解決，導(dǎo)致技術(shù)部門(mén)的安全建設(shè)工作周期長(zhǎng)，成本就會(huì)增高。這會(huì)讓高層的投入更加謹(jǐn)慎，形成惡性循環(huán)。

根本之道，要讓所有的企業(yè)高層意識(shí)到建設(shè)網(wǎng)絡(luò)安全管理體系，并把項(xiàng)目成本降下來(lái)，改善流程，促進(jìn)良性循環(huán)。

3. 加強(qiáng)培訓(xùn)，提高防范意識(shí)

隨著信息技術(shù)的發(fā)展，各種網(wǎng)絡(luò)技術(shù)不斷推陳出新，病毒和入侵手段更是花樣翻新。因此，對(duì)員工和網(wǎng)絡(luò)管理員進(jìn)行培訓(xùn)，是提高其安全意識(shí)、安全防范技能行之有效的方法。

首先，要通過(guò)對(duì)員工進(jìn)行各層次的宣傳、培訓(xùn)，提高員工自身的安全觀念。需要重點(diǎn)培訓(xùn)的內(nèi)容包括如何保護(hù)自己郵箱的安全、在使用文件服務(wù)器時(shí)如何保障自己文件的安全、在打開(kāi)帶附件的郵件時(shí)如何避免病毒的威脅、如何使用強(qiáng)密碼保護(hù)自己賬號(hào)的安全等。另外，還要讓員工知道，哪些網(wǎng)絡(luò)行為是非常危險(xiǎn)的，以及確實(shí)不幸中毒后該采取什么樣的措施，才能避免損失無(wú)限制擴(kuò)大。

其次，不斷加強(qiáng)學(xué)習(xí)，充實(shí)自我，提升自我，為做好企業(yè)網(wǎng)絡(luò)管理維護(hù)工作打好基礎(chǔ)。掌握網(wǎng)絡(luò)管理相關(guān)的硬件及軟件知識(shí)是成為一個(gè)合格網(wǎng)絡(luò)管理員的必然要求。要熟悉系統(tǒng)的物理線路所連接的交換機(jī)、路由器，了解網(wǎng)絡(luò)設(shè)備的安裝位置、功能、性能、型號(hào)和制造廠商、使用方法、保養(yǎng)機(jī)制及故障預(yù)警機(jī)制，了解整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)，能夠找到故障原因并及時(shí)進(jìn)行處理。

最后，提高自身對(duì)管理工具的使用技能。為了實(shí)時(shí)有效地管理網(wǎng)絡(luò)及設(shè)備，網(wǎng)絡(luò)管理員要能夠利用網(wǎng)絡(luò)管理軟件、桌面管理軟件對(duì)局域網(wǎng)絡(luò)與終端設(shè)備進(jìn)行有效地監(jiān)控管理，同時(shí)還應(yīng)該了解一些攻擊防御軟件，保證在出現(xiàn)各種網(wǎng)絡(luò)危機(jī)時(shí)能化險(xiǎn)為夷。

網(wǎng)絡(luò)管理員還要善于總結(jié)經(jīng)驗(yàn)，在平時(shí)的網(wǎng)絡(luò)維護(hù)與故障維修中，找出最佳的故障處理方法，并整理出一套適合本企業(yè)局域網(wǎng)絡(luò)的管理維護(hù)方案。只有平時(shí)積累了豐富的經(jīng)驗(yàn)，網(wǎng)絡(luò)管理人員才可能在最短的時(shí)間內(nèi)排除故障，而且不斷提升自身的網(wǎng)絡(luò)管理水平。

【推薦閱讀】

◆IT運(yùn)維管理專(zhuān)區(qū)

◆網(wǎng)絡(luò)安全管理十大注意事項(xiàng)

◆IT運(yùn)維管理：企業(yè)網(wǎng)絡(luò)安全的研究措施

◆服務(wù)器安全維護(hù)的七大方案

◆網(wǎng)管軟件專(zhuān)區(qū)

本文來(lái)自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:39 編輯：泛普軟件 · xiaona [打印此頁(yè)] [關(guān)閉]

相關(guān)欄目：