这是一种可能,取决于您公司的网络安全政策,以及您公司员工的计算机复杂性,以及其他因素。
“我发现非常可怕的一件事是,很多时候,你不知道你什么时候受到损害,”网络安全顾问和作者Merike Kaeo Merike Kaeo说。当恶意黑客能够通过说服用户点击启动病毒的电子邮件附件或其他一些方式来获取个人计算机时 - 它们有时会在PC桌面上放置一段代码Kaeo说,只需让它留在那里,也许几个月。“然后,在某个时某一天突然出现,已经启动了一个协调的攻击,你的桌面可能是其中的一部分。”
更糟糕的是,进入公司网络的黑客可能会利用该访问权限来破坏公司系统,破坏公司网站,窃取敏感信息,甚至关闭您的网络。各种各样的技术可以帮助遏制这种趋势。但Kaeo说,通常情况下,防范恶意网络活动的一些最佳防线可能包括基本的员工教育和明确定义并记录在案的网络安全政策。
基于Santa Cruz,加利福尼亚州Santa Cruz的Kaeo在网络行业中花了超过15年的网络,包括七年的网络设备Cisco Systems Inc.(www.cisco.com),加利福尼亚州圣何塞,她是一个思科安全倡议的主要成员。在第二版的书中,“设计网络安全”(思科出版社,2003年11月),Kaeo涵盖了技术读者网络安全的基础,包括开发企业网络安全政策的几章。
令人惊讶的是,也许,Kaeo指出,大多数公司仍然没有书面的安全策略,而是根据临时处理网络安全性。“很多公司主要留给技术人士,”确保我们的网络安全“,”她说。
Kaeo警告说,这种方法不仅对管理人员,而且对信息技术(IT)人员都可能产生危险甚至威胁职业发展的后果。如果没有书面的安全政策,技术人员可能会想出他们认为合理的安全方法,但当发生破坏时,他们的努力只能成为替罪羊。Kaeo说,这是众所周知的事情,“特别是如果有一家大公司参与,有很多宣传。”
没有哪个网络能幸免于渗透。Kaeo指出,每个安全政策都应该包含具体的事故处理程序。例如,谁与媒体对话,谁有决策权?当发生违规行为时,书面政策可能会授权网络管理员采取他或她认为必要的措施,包括可能会让公司付出代价的行动,比如切断网络连接,而不必担心日后的报复。Kaeo建议:“我总是说,如果你是一个技术人员,而你的公司没有安全政策,那就去找你的经理,让公司制定一项安全政策。”
Kaeo说,制定有效的安全政策需要公司的高层管理人员、法务人员以及技术人员的参与。她说:“最好的政策是一份非常厚的文件,大约200页,涵盖所有法律方面,这样如果你想起诉,你就会有这份没有任何漏洞的文件。”
还应该制定一个更短的、三到四页的“每个人都能实际阅读”的文件版本。这份简短的文件应该简明扼要地陈述公司的政策,比如禁止从互联网上下载受版权保护的音乐,或者禁止在网络上放置未经授权的调制解调器或其他设备。
此外,员工培训也是关键。Kaeo宣称:“公司需要对员工——我指的是公司里的每个人——进行关于社会工程和安全问题的培训。”例如,行政助理必须知道,在没有首先验证此人身份的情况下,不能将老板的网络密码泄露给自称来自公司IT部门的人。Kaeo说,同样,各级员工都必须知道“不要随意点击”收到的电子邮件的附件。有时,最简单的预防措施就可以避免网络灾难。
韦斯球队,wiversen@automationworld.com.