IP語(yǔ)音通話技術(shù)成為八種最危險(xiǎn)時(shí)尚新技術(shù)
2008/02/19
在當(dāng)今世界上,高技術(shù)產(chǎn)品充斥于人們工作的各個(gè)角落�����。這些產(chǎn)品從智能手機(jī)�,基于語(yǔ)音的IP電話系統(tǒng),閃存�,到各種虛擬的在線世界,不一而足���。并且隨著越來(lái)越多的消費(fèi)者開(kāi)始習(xí)慣個(gè)性化的技術(shù)��,使得各種新技術(shù)被很快的采用����。
在最近由Yankee調(diào)查機(jī)構(gòu)針對(duì)企業(yè)用戶的一項(xiàng)調(diào)查中����,500名受訪者中的86%承認(rèn)在工作場(chǎng)所的時(shí)候他們使用了不止一種這些設(shè)備和技術(shù),既是為了創(chuàng)新也是為了生產(chǎn)效率�。
然而,這一潮流給IT組織帶來(lái)了很大的麻煩��。首先��,使用這些技術(shù)會(huì)增加安全漏洞的可能性����。除此之外����,用戶還會(huì)期待IT產(chǎn)業(yè)提供相應(yīng)的配件和服務(wù)�,特別是他們?cè)谝粋(gè)共同的環(huán)境下使用設(shè)備的時(shí)候。
但是在許多公司����,如果單純的禁止員工使用這些設(shè)備或是連接這些服務(wù),那將有違公司文化�。與此同時(shí),公司也不能完全依靠相應(yīng)的規(guī)章制度來(lái)約束員工保證公司的安全�����。
"對(duì)于IT部門(mén)來(lái)說(shuō)IT消費(fèi)品簡(jiǎn)直就是一個(gè)噩夢(mèng)����,要維護(hù)和解決這些問(wèn)題將會(huì)迅速消耗IT資源,除非他們能夠找出新的解決方案來(lái)控制雇員的使用"Yankee的分析師Josh Holbrook說(shuō)���。Holbrook將禁止大眾化技術(shù)( consumer technologies )在工作地點(diǎn)的使用等同于"一個(gè)永恒的打鼴鼠的游戲"����。與此同時(shí),他建議使用內(nèi)部服務(wù)合作的模式來(lái)終止對(duì)終端用戶的控制��。
為了幫助企業(yè)如何做出相應(yīng)����,以下我們列出了8種在工作中比較流行的大眾化技術(shù)��,以及探討企業(yè)如何在安全���,生產(chǎn)效率以及良好的企業(yè)氛圍中找到平衡點(diǎn)��。
1. 即時(shí)通訊
員工幾乎在所有的日常生活中都使用即時(shí)通訊��,例如與同事及商業(yè)合作伙伴之間的通訊����。據(jù)調(diào)查40%的受訪者稱(chēng)他們?cè)诠ぷ髦薪?jīng)常使用即時(shí)通訊技術(shù)�����。實(shí)際上����,即時(shí)通訊會(huì)導(dǎo)致一系列的安全問(wèn)題�。此外�,惡意軟件也會(huì)借外部即時(shí)通訊程序侵入企業(yè)內(nèi)部網(wǎng)絡(luò),即時(shí)通訊用戶也可能在不知情的情況下就通過(guò)不安全的網(wǎng)絡(luò)將公司的敏感信息泄露出去����。
對(duì)付這一威脅的一個(gè)方法就是逐步停止使用即時(shí)通訊服務(wù)而代之以?xún)?nèi)部即時(shí)通訊服務(wù)器。在2005年末的時(shí)候����,Global Crossing公司就采用這一辦法,他們?cè)诠緝?nèi)部部署了微軟的企業(yè)實(shí)時(shí)通訊服務(wù)器(LCS)����。在2006年8月,他們就完全禁止了公司員工直接使用外部的即時(shí)通訊服務(wù)�,包括,AOL�,MSN 和Yahoo現(xiàn)在,所有的內(nèi)部即時(shí)通訊的交換都經(jīng)過(guò)了加密�,并且外部的即時(shí)通訊交換也受到了保護(hù),因?yàn)檫@些信息都要經(jīng)過(guò)LCS服務(wù)器和微軟的公共即時(shí)通訊服務(wù)器的過(guò)濾���。
2. 網(wǎng)絡(luò)郵件
