安全隱患一：筆記本公司、家里兩用，給了病毒可乘之機(jī)

筆者公司的老板比較大方，對部門主管級別以上的管理人員，都配備了筆記本電腦。有一次，銷售經(jīng)理出差回來后，網(wǎng)絡(luò)突然變得非常的慢。筆者第一時間就意識到可能網(wǎng)絡(luò)受到了病毒的攻擊。可是，筆者在企業(yè)網(wǎng)絡(luò)的網(wǎng)關(guān)上已經(jīng)部署了反病毒軟件與防火墻。在這些設(shè)備上，也沒有看到企業(yè)網(wǎng)絡(luò)被外部病毒攻擊的現(xiàn)象。難道問題時出在企業(yè)內(nèi)部?經(jīng)過一番的苦苦查詢，終于給筆者找到了禍害的根源“銷售經(jīng)理的筆記本電腦”。原來銷售經(jīng)理出差回來后，他的筆記本中招了，中了蠕蟲病毒。當(dāng)他的電腦聯(lián)上企業(yè)的網(wǎng)絡(luò)之后，企業(yè)的網(wǎng)絡(luò)就陷入到快癱瘓的地步。

在企業(yè)內(nèi)部，當(dāng)員工在辦公室里的時候，企業(yè)員工的電腦，無論是筆記本，還是臺式電腦，都會受到企業(yè)安全產(chǎn)品的防護(hù)，如企業(yè)的防火墻產(chǎn)品或者網(wǎng)關(guān)級別的殺毒軟件。這些安全產(chǎn)品對于員工來說，往往是透明的，他們不清楚有這些安全產(chǎn)品在運(yùn)行，他們并不知道，他們的操作系統(tǒng)一直受著這些安全產(chǎn)品的保護(hù)。當(dāng)他們離開這個辦公場所，他們筆記本就不能收到企業(yè)防火墻的保護(hù)，客戶端的殺毒軟件也就不能在企業(yè)的殺毒軟件服務(wù)器上進(jìn)行升級。所以，等到他們離開辦公室的時候，員工就會以為在企業(yè)里上網(wǎng)不會受到病毒的感染，那么在外面上網(wǎng)也會是安全的。在這種錯誤意識的引導(dǎo)下，他們在外面上網(wǎng)時也會肆無忌憚。結(jié)果呢，一不小心，他們的筆記本電腦就會中招了。而且當(dāng)他們把感染病毒的筆記本電腦連接到企業(yè)的內(nèi)部網(wǎng)絡(luò)上后，這些病毒因為沒有通過防火墻，就直接在企業(yè)內(nèi)部網(wǎng)絡(luò)上進(jìn)行傳播，成為了一個病毒的感染源。

所以，因為這種原因，筆記本等移動計算設(shè)備，對于企業(yè)的網(wǎng)絡(luò)安全，正在產(chǎn)生越來越大的威脅。針對這種情況，我們作為企業(yè)網(wǎng)絡(luò)的安全管理人員，又有什么好應(yīng)對措施呢?

筆者的做法是：

一方面限制這些筆記本登陸用戶的權(quán)限。在一般情況下，若我們給操作用的權(quán)限比較小，如其不能多操作系統(tǒng)本身進(jìn)行任何的改變，只能對一些文件進(jìn)行存儲的話，其及時被病毒攻擊了，則也基本上不會被感染。因為任何病毒或者木馬需要具有感染性的話，則必須操作的用戶需要有注冊表或者系統(tǒng)文件的修改權(quán)限，否則的話，就不會有傳播性。所以，單從安全性方面來考慮，針對臺式電腦來說，筆記本用戶的權(quán)限管理更加的重要。但是，在實際工作中，可能會由于種種的原因，我們做不到這一點(diǎn)。如筆記本用戶基本上都是部門主管或者經(jīng)理級別以上的員工所使用，若給他們設(shè)置過小的權(quán)限的話，則恐怕他們會不高興。其實，作為網(wǎng)絡(luò)安全管理員，不需要考慮這么多的因素。我們只需要做好自己的安全管理工作即可。若我們真的拉不下這個 臉面的話，還有一個變通的方法，就是設(shè)置兩個用戶，一個具有管理員權(quán)限，一個是普通用戶。默認(rèn)情況下，是以普通用戶登錄的。然后告訴他們管理員用戶的密碼，讓他們在有需要的時候，如需要安裝軟件時，最好在離網(wǎng)的情況下，以管理員用戶權(quán)限登陸。

