本文作者试图从网络安全的反面立场来阐述如何才能保护内部重要的信息。文中列举的21种方法都是我们平时经常忽略的安全问题,入侵者可以很容易获得我们系统内的重要信息,因此希望网络管理员从中得到启发,并引以为戒。
1.不关心甚至根本不知道你将要保护什么。
2.别给你的数据库、特别是那些包含信用证或其他机密信息进行加密。确信把它们保存在谁都可以访问的服务器上。
3.不要给你的软件打补丁,不要升级你的病毒特征,绝对不要运行脆弱性评估系统来检查最新发现的软件缺陷和系统的错误配置,因为这些太浪费时间。
4.当一个职员离职或被辞退时,继续保留着他的网络登录和电子邮件的帐号和口令。你不必知道什么时候他也许会登录进来做点什么。
5.不要创建那些安全策略,这些安全策略只不过是以文件形式说明你将怎么捍卫你的信息以保护你们单位和客户机不遭受信息灾难和承担法律责任。
6.即使有了一个安全策略,你也别理会它、别执行它、别修正它、也别照着策略做什么。
7.把你信息安全工作的主动权都外包出去,这些事不需要你们内部的人来操心。
8.一定不要编写信息系统的详细目录,不要用文件形式说明你的网络情况。
9.应用最大授权的原则,给所有用户以最大限度地访问信息系统的权利,每个人都有权做任何事,这样才公平,对吧?
10.只依赖于技术,你用来保护信息系统的全部工作就是使用防火墙、加密和防病毒软件。
11.在没有灾难恢复和业务连续性计划的情况下就运行你的业务系统。毕竟,你可以在压力下仔细考虑并作出重大的决定,对吧?
12.不要监视你的系统,他们会很好地运行的,如果信息系统的完整性或可用性发生什么事,它们会自动地通知给你,是吧?
13.不要备份你的数据,但如果你不得不备份,也不要测试你的备份数据,把你的备份数据介质留在原地,最好的位置是放在UPS的上面。
14.听任操作系统和应用程序软件的缺省设置,系统加固没有什么用。
15.在响应黑客攻击、病毒和其他入侵时,不必进行主动的防护处理。
16.使用包含着你宠物的名字、你的名字、你母亲的名字或你的生日作为你的口令。这样你就不容易忘记,还有更好的,比如使用password作为你的口令。别忘了,要把口令写下来帖在显示器或键盘上。
17.不要订阅有关安全的公告和邮件列表,永远不要阅读信息安全行业的杂志。
18.把服务器和网络设备搁在一个房间里任大家来操作,包括来自街上的外来人。
19.不要向你的用户进行安全策略以及应该提防什么(主动发来的邮件附件和黑客活动)的培训,你的用户不可能承担如此多的培训。
20.不要理睬来自ISO、IETF、SANS和当地信息安全咨询机构等的所有安全准则和互联网信息安全标准。
21.在任何环境下都不要取得上述有关信息安全主动权的管理。这些是商务性的,不用你来操心,甚至别关系与信息相关联的技术或责任。
如果你按照这些准则去做,就能确保你的计算机系统能够成为黑客、病毒、不满的雇员的安全港口,你每天就能怀着激动的心情去上班等待着这么一个好机会,当你到达那里的时候,你公司的数据已经失去。这只是一个时间问题,迟早会到来,真的很容易。
