移动计算设备的产生,如电脑,极大的影响了人们的日常生活。移动计算设备使得信息的可用性与便捷性取得了极大的改善。但是,我们现在也看到,笔记本等移动计算设备的产生,虽然给我们带来了巨大的便利性,但也给我们的网络管理带来了不小的安全隐患。笔者今天结合自己的几个真实案例,来谈谈如何防止这些移动计算设备作怪。
安全隐患一:笔记本公司、家里两用,给了可乘之机
笔者公司的老板比较大方,对部门主管级别以上的管理人员,都配备了笔记本电脑。有一次,销售经理出差回来后,网络突然变得非常的慢。笔者第一时间就意识到可能网络受到了病毒的攻击。可是,笔者在企业网络的上已经部署了反病毒软件与。在这些设备上,也没有看到企业网络被外部病毒攻击的现象。难道问题时出在企业内部?经过一番的苦苦查询,终于给笔者找到了祸害的根源“销售经理的笔记本电脑”。原来销售经理出差回来后,他的笔记本中招了,中了。当他的电脑联上企业的网络之后,企业的网络就陷入到快瘫痪的地步。
在企业内部,当员工在办公室里的时候,企业员工的电脑,无论是笔记本,还是台式电脑,都会受到企业安全产品的防护,如企业的防火墙产品或者网关级别的。这些安全产品对于员工来说,往往是透明的,他们不清楚有这些安全产品在运行,他们并不知道,他们的一直受着这些安全产品的保护。当他们离开这个办公场所,他们笔记本就不能收到企业防火墙的保护,客户端的杀毒软件也就不能在企业的杀毒软件上进行升级。所以,等到他们离开办公室的时候,员工就会以为在企业里上网不会受到病毒的感染,那么在外面上网也会是安全的。在这种错误意识的引导下,他们在外面上网时也会肆无忌惮。结果呢,一不小心,他们的笔记本电脑就会中招了。而且当他们把感染病毒的笔记本电脑连接到企业的内部网络上后,这些病毒因为没有通过防火墙,就直接在企业内部网络上进行传播,成为了一个病毒的感染源。
所以,因为这种原因,笔记本等移动计算设备,对于企业的网络安全,正在产生越来越大的威胁。针对这种情况,我们作为企业网络的安全管理人员,又有什么好应对措施呢?
笔者的做法是:
一方面限制这些笔记本登陆用户的权限。在一般情况下,若我们给操作用的权限比较小,如其不能多操作系统本身进行任何的改变,只能对一些文件进行的话,其及时被病毒攻击了,则也基本上不会被感染。因为任何病毒或者需要具有感染性的话,则必须操作的用户需要有注册表或者系统文件的修改权限,否则的话,就不会有传播性。所以,单从安全性方面来考虑,针对台式电脑来说,笔记本用户的权限管理更加的重要。但是,在实际工作中,可能会由于种种的原因,我们做不到这一点。如笔记本用户基本上都是部门主管或者经理级别以上的员工所使用,若给他们设置过小的权限的话,则恐怕他们会不高兴。其实,作为网络安全管理员,不需要考虑这么多的因素。我们只需要做好自己的安全管理工作即可。若我们真的拉不下这个 脸面的话,还有一个变通的方法,就是设置两个用户,一个具有管理员权限,一个是普通用户。默认情况下,是以普通用户登录的。然后告诉他们管理员用户的密码,让他们在有需要的时候,如需要安装软件时,最好在离网的情况下,以管理员用户权限登陆。
另一方面,需要对这些移动设备用户进行一些特别的培训。如至少要让他们了解,在企业内部使用笔记本电脑的话,是受到企业防火墙以及网关上的反病毒软件等安全产品的防护,所以,上网比较安全。但是,当他们出差或者在家里进行上网的时候,会失去这些产品的保护,杀毒软件也无法实现及时的升级。相当于上,他们此时的笔记本电脑已经失去了防护罩,若在这个情况下,随意的访问网站的话,那么笔记本电脑就很容易中招,成为病毒或者木马的寄宿品。提醒他们在没有企业安全产品保护下进行上网操作时,要注意安全,并采取一些可行的防护措施。如在外面上网时,登陆的用户操作权限不要太高,不要向在公司内部那么肆无忌惮的使用网上银行等等。从意识上提高网络安全的观念。