另一方面，需要對這些移動設(shè)備用戶進(jìn)行一些特別的培訓(xùn)。如至少要讓他們了解，在企業(yè)內(nèi)部使用筆記本電腦的話，是受到企業(yè)防火墻以及網(wǎng)關(guān)上的反病毒軟件等安全產(chǎn)品的防護(hù)，所以，上網(wǎng)比較安全。但是，當(dāng)他們出差或者在家里進(jìn)行上網(wǎng)的時候，會失去這些產(chǎn)品的保護(hù)，殺毒軟件也無法實現(xiàn)及時的升級。相當(dāng)于上，他們此時的筆記本電腦已經(jīng)失去了防護(hù)罩，若在這個情況下，隨意的訪問網(wǎng)站的話，那么筆記本電腦就很容易中招，成為病毒或者木馬的寄宿品。提醒他們在沒有企業(yè)安全產(chǎn)品保護(hù)下進(jìn)行上網(wǎng)操作時，要注意安全，并采取一些可行的防護(hù)措施。如在外面上網(wǎng)時，登陸的用戶操作權(quán)限不要太高，不要向在公司內(nèi)部那么肆無忌憚的使用網(wǎng)上銀行等等。從意識上提高網(wǎng)絡(luò)安全的觀念。

安全隱患二：被偷的危險

筆者公司里，因為員工出差比較頻繁，有些員工隨身帶的筆記本，由于防范意識不夠，經(jīng)常發(fā)生筆記本被偷的現(xiàn)象。光去年一年，就有三臺筆記本在公司外部被偷。結(jié)果呢，員工只好自己掏腰包，賠償部分損失。有些員工甚至因噎廢食，出差時都不敢?guī)ЧP記本電腦了。這當(dāng)然也給日常工作帶來了負(fù)面的影響。

由于筆記本電腦體積小、價值大，確實成為了很多小偷關(guān)注的對象。但是，筆者認(rèn)為，只需要員工在筆記本保管的時候，稍微注意一點(diǎn)，就可以避免這個損失。

如員工筆記本不隨身帶的時候，如放在賓館里，不要隨便亂放。一般來說，賓館里都會有保險柜，可以放在保險柜里;或者交由前臺人員管理。

筆者還為每臺筆記本配置了一把鎖，就是類似于鏈條鎖的那種安全產(chǎn)品。當(dāng)筆記本用戶無論在公司里還是出差在外，需要使用筆記本的時候，最好能夠把這個鎖鎖上。這就可以防止員工短時間內(nèi)離開筆記本的時候，不會被人順手牽羊的拿走。

而筆記本被偷的話，筆記本本身的價值可能還在其次，最重要的還是筆記本中所包涵的信息的價值。這就如同艷照門事件一樣，若筆記本內(nèi)部的信息被濫用的話，對于企業(yè)來說，損失是非常的的。最常見的是，高手可以憑借筆記本中的相關(guān)信息，破解用戶郵件帳號與密碼、遠(yuǎn)程登錄帳號與密碼等等，給企業(yè)的網(wǎng)絡(luò)安全埋下了隱患。

安全隱患三：VPN等遠(yuǎn)程登錄帳號的泄漏

當(dāng)員工出差的時候，他們可能需要通過VPN等技術(shù)手段，登陸到企業(yè)的內(nèi)部網(wǎng)絡(luò)上，進(jìn)行一些服務(wù)器的訪問。如通過VPN服務(wù)器訪問企業(yè)內(nèi)部的辦公自動化系統(tǒng)或者企業(yè)資源計劃系統(tǒng)等等。此時，一些員工的不好的習(xí)慣，就會導(dǎo)致帳號的泄漏，給企業(yè)的網(wǎng)絡(luò)安全造成安全隱患。

