揪出内鬼 公司不要沦为信息人质.docxVIP

PAGE 1 PAGE 1 揪出内鬼 公司不要沦为信息人质  要揪出公司内部不牢靠的安全员工，以免网络沦为他们的人质——有时候这并非危言耸听。贵公司的安全员工值得信任吗？胜任工作吗？见多识广吗？让安全专业人士讲讲这方面的可怕故事，你可能会转变想法。  要揪出公司内部不牢靠的安全员工，以免网络沦为他们的人质——有时候这并非危言耸听。  贵公司的安全员工值得信任吗？胜任工作吗？见多识广吗？让安全专业人士讲讲这方面的可怕故事，你可能会转变想法。  KevinMcDonald向我们叙述了这样一则可怕故事，他是托管服务供应商AlvakaNetworks公司的执行副总裁，也是美国电子协会（AmericanElectronicsAssociation）全国理事会成员，还出过网络安全方面的几本著作。  他公司有个客户是一家建筑公司，对方的一名高级IT员工还兼任安全这块。不晓得这名安全主管究竟用了什么方法，竟然说服了公司老板，以为把该公司的雇员数据库放在他家（他家已经铺好了光纤线路）来得比较省钱，而不是把这些数据库保存在异地。  你一眼就能预见这一幕：雇员与雇主后来起了冲突。你还没来得及说出“内部威逼”，那名安全主管就向这家建筑公司的好多客户发去了威逼性的电子邮件，告知对方他把握了他们的私密信息。  此举“基本上让这个家伙丢了饭碗，”McDonald说，并导致这家建筑公司的合同削减了大约70%。考虑到这名为非作歹的雇员原先是获得授权的用户，公司在几个月后关闭了他的帐户。只是这名雇员在网上公开扬言要非法利用数据后，洛杉矶的联邦调查局特工才闯入了他的家――这个家伙之前已经建好了网站，还订好了对前雇主实施破坏的计划。  这一幕糟糕透顶的安全场景是招聘不牢靠的员工所造成的。遗憾的是，安全行当不缺少笨蛋、庸才或者无知家伙的身影。的确，安全专业人士不太可能像其他人（比如程序设计员）那样根据工作业绩来加以评价。摆在他们面前的绊脚石可能包括：办公室政治、运气不好、误入歧途的高层主管、失去掌握的顾问、缺乏沟通、与公司其他部门孤立起来、上司盲目信任安全证书；或者尽管确保了安全工作正常，却很难得到相应嘉奖。  而这只是一方面，而不是全部。  但要振作起来。即使安全部门出现了“烂苹果”，精彩的公司也能经受得住考验。下面简要介绍了几类常见的不牢靠的安全员工，以及如何不让他们得逞的方法。  在美国企业界的某个角落，眼下确定会有安全员工在诅咒高层主管把简直犹如垃圾的捆绑软件强加给自己。先说一说详细过程吧：各大安全厂商（无论是赛门铁克、趋势科技、迈克菲还是冠群）的销售人员上门向高层主管提议：对整个公司而言，他们供应的安全软件包将集桌面反病毒、电子邮件安全、入侵检测及Web过滤等功能于一体，而每个用户只要付38美元。  这种状况有什么不对劲的地方吗？一家不愿透露名称的安全软件厂商的主管说：“眼下，安全基础架构的这些关键部分已经成为商品化。问题在于，高层主管觉得，安全就是一种平凡商品。这个安全产品与另一个安全产品一样，没啥区分。”  这倒不是说那些厂商不优秀，而是说它们并非样样精通。比方说，赛门铁克的反病毒产品颇负盛名；可是有些安全专业人士就认为它的反垃圾邮件功能不犹如类中最佳的产品来得精彩。  现在人们仍能感受得到一家安全厂商向美国国防部成功推销所带来的影响。那家不愿透露名称的厂商称：“那家安全厂商拿到了国防部的合同。随后，我们开始听到安装了该产品的国防部下属各部门埋怨‘哦，上帝！这个产品太差劲了；我们没法使用。’”  高层主管购买了安全软件包的公司的确省下了钱，而且省了不少钱。遗憾的是，它们拿到手的常常是“实际上达不到标准的安全产品；有时候这么做很危急，”那家厂商如是说。  但是如何让对安全软件包动了心的高层主管明白这一点呢？那就是趁钱还没有从高层主管的手里出去，让安全人员参与到决策过程。  分页这方面BobMaley就很幸运――他公司在Maley进入之前就解决了问题。他在2005年年底担当宾夕法尼亚州首席信息安全官这个职位之前，宾州就已经开发了一套企业架构流程，这套流程仿照了美国全国州首席信息官协会（NASCIO）的流程。如今这套流程运行已有四年多了，其中一部分就是一套明确的安全产品选择标准。  正如Maley所说的那样，州政府的其他一些部门可能拥有没有限制的资源去购买安全工具，而他部门不是这样。于是，他和所在部门学会了与同行积极合作――不仅仅通过NASCIO来合作，还通过州际信息共享和分析中心（MS-ISAC）来合作。  根据MS-ISAC（该中心通过美国国土安全部来运作）的规定，全部50个州都共享最佳实践。