在很多企业里,安全制度根本没有受到尊重,谁都知道,一个不受尊重的制度如同茶余饭后的笑话——可以用来讲,但是效果不过是博人一笑。
如果CTO可以被看作企业网络的看门人的话,那些形同虚设的制度就如同门上的一把坏锁,每个有钥匙的人不知道它是坏的,CTO可能不知道它是坏的,而贼却知道。
CTO的另一个尴尬是,那些有着CTO之名的管理者,并没有CTO之能。令人担忧的事实是,很多企业中的CTO和他的部门也没有足够的信息安全意识。
赛门铁克技术总监郭讯平曾遇到过这样一个CTO。一次,赛门铁克为其网络做渗透测试的时候,他说,你不要给我讲你们的产品的性能有多好,如果你能证明我的网络很脆弱,我就买你的东西。赛门铁克的技术人员只做了一件事,在中午的时候给该公司的网管打电话,对他说我们是赛门铁克,我们做测试的时候账号用不了,你帮我重建一个吧。这个管理人员正在休息,随口就说你先用我的吧,我下午再帮你重设……接下来的事情可想而知,当日下午,当他们的CTO看到本公司的最重要服务器中的数据摆在眼前的时候,足足一分钟说不出话来。
只要稍稍做一个统计,我们就会发现,很多公司在购买了网络产品之后,原厂的缺省用户名和密码都未曾修改——如果现在你还能用ADMIN轻松进入公司网络系统,那你的网络管理人员根本就是不称职的。
广义安全
电子邮件在公司同事间的往来,已经成为再平常不过的事情,而这些CEO们或许不知道,他的员工可能就在某天接到他的邮件,命令其提交一份重要的报告,或者他的家人会收到来信,询问银行的账号和密码,然而他却对此一无所知……这不是假想,而是真正发生在眼前的“网络欺诈”。
可以想象,如果他的竞争对手,他的合作伙伴,收到一封以他的名义发来的邮件,内容我们且不作设想,后果已然可以预见的了。
据赛门铁克预测,间谍软件对网络的攻击将在2005年凸显出来,企业家们必须相信,文章开头的那一幕,完全可能在某天早上成为你床头报纸上的A1头条。
