首頁 > 張彤 2008/06/03
在最近由調(diào)查機(jī)構(gòu)Yankee Groupe針對企業(yè)用戶進(jìn)行的一項(xiàng)關(guān)于當(dāng)前一些最時(shí)尚新技術(shù)應(yīng)用狀況的調(diào)查中,受訪的500名被調(diào)查者中有86%承認(rèn),在工作場所,他們不止一次地使用了被調(diào)查的8種“時(shí)尚新技術(shù)”中的一種或幾種。這些設(shè)備和技術(shù)在其應(yīng)用部署的目標(biāo)上,一方面是出于業(yè)務(wù)創(chuàng)新的需求,另一方面則是出于對提升現(xiàn)有生產(chǎn)效率的考慮。新技術(shù)噩夢
報(bào)告指出:在當(dāng)今世界上,高技術(shù)產(chǎn)品充斥于人們工作的各個角落。這些產(chǎn)品從智能手機(jī)、基于語音的IP電話系統(tǒng)、閃存,到各種虛擬的在線世界,不一而足。并且隨著越來越多的消費(fèi)者開始習(xí)慣個性化的技術(shù),各種新技術(shù)被更快速地接受,并在沒有得到充分保障和驗(yàn)證的情況下,就已經(jīng)廣泛地在公司日常業(yè)務(wù)中得到采用。
在被調(diào)查的人群中,一個普遍存在的問題是,這種應(yīng)用狀況已經(jīng)給用戶的IT部門帶來了越來越難以估量的麻煩。首先,使用這些技術(shù)會增加安全漏洞的可能性。除此之外,用戶還會期待IT產(chǎn)業(yè)提供相應(yīng)的配件和服務(wù),特別是他們在一個共同的環(huán)境下使用設(shè)備的時(shí)候。
但是在許多公司,如果單純的禁止員工使用這些設(shè)備或是連接這些服務(wù),那將顯得不合時(shí)宜。與此同時(shí),公司也不能完全依靠相應(yīng)的規(guī)章制度來約束員工保證公司的安全。對于IT部門來說,一些新技術(shù)簡直就是噩夢,要維護(hù)和解決這些問題,將會迅速消耗IT資源。
統(tǒng)一通信陷入困局
統(tǒng)一通信無疑是當(dāng)前最“時(shí)尚”的新技術(shù)之一,但是就在人們對這項(xiàng)技術(shù)廣泛關(guān)注的同時(shí),對它在穩(wěn)定性、安全性上的“微詞”也與日俱增。這次調(diào)查也不例外,在調(diào)查報(bào)告中,統(tǒng)一通信技術(shù)中涉及到的多項(xiàng)互聯(lián)網(wǎng)和通信新技術(shù)榜上有名。這些新技術(shù)在被調(diào)查者中被廣泛地應(yīng)用。但I(xiàn)T和網(wǎng)絡(luò)專家認(rèn)為,在企業(yè)很大面積地使用這些技術(shù),將會帶來一系列的安全威脅。
1. 實(shí)時(shí)通信
員工幾乎在所有的日常生活中都使用實(shí)時(shí)通信。例如與同事及商業(yè)合作伙伴之間通過MSN、QQ、互聯(lián)網(wǎng)短信服務(wù)等方式的溝通。據(jù)調(diào)查,40%的受訪者稱他們在工作中經(jīng)常使用實(shí)時(shí)通信技術(shù)。實(shí)際上,實(shí)時(shí)通信是一系列安全問題的導(dǎo)火線。此外,惡意軟件也會借外部實(shí)時(shí)通信程序侵入企業(yè)內(nèi)部網(wǎng)絡(luò),實(shí)時(shí)通信用戶也可能在不知情的情況下就會通過不安全的網(wǎng)絡(luò)將公司的敏感信息泄露出去。
對付這一威脅的一個方法就是,逐步停止使用實(shí)時(shí)通信服務(wù)而代之以內(nèi)部實(shí)時(shí)通信服務(wù)器。在早些時(shí)候,Global Crossing公司就采用了這一辦法。他們在公司內(nèi)部部署了微軟的企業(yè)實(shí)時(shí)通信服務(wù)器(LCS)。現(xiàn)在,所有內(nèi)部實(shí)時(shí)通信的交換都經(jīng)過了加密,并且外部的實(shí)時(shí)通信交換也受到了保護(hù),因?yàn)檫@些信息都要經(jīng)過LCS服務(wù)器和微軟的公共實(shí)時(shí)通信服務(wù)器的過濾。
2. 網(wǎng)絡(luò)郵件
在受訪者中,50%的人說他們經(jīng)常使用電子郵件用作商業(yè)目的。對于使用這些電子郵件應(yīng)用程序的用戶來說,安全問題并沒有受到足夠的重視。這些信息的傳輸是經(jīng)過網(wǎng)絡(luò),并且是存儲在服務(wù)提供商的服務(wù)器和電子郵件服務(wù)器上的。如果許多人在不做判斷的情況下就使用電子郵件發(fā)送敏感賬號、密碼、機(jī)密的商業(yè)數(shù)據(jù)或是交易秘密就可能泄露。