如有些員工，擔(dān)心自己的記性差，怕記不住用戶名與密碼，就會把VPN的用戶名與密碼保存在筆記本電腦上。到他們出差或者在家里的時候，需要用到這個用戶名與密碼的時候，就可以打開查看。但是，這個看是不錯的習(xí)慣，畢竟好記性不如爛筆頭呀，卻給我們企業(yè)的網(wǎng)絡(luò)安全造成非常大的隱患。艷照門事件剛過去不久，大家一定還印象深刻吧。員工出差在外的時候，可能也會遇到一些計算機(jī)故障的問題。

如筆者企業(yè)的一個采購經(jīng)理一次出差在外的時候，筆記本在賓館里連不上網(wǎng)絡(luò)，就叫酒店的網(wǎng)絡(luò)管理元來查看問題。網(wǎng)絡(luò)管理員趁著查找問題的時候，偷偷的看了這個用戶名與密碼文件。其實，用戶最近打開的文檔都會在操作系統(tǒng)的“開始”“最近打開文檔”中顯示。一看這個菜單列表，就可以知道用戶最近打開了哪些文檔。酒店的網(wǎng)絡(luò)管理元就憑這個知道了筆者公司VPN服務(wù)器登陸密碼，進(jìn)行登陸。

后來等到采購經(jīng)理回到公司，筆者在防火墻訪問日志上，看到采購經(jīng)理的VPN登錄帳戶還在利用VPN服務(wù)器登陸企業(yè)內(nèi)部網(wǎng)絡(luò)，筆者才發(fā)現(xiàn)這個問題。經(jīng)過一番查找，發(fā)現(xiàn)訪問的IP地址跟上次采購經(jīng)理出差時在酒店里訪問VPN服務(wù)器的IP地址是同一個。筆者才判斷大概就是在這個時候，采購經(jīng)理不小心泄漏了用戶名與密碼，給他們有機(jī)可乘。

可見，在筆記本電腦上，記錄一些關(guān)鍵的帳號與用戶名的話，由于筆記本電腦的移動性強(qiáng)，所以，記錄在筆記本電腦上的用戶名與密碼，安全性就受到了很大的威脅。而這也直接影響到了企業(yè)的內(nèi)部網(wǎng)絡(luò)的安全。

因為這個筆記本泄漏VPN等登陸密碼的事件，筆者還遇到一件更加氣人的。那時，公司的銷售經(jīng)理出差時，想利用VPN服務(wù)器登陸企業(yè)的CRM客戶關(guān)系管理系統(tǒng)。但是，死活都登陸不上去。他以為是酒店網(wǎng)絡(luò)的問題，就把酒店的人找來解決問題。他竟然直接把VPN的登陸名與密碼告訴對方，讓對方調(diào)試。結(jié)果呢，可想而知。在后來，筆者發(fā)現(xiàn)這個用戶名與帳號在銷售經(jīng)理不出差的時候，還經(jīng)常登陸。筆者就馬上換掉了密碼。

總結(jié)

筆記本這類移動設(shè)備，給我們帶來方便的同時，麻煩也層出不窮，若光靠技術(shù)手段的話，也很難管理好。主要還是需要通過培訓(xùn)加深移動設(shè)備用戶的本身的安全觀念。讓他們在外面辦公的時候，盡量注意不要泄漏這些密碼。筆者同時也加強(qiáng)了對于密碼更改的頻率，盡量把這個因為用戶名與密碼的泄漏給給企業(yè)的造成的損失降至最小。

【編輯推薦】

1. 十年輪回 中國安全軟件的那些滄桑
2. AVG急速查殺Spyeye變種 免費(fèi)保護(hù)用戶安全
3. 友誼賓館啟用網(wǎng)絡(luò)擁塞解決方案 高品質(zhì)服務(wù)兩會