安全隐患二:被偷的危险
笔者公司里,因为员工出差比较频繁,有些员工随身带的笔记本,由于防范意识不够,经常发生笔记本被偷的现象。光去年一年,就有三台笔记本在公司外部被偷。结果呢,员工只好自己掏腰包,赔偿部分损失。有些员工甚至因噎废食,出差时都不敢带笔记本电脑了。这当然也给日常工作带来了负面的影响。
由于笔记本电脑体积小、价值大,确实成为了很多小偷关注的对象。但是,笔者认为,只需要员工在笔记本保管的时候,稍微注意一点,就可以避免这个损失。
如员工笔记本不随身带的时候,如放在宾馆里,不要随便乱放。一般来说,宾馆里都会有保险柜,可以放在保险柜里;或者交由前台人员管理。
笔者还为每台笔记本配置了一把锁,就是类似于链条锁的那种安全产品。当笔记本用户无论在公司里还是出差在外,需要使用笔记本的时候,最好能够把这个锁锁上。这就可以防止员工短时间内离开笔记本的时候,不会被人顺手牵羊的拿走。
而笔记本被偷的话,笔记本本身的价值可能还在其次,最重要的还是笔记本中所包涵的信息的价值。这就如同艳照门事件一样,若笔记本内部的信息被滥用的话,对于企业来说,损失是非常的的。最常见的是,高手可以凭借笔记本中的相关信息,破解用户邮件帐号与密码、远程登录帐号与密码等等,给企业的网络安全埋下了隐患。
安全隐患三:等远程登录帐号的泄漏
当员工出差的时候,他们可能需要通过VPN等技术手段,登陆到企业的内部网络上,进行一些服务器的访问。如通过VPN服务器访问企业内部的办公系统或者企业资源计划系统等等。此时,一些员工的不好的习惯,就会导致帐号的泄漏,给企业的网络安全造成安全隐患。
如有些员工,担心自己的记性差,怕记不住用户名与密码,就会把VPN的用户名与密码保存在笔记本电脑上。到他们出差或者在家里的时候,需要用到这个用户名与密码的时候,就可以打开查看。但是,这个看是不错的习惯,毕竟好记性不如烂笔头呀,却给我们企业的网络安全造成非常大的隐患。艳照门事件刚过去不久,大家一定还印象深刻吧。员工出差在外的时候,可能也会遇到一些计算机故障的问题。
如笔者企业的一个经理一次出差在外的时候,笔记本在宾馆里连不上网络,就叫酒店的网络管理元来查看问题。网络管理员趁着查找问题的时候,偷偷的看了这个用户名与密码文件。其实,用户最近打开的文档都会在操作系统的“开始”“最近打开文档”中显示。一看这个菜单列表,就可以知道用户最近打开了哪些文档。酒店的网络管理元就凭这个知道了笔者公司VPN服务器登陆密码,进行登陆。
后来等到采购经理回到公司,笔者在防火墙访问日志上,看到采购经理的VPN登录帐户还在利用VPN服务器登陆企业内部网络,笔者才发现这个问题。经过一番查找,发现访问的IP地址跟上次采购经理出差时在酒店里访问VPN服务器的IP地址是同一个。笔者才判断大概就是在这个时候,采购经理不小心泄漏了用户名与密码,给他们有机可乘。
可见,在笔记本电脑上,记录一些关键的帐号与用户名的话,由于笔记本电脑的移动性强,所以,记录在笔记本电脑上的用户名与密码,安全性就受到了很大的威胁。而这也直接影响到了企业的内部网络的安全。
因为这个笔记本泄漏VPN等登陆密码的事件,笔者还遇到一件更加气人的。那时,公司的销售经理出差时,想利用VPN服务器登陆企业的客户关系管理系统。但是,死活都登陆不上去。他以为是酒店网络的问题,就把酒店的人找来解决问题。他竟然直接把VPN的登陆名与密码告诉对方,让对方调试。结果呢,可想而知。在后来,笔者发现这个用户名与帐号在销售经理不出差的时候,还经常登陆。笔者就马上换掉了密码。
其实,这些问题的话,若光靠技术手段的话,也很难管理好。主要还是需要通过培训加深移动设备用户的本身的安全观念。让他们在外面办公的时候,尽量注意不要泄漏这些密码。笔者同时也加强了对于密码更改的频率,尽量把这个因为用户名与密码的泄漏给给企业的造成的损失降至最小。