发布时间:2014-08-13 15:58:30作者:知识屋
by 云舒
2008-04-07
这是扯淡企业安全的第二篇,希望还有下一篇。因为这次要扯的意识和策略是个很麻烦的事情,可能写完这个就写不下去了。是策略,还是意识?这个问题经常被人争论,我的思路很直接,策略优先,意识第二。理由很简单,下面随便扯扯看。
首先,不是有较高的安全意识,就不会出问题。安全意识是很主观的一个东西,这就像在战场上,不是不想死的人就不会死。因为有那个意识,不一定有足够的手段能够维持这个意识的目的一定能够达到。简单的说,有一个普通员工,很有安全意识,不认识的人发的邮件不去看,附件不去点,网上乱七八糟的网站也从不浏览,只看CCTV这样和谐的页面。但是某天用工作笔记本在家上网,被人利用防火墙本身的,或者软件的漏洞,或者是foxmail的漏洞,或者arp插入到cctv页面的利用某些IEl漏洞给攻击了,一些资料马上被人拿走了。
其次,安全意识有人的情绪在里面,情绪是会波动的,因此安全意识是不稳定的。可能一个一向很有安全意识的人,一天被女朋友甩了情绪低落,去看点XXX网站消遣下,中招了。甚至可能是现在这样春天的中午,吃完午饭回来昏昏欲睡,看到个有意思的URL就去点了一下。
最后,安全意识的培养,相比策略的部署而言,是个更加困难的问题。不是朝夕之间,就可以让一个不懂安全的人,接受告诉他需要注意的条条框框。而在传统企业中,比如我接触过的机械行业,这个问题更困难。即使是在IT行业,给高管讲安全意识也不是一件容易的事情。
鉴于这些,我的思路是策略优于意识的。因为策略弥补了上面的两个问题,策略是稳定而且客观的,只要跟着时间的变化更改策略即可。当然,并不是策略先行就表示可以放弃意识,意识也是非常重要的一环,因为最终用电脑的还是人。再厉害的策略都不可能绝对的安全,再厉害的杀毒软件,也难以对付员工自己点击运行的精心制作的有针对性的木马攻击。
做安全方面的规划,我会从我可以做哪些技术手段开始。安全的目标是在用户不具备极高的安全意识的时候,仍然能够尽可能的维护信息的安全。做一个项目之前,请先想想策略方面哪里有没有周到的地方,而不是马上就说需要提高用户的意识。提高意识,是在策略已经很完善了,普通的攻击无效的情况下才需要考虑的问题。这个时候也就说明,安全已经做到一定程度了。
2011-06-17
电脑开机时出现lass.exe进程是病毒吗?
自拍须谨慎!教你如何通过照片定位查看拍摄地点
电脑病毒最基础知识
黑客学员必须了解的C语言技术
精典详细内网渗透专题文章
教你破解Tp-Link的无线路由密码
解决SecureCRT中文显示乱码
QQ电脑管家和360哪个好?横评实测对比
攻防实战:无线网络路由入侵过程