安全管理需要注意很多细节,包括随时跟踪最新的安全威胁和及时打补丁。但是有时候也应该从宏观角度来审视安全,即你是如何实施安全管理的。在本文中,作者将介绍经常出现的十个安全管理误区。
1. 过分信任别人: 企业IT所面临的一个最大威胁是管理者过分信任员工。不良的个人安全习惯所带来的危害不亚于一个恶意员工给企业造成的损失。
2. 认为你的 操作系统/服务器/Web程序/无线网络/或者其他什么 都已经相当安全了: 一般来说要对企业和人生充满信心,但是对于安全还是应该更谨慎一些。
3. 错误地相信自己的灾难恢复计划能够真正实施:备份内容是否全面?是否按时间定期(频繁)进行备份?能否通过备份恢复企业数据?更重要的是,备份内容是否有足够的物理安全,并且在物理上与服务器分离?
4. 对关键资产对象采取了错误的保护: 没有人能确保所有设备的安全,在现实世界里,你应该知道对于企业来说最重要的是那些资产,以便对其进行保护。
5. 无法说服领导批准安全方面的需求 –尤其是集成安全: 尽量说服企业领导层接受你的安全方案。如果企业网络或网络程序在设计时没有将安全问题集成到设计中,或者考虑的不周全,那么后续补救会更麻烦,效果也更差。
6.忽略了那些移动用户会通过不安全的无线接入点访问网络: 不论你制定了什么样的规则或者惩罚方式,那些移动办公的人员还是有可能为了方便而忽视你的安全方案。
7. 没有很好地管理密码: 保持密码有一定长度并且便于记忆是很重要的。在考虑到密码问题时,我们需要考虑到因为用户需要手动输入密码,因此密码应该便于记忆。而密码更换周期一般来说最小是一天一换。但是你也可以设置成午饭后更换密码,或者每次执行完关键程序或访问数据库后更换密码。这完全根据安全需求来确定。就算是一个复杂的密码,长期不更换也是错误的。这不但给了黑客充足的时间来研究密码,而且一旦密码被破解,你的系统会长期遭受威胁。
8. 电话支持时候没有很好的验证呼叫方的身份: 很多黑客都用这种社会学方式直接从公司的技术支持人员那里获取网络信息。
9. 低估了搜索引擎: 人们会浏览到你认为已经隐藏起来的Web页面。就算你在公司Web上没有提供搜索功能,很多搜索引擎还是会让用户搜索到那些你不希望大众看到的页面。
10. 将所有的安全措施文档化,但是没有很好的保护这些文档的安全:对于黑客来说,能找到一份攻击指南实在是太好了。你可以将企业的安全策略和实施细节文档化,但一定要确保这些文档的安全。
而剩下的11-99个误区都是一样的:“不要过分自信”。
当然,也许对于你来说,最容易犯的错误并没有列在上面,但是对于大多数人来说,以上误区确实是最常出现的。
我假设大家都是专业人员,因此在上面的列表中我没有提到及时更新系统漏洞,安装各种安全补丁之类的问题。对于不同的读者来说,这个列表的参考价值和重点不一定相同。
(责任编辑:陈毅东)