一、企业密码安全管理中如何找到人与密码之间的平衡

每天人们上班与互联网相连后，都要输入各类ID、密码才能进入工作系统、邮箱系统、管理系统……上班的闲暇时间，人们还会去社区、博客、社交网站溜达，同样需要输入各类密码。密码与人们的工作、生活、学习结合的愈加紧密，甚至可以说是息息相关。现在许多企业及企业员工保护自己机密数据、工作信息的方法基本也都是通过密码的方式。但随之而来的则是开始频繁出现某人社区密码被盗，导致工作信息失窃一类的事件。究其根本就是企业及企业员工在密码设置上依然存在误区，使得工作密码与休闲密码发生关联，给予了恶意攻击者入侵的机会。

有些人为了便于记忆密码，或者会把密码设置的很简单，诸如“123456”、“112233”，而且很多银行卡的初始密码就是“111111”、“666666”、“888888”等;或者会把密码写到便签纸里，然后贴在公司电脑的显示屏上;或者根本就是一个密码走天下，不论公司系统还是开心网，用的都是同一个密码。许多企业的密码设置也很有规律，稍微进行排列组合就能猜解出来。比如，有公司用的交换机密码竟然是“公司名字头几个字母+公司电话”。而有些企业内部的系统管理员在管理公司服务器系统时，甚至会使用系统默认的账号密码。

以上种种密码设置的误区，将本应保护机密信息最紧要的一道防线，拱手送与了恶意攻击者。密码是保护企业机密数据的重要手段之一，从安全角度而言，最不容易被破解的密码一定要足够复杂、随机不具备任何规律性。但从人的角度出发，密码却需要易于记忆与管理。所以，最好的密码就是能够使密码与人之间达到平衡。

目前，有一类密码很好的体现了密码与人的平衡，而且具有很高的安全性。这类属于分段式的密码里，一部分密码是保存在USB Key里的，一部分是需要人自己记住的4-6位固定密码，还有一部分则是在每次使用时触发的随机密码，这个随机密码每次都会在用户使用时发送到用户的手机里，三个部分组合在一起，才能打开系统、设备等被保护的对象。这很像是以前某些机密系统需要密码、指纹、虹膜、声音、DNA等验证后才能进入一样，多重密码系统一方面让人不会轻易忘记，也大大提高了系统安全性。

二、企业要以全新的方式思考信息安全问题

EMC信息安全事业部RSA日前发表了一份新的报告，该报告深入探讨了在企业日益成为网络商业间谍和破坏活动目标的情况下，信息安全威胁领域发生的重要变化。该报告是企业创新信息安全委员会(SBIC)系列报告中最新的一篇，报告称，就大多数企业而言，是何时成为高级威胁的目标而不是是否成为高级威胁目标的问题。目前的环境是，人们的关注点从防止安全入侵这种不可能的任务转到了防止损失这一关键任务上，面对这样的环境，该报告给出了由全球16位信息安全领导人提出的应对这类新型安全威胁的有益建议。

企业创新信息安全委员会由来自“全球1000强”公司的业界顶级信息安全领导人组成，该委员会探讨最受关注的信息安全问题，以及信息安全应用怎样才能解决这些问题，并实现安全的企业创新。最近的一系列尖端复杂的网络攻击影响到了行业和政府的基础，也为这份最新的报告提供了一个背景，该报告题为“高级持续性威胁何时变为主流：制定信息安全战略，抗击不断升级的安全威胁”。该报告揭示出，在信息安全领域，一度限于攻击国防工业基地和政府机构的高级持续性威胁，现在正以广泛的私营企业为目标，以攫取宝贵的知识产权商业秘密企业计划以及运营和其他专有数据。Automatic Data Processing公司副总裁兼首席信息安全官Roland Cloutier表示：“这是一群非常聪明装备精良且有实效的敌人，而且非常擅长他们所做之事。要抗击这样的敌人，大多数企业将会采取新的方法。”

1、网络攻击的质量发生了根本性变化

高级持续性攻击这个术语最初用来描述如下网络间谍活动：某些组织和团体在长时间内访问一个网络，以挖掘安全数据。今天，随着攻击者扩大了目标范围，高级持续性攻击这个术语的含义已经拓宽了，单一民族的独立国家不再是惟一采用这类尖端复杂技术的群体了。今天野心勃勃的攻击者不是从网络边缘侵入，而是更喜欢以人员导致的漏洞为目标，通过社会工程学方法和鱼叉式网钓，利用最终用户侵入网络。EMC公司信息安全事业部RSA董事会执行主席Art Coviello表示：“网络罪犯们已经积极地改变了他们的目标和策略。在永远不会结束的控制网络的战争中，战斗会发生在很多不同的前线。所有企业都是更大的信息交换生态系统的一部分，建立和保护这种交换是每一个人的责任。”

2、顶级信息安全官们敦促：以“假定已陷入危险”的方式考虑信息安全问题

企业创新信息安全委员会这份最新的报告敦促企业采取新的信息安全思考方式，尽快转变观念——从追求成功阻止侵入，转变为追求成功检测攻击并减轻损失。从这种观念出发，该委员会为应对不断升级的高级持续性威胁提供了7种防御措施：

（1）高级情报收集与分析 – 让情报成为战略的基石。

（2）实施智能监控 – 知道要寻找什么，并建立信息安全与网络监控机制，以寻找所要寻找之物。

（3）回收访问控制权 – 控制特权用户的访问。

（4）认真对待有效的用户培训 – 培训用户以识别社会工程攻击，并迫使用户承担保证企业信息安全的个人责任。

（5）管理高管预期 – 确保最高管理层认识到，抗击高级持续性攻击的本质是与数字军备竞赛战斗。

（6）重新设计IT – 从扁平式网络转变为分隔式网络，使攻击者难以在网络中四处游荡，从而难以发现最宝贵的信息。

（7）参与情报交换 – 分享信息安全威胁情报，利用其他企业积累的知识。