我最近参与了为本地的一家制造业公司评测可能存在的互联网与系统安全问题的过程。这家公司与一家厂商签约,安装了防火墙,升级了互联网连接及局域网,然而之后不久就发生了问题。
几个月来,意外问题不断发生,谣言四起。公司请另一家厂商来做技术支持,然而问题越来越多。最后,它与两家厂商都解除了合作关系。
他们不停地制订最终期限,而期限过去时,一切照旧。 IT 部门上下都只是在机械地做出反应,没有人积极行动。事实上,互联网与系统问题的蔓延影响了全公司的士气。
由于员工流失,公司已经开始靠最核心的技术人员维持。当 IT 部门的一个员工提出辞职后,公司已经无法管理,于是向我所在的公司求助。他们希望我能找出这一团乱麻的问题所在,究竟是有人破坏,还是购买的设备有问题。
我很吃惊,居然没有人会觉得问题出在其它方面。对计算机系统遭到攻击的恐慌越来越多,以至于人们会把受到攻击作为一切问题的借口。
高层管理人员们只是指手画脚,要员工们开动脑筋,而没有去寻求解决问题的途径。在我们第一次碰头之后,我可以确定,安全厂商和前员工都不是问题的根源。事实上,公司的问题早在他们开始使用互联网时就已经出现了。
在为公司的网络备案时,我首先发现网络连接速度慢得可怕。在检查崭新的 Cisco 路由器和运行 Checkpoint Firewall-1 的 Nokia 防火墙系统时,我吓了一跳,那里根本没有防火墙的保护,只是一个单纯的网络地址解析。这个高档的防火墙系统本质上什么都没有做。
在为 NetBIOS 和 Microsoft SQL 的服务端口设置好防火墙后,我立刻发现有蠕虫存在。网络中满是垃圾信息,并且局域网中有至少十几台运行 Windows 2000 并且中了很多病毒的机器。
当我继续研究网络时,我发现了没有牌子的设备,亮着“请检查电池”指示灯的 UPS ,以及许多漂亮地连接在一起的简单的 5 口以太网集线器。其中我最喜欢的是一台运行 Windows 2000 的服务器,它的电源风扇不转。管理人员告诉我,每天网络都会断几次,得有人来重启服务器才行。
这家公司就这么容忍了这个问题,因为为这台已经用了 8 年的过时 Compaq 服务器换个电源需要几百美元。这个问题对公司并不重要,我想网络问题想必也是。
问题真正的根源在于在不恰当的地方省钱。有两名主管人员希望能在家里使用公司的邮件服务,还有一名外部的网站顾问希望访问公司的 Microsoft SQL Server 来取得零件数据。然而公司不想花钱来配置一个 VPN 解决方案。
最后,公司刚好得到了它所付出的价值。管理人员为了这些例外情况故意减弱了安全策略。
在互联网和安全问题上,没有例外的余地。一开始就为网络安全和计算机系统花上足够的时间与资金的话,你的公司就不会经历未来的问题,更不需要为这些问题付出代价。
