安全专家告诉我们以下两个事实:第一,即使精通技术的人也对攻击者的物理访问无能为力;其次,设施管理和维护人员成为软目标。当考虑公司面临的潜在威胁时,请记住以下2件事:
1.不要想当然
如果某人佩带着证章,多数雇员会认为他是获得了授权可以出现在这里的。但是,美国国家侦察办公室计算机反间谍主管Michael Theis指出,拥有一台彩色打印机的10岁小孩就可以轻松制作假证章。
IT的应对措施:Theis说:“应该通过安全培训让雇员树立他们必须好奇的概念。如果你看到你不认识的人,询问他们的身份。”
Vertafore公司CIO Darryl Lemecha向公司的保安、看门人和物业人员提供外部服务工作人员(如允许进入大楼的送货人员和清洁工)的名单和照片。
2.改变访问密码
走廊门、电梯以及数据中心大门上的4位或5位按键密码是阻止入侵者的又一道防线。但是,专家说,访问密码常常几年不变。这意味着任何以前在这个大楼中工作过的人仍可以进入他们现在不应当进入的区域。
Benchmark Group工作站管理员Chris Blake说:“我所在的大楼的电梯使用密码,但这个密码自打我们3年前搬到这里就从没有改变过。所有到过这个大楼的人都知道这个密码,但大楼所有者却不愿让我们修改它。”
IT的应对措施:制定一个修改进入安全区域的密码的正规的时间表。此外,当雇员离开公司时,他们的钥匙卡应当被撤销,他们的证章应当被收回并销毁。
上文中所描述的安全问题,小编以为还是普遍存在的。小编曾在一家公司实习时,正巧,那家公司的IT主管L正在办理离职手续,其间与他有过些许的接触,明显感觉到此人绝非“善类”,呵,小编笑~,话说的比较直白,想来大家都能明白。L离职后的数天,各分公司(小编实习所在的公司是一家连锁型食品杂货超市,全国有50余家分公司)接到总部IT通知:“INTERNET代理服务器需关闭2日,以进行升级维护,其间无法访问INTERNET,给您的工作带来不便,望您理解……”。这是发给公司内所有用户的公示邮件的内容,当然其中另有隐情。分公司的IT员工H随后就接到了来自总部的电话,因为大家都比较熟悉所以就有话直说了,总公司收到一封恶意邮件,有人称因为对公司的一些事情不满,要采取报复行为,从邮件中可以看出是要对系统方面进行攻击。这时大家都认为是L发的这封邮件,虽然没有任何证据,总部IT希望分公司IT提高警惕,多留意L。巧的是,H随后就接到了L的电话,系统部电脑上还有一些L的私人文档,L想将其COPY带走,H自然不能拒绝。其实小编以为就算L不事先告之H,L也可以很轻松的来到系统部,COPY带走他的数据,因为大家都太熟悉了,公司规程的执行者必竟是人,前台接待的保安人员我想不会为难L,应该会给L行个方便。下午,L如期而至,之前H对我说,我们就坐在这(进行“人肉”看护?),直到L离开。L到后我们聊了些近况,他将数据COPY到移动硬盘,随后就离开了,两天内公司电脑系统,网络系统、收银系统并没有出现异常情况,此事也就这样过去了。整个事件可能只是某人想开个玩笑,并没有打算真的做些什么,但通过此事,看以看出公司其实是“应之无法”的,所谓的安全,似乎仅是建立在“人格因素”上。
[1] [2] 下一页