企業網路安全：防範駭客要從公司高層做起

　　如果一支有電腦行家組建的精銳部隊想要黑進你公司的網路，他們很可能會得手。不過，如果就連一個閒得無聊的菜鳥駭客也能攻陷你的系統的話，這就有問題了。而且這個問題的根源並不在於公司的技術薄弱，而在於公司的管理。

[@more@]

　　以今年四月份開始索尼公司遭受的一系列駭客入侵為例，標槍戰略研究公司(Javelin Strategy & Research)的高階安全性分析師菲爾 布蘭克指出，索尼遭受的一系列駭客入侵是由一個叫LulzSec的組織發起的，這個組織帶有一些惡作劇性質，他們使用的駭客手法極為簡單，連高中生都能掌握。

　　駭客襲擊事件之後，索尼對負責網路安全的管理人員進行了換血。今年五月，索尼公司任命原索尼全球解決方案(Sony Global Solutions)總裁酒井文明為公司的代理首席資訊保安官——這是索尼被“黑”後新增設的一個職位。

　　布蘭克表示，許多公司都已經設立了專門負責資訊保安的高階職位，這標誌著他們邁出了重要的第一步。雖說這些負責資訊保安的管理人員可能無法阻止技術含量極高的駭客攻擊，但起碼他們可以避免公司出現低階的安全漏洞。美國電信運營商AT&T的首席資訊保安官愛德華 阿莫魯索表示，資訊保安人員重要的工作，可能就是要把資訊保安部門和公司的其他部門整合到一起，而這並不是一個簡單的任務。

　　像IT員工一樣，資訊保安人員也是動輒滿口術語和行話，不僅其他部門的員工聽不懂，許多高管也摸不著頭腦。

　　不過可能是出於情勢所迫，現在高管們對資訊保安的術語也是越來越門兒清了。阿莫魯索說道：“過去6個月裡發生了一些網路攻擊事件，它們甚至動搖了某些企業的根本。網路安全性問題無疑已經成了一個上升到董事會層面的重大問題。”

　　任命了負責資訊保安的高管後，下一步則是要從每個專案的一開始，就讓資訊保安團隊參與其中。這一點非常重要，尤其是在公司各個互不相干的分支機構開發新技術的時候。阿莫魯索表示，資訊保安專家常常會在公司的某一個專案裡發現漏洞，而他們之前甚至根本不知道這個專案的存在。

　　不僅公司的管理層要將資訊保安視為頭等要務，資訊保安人員本身也要向管理層做出一些妥協，要儘量使自己傳遞的資訊變得更加有趣易懂。阿莫魯索表示：“我們都從IT主管那裡收到過長達三頁、措辭嚴肅的備忘錄。看完開頭兩句話，你就不知道它下面說的是什麼了。這樣是沒法讓人認清問題的。”

　　如果執行得力的話，員工的資訊保安意識會有助於企業防範一些基本的網路攻擊。員工往往會犯一些低階的錯誤，比如點選了一個外部附件，或是點選了一個陌生的網址，這樣一來，駭客就有了接觸公司資訊的機會。

　　這些小錯也能釀成大禍。一旦駭客侵入系統，他們就可以對系統內某些看似不相關的資訊進行編譯，比如賬戶、生日和電子郵件地址等，然後對它們進行交叉連結，從而發動另一輪相當複雜的攻擊。布蘭克表示：“過去人們可以決定哪些資訊是值得保護的，哪些是不值得保護的，但是現在這種日子已經一去不復返了。”現在任何資訊都需要保護。

　　布蘭克還表示，管理人員可以僱傭一些善意的駭客——也就是所謂的“白客”來指點迷津，以避免系統受到某些並非很複雜的攻擊。這樣可以使技術人員知道哪些地方有可能出現問題，以免某些惡意的駭客趁虛而入。

　　當然，沒有什麼辦法能保證所有資訊都絕對安全。但企業只需採取簡單的措施，就可以避免遭受低水平的攻擊。隨著基於網路的應用程式以及移動裝置在企業中的應用越來越廣，資訊保安也必將成為管理層經常討論的問題。