“如果用户的安全意识不高,不管购进如何昂贵的安全产品也没有用。首先要提高用户的安全意识,使大家了解‘什么是危险的'、‘怎样才能保护重要的信息'这是 非常重要的。另外,在使用安全产品时如果只看知名度恐怕会后悔,应该在仔细考虑功能之后再做出选择”。美国Cyberguard的高级副总裁保罗·亨利(Paul Henry)11月20日在接受《IT Pro》的采访时,强调了提高用户安全意识的重要性。以下是谈话的主要内容。
以人名作为密码容易被识破
为提高企业及组织的安全等级,必须提高每个用户的安全意识。而要提高安全意识,首先需要使他们认识到密码的重要性。盗用密码冒充正式用户的攻击,防止起来非常困难。为维护安全,使攻击者无法盗取密码、无法推测密码是非常重要的。
尽管如此,许多用户尚未认识到保护密码的重要性,贪图方便设置简单的密码。有的用户认为使用人名等固有名词的密码不易被破解,这可就大错特错了。由于目前有收录各国人名的词库文件,使用该文件很快便可破解人名密码。不要说普通的词库中收录的单词,人名等固有名词也不可以用来作为密码使用。我们希望用户能够使用最少8个字符,包括大写、小写、数字、符号的密码。
密码无论如何不能告诉他人。我在和某企业的首席执行官谈话时,向他寻问密码,他没有直接告诉我。但在说话之中,他向我透露了以自己女儿的名字作为密码。而又谈了一会儿,他忘记了密码的话题,将他女儿的名字也告诉了我。
攻击者会花言巧语地打听密码等信息,骗取他人密码的“社交工程(Social engineering)”也越来越多。请用户务必注意不要上当受骗。
网民的义务
应该使互联网的用户广泛了解自己有对自己的计算机预先进行安全设置的义务。如果将未采取安全措施的计算机接入互联网,则受害的不仅仅是该计算机。攻击者能以该计算机为跳板,攻击其它计算机。
用户使用笔记本电脑时,有可能会将病毒带入公司内部LAN。在接入互联网时,不仅为了自己,为其他用户着想也必须对自己的计算机采取安全措施。这是用户为享受互联网的方便性而必须承担的义务。
不能仅根据知名度来选择
目前,市场上包括防火墙等许多安全相关产品。为了提高企业及组织的安全等级,用户必须使用安全产品,但由于产品数量众多,经常可以听到用户反映说“不知该使用哪种好”。
最终,有许多用户没有认真调查各款产品的功能,仅仅以“名气大”为理由选择安全产品。在很多情况下,以“名气大”为理由选择产品都会失败。
有的产品虽然宣称“可以检查到应用软件层”,但在设置画面中没有关于应用软件的设置。有的产品虽自称“支持许多协议”,但实际上只准备了2、3种协议相关的设置。在购买产品时,用户必须仔细检查一下该产品是否具备自己所要求的功能。
当然,也没必要购买超出自己要求的高级别产品。普通企业不需要使用政府及金融机构那样的安全产品。但是,不管企业规模大小如何,处理顾客个人信息的系统必须确保万全。也就是说,要求的安全等级不应由企业规模,而应由所要保护的内容来决定。
|