在受訪者中���,50%的人說(shuō)他們經(jīng)常使用電子郵件用作商業(yè)目的�。對(duì)于使用這些電子郵件應(yīng)用程序的客戶來(lái)說(shuō)�,問(wèn)題就是,諸如Google, Microsoft, AOL 和Yahoo之類(lèi)程序的安全問(wèn)題他們并沒(méi)有意識(shí)到���,因?yàn)檫@些信息的傳輸是經(jīng)過(guò)網(wǎng)絡(luò)�����,并且是存儲(chǔ)在服務(wù)提供商的服務(wù)器和電子郵件服務(wù)提供商的服務(wù)器上的。如果沒(méi)有意識(shí)到這一問(wèn)題���,許多人在不作判斷的情況下就使用電子郵件發(fā)送敏感帳號(hào)���,密碼,機(jī)密的商業(yè)數(shù)據(jù)或是交易秘密�����。
一個(gè)提高網(wǎng)絡(luò)郵件安全的方法就是使用關(guān)鍵詞過(guò)濾工具來(lái)監(jiān)控電子郵件以及其它的監(jiān)控技術(shù)����,還有在發(fā)現(xiàn)潛在的漏洞的時(shí)候發(fā)出警告或是直接禁止電子郵件的發(fā)送。
3. 可移動(dòng)存儲(chǔ)設(shè)備
IT管理人員最怕的一件事就是日益增長(zhǎng)的各式各樣的移動(dòng)存儲(chǔ)設(shè)備,從蘋(píng)果公司的iPhone到各種移動(dòng)存儲(chǔ)設(shè)備�。人們可以使用這些設(shè)備下載任何數(shù)量的機(jī)密信息和敏感數(shù)據(jù)然后將其大走,這不是IT管理人員所愿看到的信息的存在方式�。
"僅在過(guò)去的三個(gè)星期,我就聽(tīng)了關(guān)于閃存和其它移動(dòng)存儲(chǔ)設(shè)備風(fēng)險(xiǎn)的6個(gè)不同的報(bào)告���。"Mark Rhodes-Ousley�����,他是一名信息安全結(jié)構(gòu)師��,也是Network Security: The Complete Reference(網(wǎng)絡(luò)安全:完全的參考)一書(shū)的作者�����。
盡管關(guān)閉員工的計(jì)算機(jī)上的USB接口是輕而易舉的事情���,許多安全管理人員認(rèn)為這并不是一個(gè)值得推崇的解決方案。那么你應(yīng)該在哪些地方畫(huà)上界線呢?如果你限制了USB端口�����,進(jìn)入公司的移動(dòng)電話上面也有數(shù)據(jù)存儲(chǔ)的端口���,那么你不得不考慮限制設(shè)備上的紅外端口和CD刻盤(pán)機(jī)���,這樣限制就會(huì)越來(lái)越多���。
處理這一問(wèn)題的最好方法是教育雇員怎么樣對(duì)待敏感數(shù)據(jù)的存儲(chǔ)。實(shí)際上��,大多數(shù)安全事故的發(fā)生都是無(wú)意的而不是惡意的���,這就是為什么選擇教育的原因�,主要是關(guān)于適當(dāng)操作及其重要性�����。
安全專(zhuān)家表示��,最好的方案就是在員工在使用USB或是其它的未經(jīng)加密的存儲(chǔ)媒介復(fù)制文件的時(shí)候����,管理員發(fā)送一條信息告知這是違反公司規(guī)定的�。
同時(shí),密歇根州的大峽谷州立大學(xué)(Grand Valley State University)和其它一些大學(xué)的有丟失過(guò)帶有敏感數(shù)據(jù)閃存的慘痛經(jīng)歷的教授和學(xué)生們也正努力研究密碼的標(biāo)準(zhǔn)化問(wèn)題--還有加密保護(hù)USB驅(qū)動(dòng)在將來(lái)來(lái)保護(hù)他們自己�����。
4.掌上電腦和智能手機(jī)
越來(lái)越多的雇員開(kāi)始在工作中使用各式各樣的智能手機(jī)或是個(gè)人數(shù)據(jù)助理,可能是BlackBerry, Treo 或是 iPhone���。但是當(dāng)他們同步顯示他們?cè)O(shè)備的日歷的或是使用他們的個(gè)人電腦用電子郵件發(fā)送應(yīng)用程序的時(shí)候�,產(chǎn)生的問(wèn)題可能包括程序短路以及藍(lán)屏死機(jī)現(xiàn)象�。
除此以外,要是員工辭職或是被解雇�,他可以帶走他想要的任何信息,只要他隨身攜帶了掌上電腦或是智能手機(jī)����。
一個(gè)規(guī)范化公司的IT部門(mén)將只會(huì)支持某一個(gè)品牌和型號(hào)的掌上電腦,從而將危險(xiǎn)可能性降到最低限度��。一些公司甚至在筆記本的使用上也建立了類(lèi)似的標(biāo)準(zhǔn)��,不得不承認(rèn)筆記本的威脅比掌上電腦的威脅更大��,因?yàn)樗鼈兛梢源鎯?chǔ)更多的數(shù)據(jù)�����。
5.視頻電話