一個提高網(wǎng)絡(luò)郵件安全的方法,就是使用關(guān)鍵詞過濾工具來監(jiān)控電子郵件,以及其他的監(jiān)控技術(shù)。還有就是在發(fā)現(xiàn)潛在的漏洞時(shí)發(fā)出警告或是直接禁止電子郵件的發(fā)送。
3. 在移動設(shè)備上的存儲
IT管理人員最怕的一件事就是日益增長的各式各樣移動設(shè)備的存儲能力,從蘋果公司的iPhone到各種移動存儲設(shè)備終端,使用這些設(shè)備可以下載任何數(shù)量的機(jī)密信息和敏感數(shù)據(jù),然后將其帶走。
處理這一問題的最好方法是教育雇員怎樣把敏感數(shù)據(jù)進(jìn)行存儲。實(shí)際上,大多數(shù)安全事故的發(fā)生都是無意的而不是惡意的,這就是為什么要教育員工選擇適當(dāng)操作的重要性。
同時(shí),密歇根州的大峽谷州立大學(xué)(Grand Valley State University)和其他一些大學(xué)的教授和學(xué)生們正努力研究密碼的標(biāo)準(zhǔn)化問題,還有加密保護(hù)USB驅(qū)動,以保護(hù)他們的數(shù)據(jù)。
4.掌上計(jì)算機(jī)和智能手機(jī)
越來越多的雇員開始在工作中使用各式各樣的智能手機(jī)或是個人數(shù)據(jù)助理,可能是BlackBerry、Treo或是iPhone。但是當(dāng)他們同步顯示他們設(shè)備的日歷的或是使用他們的個人計(jì)算機(jī),用電子郵件發(fā)送應(yīng)用程序的時(shí)候,產(chǎn)生的問題可能包括程序短路以及藍(lán)屏死機(jī)現(xiàn)像。
除此以外,要是員工辭職或是被解雇,只要他隨身攜帶了掌上計(jì)算機(jī)或是智能手機(jī),他就可以帶走他想要的任何信息。
一個規(guī)范化公司的IT部門將只會支持某一個品牌和型號的掌上計(jì)算機(jī),從而將發(fā)生危險(xiǎn)的可能性降到最低限度。一些公司甚至在筆記本電腦的使用上也建立了類似的標(biāo)準(zhǔn)。不得不承認(rèn),筆記本電腦的威脅比掌上計(jì)算機(jī)的威脅更大,因?yàn)樗鼈兛梢源鎯Ω嗟臄?shù)據(jù)。
5.視頻電話
一名醫(yī)院的員工站在育嬰室的門口,隨意地與護(hù)士聊天。沒有人注意在她的手上有一個小的掌上設(shè)備,她時(shí)不時(shí)地按下一個小按鍵。
“我做的一個實(shí)驗(yàn)就是把我的手機(jī)帶到育嬰室,然后開始拍照。她說。“我從網(wǎng)上搜索這些照片,這時(shí),關(guān)于病人的信息就會展現(xiàn)在我的計(jì)算機(jī)屏幕上或是出現(xiàn)在我辦公室的桌子上。”此外,從計(jì)算機(jī)屏幕中的信息中得到了關(guān)于計(jì)算機(jī)名稱的信息。而這類信息與從其他渠道得到的信息匯編在一起就可以形成一個攻擊計(jì)劃。
6.基于IP語音的通話技術(shù)
基于IP語音的通話技術(shù),例如Skype,是一種基于下載軟件的免費(fèi)互聯(lián)網(wǎng)通話服務(wù)。有20%的受訪者將這種技術(shù)運(yùn)用于商業(yè)活動中。
Skype最近發(fā)布了安全漏洞的4個補(bǔ)丁,用戶在下載最新版本的時(shí)候就可以安裝。但是IT部門根本就不知道有多少用戶安裝了Skype,更不要說有多少人已經(jīng)被漏洞所攻擊,因此根本就無法有效監(jiān)管。
Gartner調(diào)查公司建議,最安全的辦法就是阻斷所有Skype流量。如果企業(yè)不這樣做的話,他們可以使用相應(yīng)的監(jiān)管工具對Skype程序有選擇性地控制,并且保證只授權(quán)給相應(yīng)的員工。
7.手機(jī)上的小部件
根據(jù)Yankee調(diào)查,用戶使用諸如Nokia E62的設(shè)備下載窗口部件,這些小部件可以快速訪問Web應(yīng)用程序。這些窗口部件很容易進(jìn)入個人計(jì)算機(jī),這樣很快就侵入了IT部門苦心控制的系統(tǒng)環(huán)境。
除此之外,沒有經(jīng)過檢查的軟件下載也會存在潛在的風(fēng)險(xiǎn)。
8.企業(yè)虛擬環(huán)境
在使用Second Life的時(shí)候,人們會下載大量的可執(zhí)行代碼,然后就會在企業(yè)防火墻內(nèi)部生根,這是Gartner公司在最近的一份調(diào)查報(bào)告中公布的。此外,要想知道使用虛擬世界的人的真實(shí)身份很難。
Gartner的一個建議就是,讓員工通過企業(yè)的無線網(wǎng)絡(luò)使用虛擬世界或是在家里使用。還有一個選擇就是公司建立自己的虛擬網(wǎng)絡(luò)世界,并且將其部署在企業(yè)內(nèi)網(wǎng)的防火墻中。
網(wǎng)界網(wǎng)
