自由自在地访问—完全安全可靠

2009 年 05 / 06 月 Sun Inner Circle 电子 快讯 Sun BluePrints 计划十 周年 Sun 公司首席信息技术官 Bob Worrall 提供的本期 信函 相关资源 Sun 公司公共话语指导 原则 Sun 身份管理解决方案 Inner Circle 订阅者中心 获得符合您的兴趣和需要的内容： » 更新您的个人资料。 还不是会员？ »  现在加入。 联系 Sun

使网络在对那些您想要其进入的人开放的同时对那些您不想要其进入的人封闭，是多数信息安全官面临的艰巨任务。而且，由于整个世界的人都期望能够充分地访问外部社区（例如，社交网络），这个问题变得更加突出。Sun 公司首席信息安全官 Leslie Lambert 向 Inner Circle 读者提供有关如何通过强有力的策略以及告诉员工 “如何” 访问而非 “拒绝” 访问的做法来保护贵公司的建议。

问：首席信息安全官的角色是什么？

答： 我负责保护数字信息。这包括公司的各种信息资产，例如，知识产权、客户数据、商业秘密、源代码以及我们网络、服务器或存储器上的一切保密信息。我不负责处理物理地点 （包括办公楼、证章和大厅官员） 安全方面的
问题。

问：您如何维持 “使网络在对那些您想要其进入的人开放的同时对那些您不想要其进入人的封闭” 这一似是而非的论点？

答： 我们使用已经应用数年的标准 “访问控制” 做法。我们清楚地了解什么人有权访问 Sun 公司的广域网，他们是员工，还是由与 Sun 公司关联的人们组成的一个大家庭中的一部分，例如，承包商、咨询人员、供应商、合作伙伴、外部制造商、分销商，等等。我们利用所有良好的传统访问控制方法，其中包括身份管理、访问管理、角色管理，等等。

我们的企业文化相当开放 — 与其说是一个公司环境倒不如说是一个大学环境 — 因为我们积极使用并支持基于互联网的技术和社交网络。Sun 公司是一个面向上述基于互联网的企业中的许多企业的 IT 提供商，因此，我们不仅促进增长，而且用我们的行动为他们提供支持。

问：现今最大的侵入威胁是什么？

答： 最大的威胁仍然还是各种形式的恶意软件。病毒、蠕虫和僵尸网络 僵尸网络 (Botnet) 过去通常是与在车库外面工作的孤立个体相隔离。现在世界各地的某些国家有一些大型 “产业”，这些产业据称由有组织犯罪集团提供充分的资金支持，从他们所制造的严重破坏中获取巨额利润。如果入侵者能够利用大量信用卡帐号，而且其百分比点击率非常高，那么他们就在其为制造感染而进行的时间投入方面实现了良好的回报。僵尸网络可以跨越网络、感染多台计算机，并利用这些计算机的集体处理能力进行其罪恶的勾当。因此，我的建议是，不仅对您的公司，而且还对您个人的系统，不断更新防病毒和防间谍软件程序。

问：在确保对公司的访问安全时高管们需要牢记的头等大事是什么？

答： 您需要清楚什么人应具有访问权限以及什么人不该具有访问权限。这就是头等大事。其次是拥有进行完善控制的有效机制和流程。您可能需要遵循行业标准，例如，ISO 27001 或 27002，或者有效确保安全的其它标准。然后，您需要通过一定自动化水平来为这项工作提供支持。由于人工操作达不到这项工作所要求的量级和速度，因而人工操作效果很差。身份管理和访问控制产品对于管理访问控制服务极为重要。

问：对于公司来说，允许员工访问社交网络或禁止其访问，哪种情况更危险？

答： 许多公司对于允许员工访问社交网络站点很有顾虑，这正是我最近参加的一次安全行业研讨会的主题。在会上，我介绍了 Sun 公司的开放模式以及通过社交网络进行联系的情况，当时就坐在一家根本不允许员工访问社交网络的制造企业的首席安全官旁边。我们的环境非常不同。但社交网络和人员联系、协作和共享的总体情况正是我们数年来一直在做的事情。过去，我们使用具有其它名称（如新闻组、公告栏或聊天会话）的工具。像 Facebook、MySpace 或 Linked In 这样的 Facile 站点的出现只是上述网站的延伸。您不会考虑将您的公司秘密发布到公告栏或新闻组上。同样地，现在我们必须向员工提供以相同的方式做事情方面的知识和指导，这样，他们就不会把公司秘密、客户数据或知识财产发布到任何人都可以访问的社交网站上。

我认为禁止访问这些工具只是一场没有赢家的战斗。除了关闭网络、关掉电源和拆除所有计算机外没有别的阻止访问的办法。人们现在可以通过其电话和 PDA 进行访问，并会利用其创造力访问到这些东西。此外，如果您像 Sun 公司一样雇佣大学毕业生和 Millenial，这些工具和服务是他们期望可以使用的工具和服务。如果您想要在信息技术领域仍然是一名重要而有竞争力的雇主，您就需要给他们提供这些工具和服务。

因此，我的建议是，如果您目前允许访问这些工具，就请就使用和滥用制定明确的书面指导原则。在 Sun 公司，我们拥有员工都明确的指导原则和政策，这样他们就可以代表公司最大限度地利用这些工具。每位员工都有责任明白并遵守这些政策。政策包括关于如果违反将会受到什么处罚（解职、业绩管理、法律实施等）的信息。我认为，假设员工不去访问这些站点是非常危险的，因为您没有提前制定相应的政策和进行相应的教育。

问：公司如何与没有在其安全实践中应用同等严格水平的外部合作伙伴和社区进行合作？

答： 您需要决定您的风险偏好如何，并制定与此偏好相一致的安全策略。如果合作伙伴没有在其安全实践中应用同样的严格水平，您可能需要重新评估其合作伙伴资格。因为如果他们自己冒的风险太大，这种风险就会影响到您。我们与合作伙伴共享我们的保护做法，并请他们也考虑使用这些做法。如果我们根据合同做生意，我们就请合作伙伴满足一定指导原则。两年前，人们可能会认为此要求太苛刻。现在，他们有了非常深刻的认识。他们知道他们要与某些公司做生意，这可能是必须付出的成本。

问：要采用这些概念需要克服哪些挑战？

答： 是的。猜密码是试图访问系统的常用手段，而且没有精心选择的密码在几分钟之内就会被破解。下面是我的建议：

• 不要使用个人信息。 不要使用您的姓名、地址、生日、狗、猫、朋友或家人姓名、个人身份证号或容易找到的任何信息。
• 切勿使用在任何语言的词典里能够找到的词语。 切勿组合词典词语，切勿使用重复字符（如 aaaaaa）或简单格式（如 qwerty、abcde 或 12345）。
• 切勿使用常用数字取代构成单词的字母。 熟悉的替代（如用数字 1 代替字母 i，用数字 3 代替字母 e，或者用数字 0 代替字母 o）如此常见，以至于在猜密码攻击中总是会被尝试使用。
• 考虑使用 “密码短语”。 从一个最喜欢的短语（可以是最喜欢的书籍、歌曲或语录的标题）中的每个单词中取第一个字母，创造出一个在词典中找不到的字符串，而且该字符串容易记住和重复使用。
• 添加不同的字符类型。. 使用大写字母、数字或特殊字符在您的密码短语上创造一个独特的前缀和后缀。添加字符直到该字符串的最小长度达到 8 个字符。长度非常重要。
• 创建密码提示时，切勿使用易于猜到的答案。 如果您的提示容易被猜出，那么最复杂的密码也很容易被盗。