一名醫(yī)院的員工站在育嬰室的門(mén)口�,隨意的與護(hù)士聊天��。沒(méi)有人注意在她的手上有一個(gè)小的掌上設(shè)備�,她時(shí)不時(shí)的按下一個(gè)小按鍵��。這不是經(jīng)常在間諜電影里出現(xiàn)的情形嗎?不�����,DeKalb's Finney領(lǐng)導(dǎo)的一個(gè)安全調(diào)查證實(shí)了這點(diǎn)��。
"我做的一個(gè)實(shí)驗(yàn)就是把我的手機(jī)帶到育嬰室然后開(kāi)始拍照����,他們都不知道"她說(shuō)。"我想下載這些照片�����,提高像素然后看一看我得到的照片--然后關(guān)于病人的信息展現(xiàn)在我的電腦屏幕上或是出現(xiàn)在我 辦公室的桌子上�����。"
最后證明�,她并沒(méi)有得到任何關(guān)于個(gè)人的有效信息�����,但是從電腦屏幕中的信息她得到了關(guān)于電腦名稱(chēng)的信息(注意不是IP信息)。
"這類(lèi)信息與從其它渠道得到的信息匯編在一起就可以形成一個(gè)攻擊計(jì)劃�����,"他警告說(shuō)���。
6.Skype或其他的基于語(yǔ)音的IP通話技術(shù)
另外一個(gè)大眾化的技術(shù)就是Skype���,是一種基于下載軟件的免費(fèi)英特網(wǎng)通話服務(wù)技術(shù)。實(shí)際上�����,有20%的受訪者將這種技術(shù)運(yùn)用于商業(yè)活動(dòng)中�。
在商業(yè)環(huán)境中,由于Skype或是類(lèi)似技術(shù)導(dǎo)致的危險(xiǎn)與下載到受到威脅的計(jì)算機(jī)上的大眾化軟件的風(fēng)險(xiǎn)是一樣的���。企業(yè)用應(yīng)用程序升級(jí)很快并且很安全�,而大眾化的應(yīng)用程序升級(jí)很少也不安全�。因此在你每次下載Skype或是其它軟件的時(shí)候,你實(shí)際上就是引狼入室��。例如,這些軟件會(huì)與計(jì)算機(jī)或網(wǎng)絡(luò)上的任何應(yīng)用程序綁定��,潛在的就會(huì)影響應(yīng)用程序的性能��。
Skype最近就發(fā)布了安全漏洞的4個(gè)補(bǔ)丁����,用戶在下載最新版本的時(shí)候就可以安裝。但是IT部門(mén)根本就不知道有多少用戶安裝了Skype�,更不要說(shuō)有多少人做了蠢事,根本就無(wú)法有效監(jiān)管���。
Gartner調(diào)查公司建議最安全的辦法就是阻斷所有Skype流量��。Gartner還說(shuō)��,如果企業(yè)不這樣做的話��,他們可以使用相應(yīng)的監(jiān)管工具對(duì)Skype程序有選擇性的控制并且保證只授權(quán)給相應(yīng)的員工���。
7.下載窗口小部件
根據(jù)Yankee調(diào)查,用戶使用諸如Nokia E62的設(shè)備下載窗口小部件�����,這些小部件可以快速訪問(wèn)Web應(yīng)用程序���。根據(jù)Holbrook調(diào)查�����,這些窗口小部件很容易就進(jìn)入了個(gè)人電腦����,這樣很快就侵入了IT部門(mén)苦心控制的系統(tǒng)環(huán)境�����。
除此之外���,沒(méi)有經(jīng)過(guò)檢查的軟件下載也會(huì)存在潛在的風(fēng)險(xiǎn)�,感染病毒的可能性不是很大�,但是你有可能下載一些你不是太信任的軟件。
8.虛擬化環(huán)境
商業(yè)用戶開(kāi)始在工作中使用虛擬環(huán)境�。他們這樣做,所以IT部門(mén)要開(kāi)始關(guān)注與之相應(yīng)的安全問(wèn)題�����。Holbrook說(shuō),簡(jiǎn)單的關(guān)閉使用虛擬環(huán)境看起來(lái)似乎是不足的����。
與此同時(shí),在使用Second Life的時(shí)候�,人們會(huì)下載大量的可執(zhí)行代碼然后就會(huì)在企業(yè)防火墻內(nèi)部生根,這是Gartner公司最近的一份調(diào)查報(bào)告中公布的����。此外,要想知道使用虛擬世界的人的真實(shí)身份很難�。
Gartner的一個(gè)建議就是,在員工通過(guò)企業(yè)的無(wú)線網(wǎng)絡(luò)使用虛擬世界或是在家里使用�����。第三個(gè)選擇就是就是公司建立自己的虛擬網(wǎng)絡(luò)世界并且就部署在企業(yè)內(nèi)網(wǎng)的防火墻中�。
安全在線
相關(guān)鏈接: