巧克力棒和企业密码

用一条巧克力棒交换你所在公司的网络密码，你愿意吗？在2004年欧洲信息安全会议（Infosecurity Europe 2004）举办之前，其主办单位在伦敦利物浦街地铁站对经过的“上班族”做了这样一项调查。

调查结果令人吃惊，37% 的受访者立刻点头答应，另有34% 的受访者后来也不敌采访人员的诱导，暗示他们宠物或小孩的名字就是密码。可能威胁到公司机密泄露的密码就这样轻易地到了陌生人手中。

最简单的“后门”

恐怕这个意见调查的结果出乎大多数人的意料。密码只是简单的几个字母和数字，份量却不轻。这些员工泄露的密码可能有访问公司机密资料的权限；也可能造成公司网络被人远程监控，或者存储空间被“种”上一只病毒，后果不堪设想。

电脑和互联网在为所有的现代化公司带来高效率和生意的同时，机密被窃取、IT设备及其数据遭破坏等网络安全问题就一直让各公司IT管理人员们的神经绷紧。各种杀毒软件、防火墙高度普及，实现用户授权和认证的安全管理解决方案市场之大足以让安全厂商们眉开眼笑。在3月份举办的2004亚太安全论坛上，IDC预测2007年全球安全市场的总额将从2002年的639亿美元增长为1188亿美元，IT安全投资也可谓“疯狂”。

不过眼下的局势有点儿让人哭笑不得。不论公司的安全部署造就了怎样的“铜墙”和“天网”，它惨败在了“巧克力棒”这个全新的“黑客工具”手下，这简直是一道最简单的“后门”。2004欧洲信息安全会议活动总监Claire Sellick针对前述的“地铁站巧克力棒调查”结果评论道：“这表明雇主对员工的宣导不足，以至于他们不了解信息安全的重要性。”

超过四分之三员工的“背叛”，其实印证了IT安全界普遍认同的一个说法—70%的安全损失是由企业内部原因造成的。仅是基于密码的访问权限管理就往往因为内部管理和员工疏忽而造成问题不断：由于没有清晰定义每位员工在系统内的访问权限，使本该由一定级别的人员才能掌握的业务秘密泄露；过于复杂的密码因为难于记忆，而被员工写下来贴在办公桌上；离职或被解聘员工的系统登陆账号和密码一直没有被更换和取消；专业财务管理的密码和普通桌面密码混用……解决这些问题的落脚点显然应该是对人的管理。

几乎所有的公司都会发布一系列的文件、规章制度，限定公司内部不同职务、不同部门的员工的权限，给每个岗位都制定了严格的IT操作行为规范。但是，这些文字性的手段往往会因为各种原因而难于良好地执行。员工对于诸多“缚住手脚”的规定有天然的抵触心理，在“提高工作效率”的大旗下“偶尔”因为忙碌而忽略这些制度听起来似乎天经地义。

安全教育是必需的，员工应该对安全的重要性和细节有深入的了解。另一方面，如安全管理软件提供商CA公司所指出的，公司还需要加强惩罚措施。例如对那些上班时间占用公司带宽下载电影，或者总是好奇地点开邮件中的病毒程序的员工罚款，让他公开向公司其他员工道歉等。若想达到这一步则需要技术数据的记录，公司的安全管理也要从纯行政管理转变为有技术手段支撑的管理。3A（管理、授权、认证）一类的安全软件就是在通过技术强制实现人们现实生活中的安全规章制度。据说诺基亚公司员工使用的笔记本电脑开机需要10分钟，远远慢于一般电脑的一两分钟，原因就在于诺基亚规定内部员工要使用三套密码规则才能进入系统，而且要定期更换密码。

然而，密码可以轻易地被传递或被诱骗，员工也受够了记住多重密码的苦。人们正在尝试使用其它方式来实现安全管理和身份认证，例如采用员工的脸相、虹膜、指纹、声音等人体天然的特征来代替那些难以记忆的密码，或者开发包含这些生物特征的智能卡。尽管技术有待进一步成熟、成本也相对颇高，公司和员工都将面临这类新的认证体验，一切都为了那伤脑筋的安全管理。

公司，你是我的谁？

或许并不能把导致“密码危机”的责任完全推卸到安全意识和安全技术的头上。试想，如果员工意识到泄漏密码可能会导致他自己的私人数据和私人电脑遭到破坏，他们还会这样做吗？很容易推理，这种情况下巧克力棒在密码面前将一文不值。

利益，应该是点破这一反差的关键词。如果涉及自身利益，更多的人自然会“三思而后行”。换句话说，我们的推理默认“公司的利益不等同于员工的利益”，那么公司的利益对员工来说意......More↓↓↓