1.7. 安全不能是馬後炮

1.7. 安全不能是馬後炮

不管您怎麼看系統所處的環境，絕不能把安全性視為理所當然的事。即使沒連上網際網路的單機，都會面臨一些潛在的威脅（雖然這些威脅顯然跟從世界上其他地方連線進來的不同）。

因此不管您做什麼事情，一定要把安全問題迹?/p>

1.7. 安全不能是馬後炮

不管您怎麼看系統所處的環境，絕不能把安全性視為理所當然的事。即使沒連上網際網路的單機，都會面臨一些潛在的威眉：

• 您管理的系統可能會面臨哪種威茫?/p>

  如果「那個人」試圖顛覆系統安全，會發生什麼事？

  	注意
  	這絕不意味著您該把所有同事當作罪犯。這只表示您該檢視每個人的工作類型，並看看一個員工以他的職位權限（而且他願意的話），會對安全性造成怎麼樣的傷害。

  1.7.1. 社交工程的風險

  當說到資料安全時，大部分系統管理者的第一個反應都屬技術方面；但對資料安全有著完整、全盤的了解，是非常重要的。通常資料安全受到戕害都與技術無關，問題出在人。

  破解資料安全的人多半跳過技術性問題，轉而利用人性上的弱點。這稱為「社交工程（social engineering）」。底下是個例子：

  值第二班的作業人員接到一通電話，打電話的人自稱是公司的財務長（財務長的姓名與背景都可以在公司網站上的「管理階層」網頁上找到）。

  對方表示他正在旅行途中，目前正在另一個國家（這部份可能是捏造的；但可能公司網頁上最近發佈的新聞稿指出，財務長正出席某個貿易展）。

  打電話來的人說了個悲慘故事：他的筆記型電腦在機場被偷了，而他馬上要去見一個重要客戶，需要從公司內部網路上找到這個客戶的帳號資訊。您的作業人員會不會如他所願，告訴他想要知道的資料呢？

  您知道作業人員會怎麼做嗎？除非您的作業人員受過良好訓練（遵循公司政策與一定程序），否則您可能想不到他會怎麼處理。

  跟 交通號誌一樣，政策與程序都可以提供明確的指示，告訴使用者什麼該做，什麼不該做。但誠如現實社會的交通號誌一樣，政策與程序只有在人們願意遵循時，才會 發生作用。剛剛這情況的答案是個謎 — 不太可能每個人都會照著政策與程序走。事實上，根據您組織的本質，您可能連制定政策的能力都付之闕如，更不要說強迫其他人遵守規定。那怎麼辦呢？

  很不幸地，這問題不容易回答。教育訓練會有幫助；盡您可能的讓使用者了解資料安全與社交工程。在午餐時間針對安全性做簡報。寄安全相關的網路新聞給公司裡的所有人。當使用者發現事有蹊蹺時，您也要能即時回應他們的問題。

  簡言之，用任何可能的方法，把這些訊息傳達給您的使用者。

  原文转自：http://www.ltesting.net