当心“社会工程师”

当心“社会工程师”

预防非技术类攻击
DAVID BAUM

网络攻击和病毒对企业的网络安全构成了最直接的威胁,但事实上,那些企图接近内部人员的外部人士对关键信息的安全威胁可能更加严重。

这种现象称为社会工程,具体含义是:不法分子将利用某些人对自己同胞的信任,企图从计算机系统的合法用户身上获取信息,尤其是那些允许他们非法侵入某些系统的信息。无论是利用加密技术、防火墙还是入侵检测系统,这种安全漏洞都是无法弥补的。要预防这种安全问题,只能加强对员工的安全培训。

一位使用假名Bernz的声名狼藉的黑客这样写道:“捡垃圾、拨打假电话、发送假邮件、设法绕过安全检查,这些活动都是合法的,而且屡试不爽。”

据独立IT安全顾问Sarah Granger说,罪犯使用最多的是通过电话发动社会工程攻击。例如,某黑客可能会给某个机构拨打电话,假装自己是该机构的领导人员,然后骗取某用户的机密信息。另外,黑客还可能使用假冒的互联网连接盗取密码及其它信息,或者发送看似正式的电子邮件,以冒充网络管理员。更有甚者,黑客还可能从垃圾桶中查找员工名录,以及其它一旦被居心叵测的人拥有, 就有可能使网络受到攻击的信息。

Granger解释说:“黑客们使用伪装、老朋友等假身份,从心理学角度揣摩社会工程。”

Granger不但介绍了骗子常用的各种骗术,还提出了有效的破解方法:

  • 假冒和伪装:要提醒员工,绝对不能通过电话提供密码或其它保密信息。
  • 进入办公地点:要实施严格的查证制度,所有来访者都必须有人陪同才能进入。
  • 从旁窥视:绝对不能在旁边有人的时候输入密码。
  • 欺骗问询台人员:为需要问询支持的所有员工分配一个个人ID号。
  • 偷看信件:收发室要随手锁门,要监控对重要办公室信件的浏览。
  • 偷盗设备:要锁好电话间和服务器机房,定期更新设备目录。
  • 侵入电话系统:要控制越洋和长途电话,监控通话过程。
  • 捡垃圾:要将所有垃圾倾倒到安全区域,要切碎包含重要数据的文档,并擦除磁介质上的数据。
  • 互联网欺诈:要提醒员工注意网络安全,并设定密码。

企业应该任命一位安全经理,认真研究这些战术,并将安全纳入企业的培训计划中。无论是对朋友还是敌人,都要制订明确的待客策略,并严格实施。

返回顶部

中型公司的安全保护
VICKI POWERS

根据Conference Board进行的一项调查,在许多中型机构的眼中,安全支出能够带来价值和ROI。特别是在运输、IT、医疗、金融服务和电信公司的安全投资受益最大。但出人意料的是,39%的中型公司都认为,安全投资是一系列必须严加控制的成本。

信息安全咨询和IT产品测试实验室Neohapsis的CEO Kelly Hansen说,许多中型机构都只是刚开始认识到安全的重要性,而且中型机构最为关注的不是简单的安全设备,而是能够提供安全功能的网络设备。

Hansen说:“安全支出的主要项目是产品购买,而不是咨询和/或者人才。许多中型公司仍然认为,安全只不过是一个技术问题,而不是流程或人员问题。遗憾的是,安全其实是上述问题的组合。”

以前,中型公司一般都采用标准周边防御,例如防火墙、路由器访问控制列表(ACL)和桌面防病毒软件。

安全厂商Q1实验室的产品开发和营销执行副总裁Brendan Hannigan说,许多中型机构都是刚开始重视和解决内部安全、遵守标准和防病毒问题。

迄今为止,很多公司都还没有为解决这些安全问题而构筑适当的基础设施或提供必要的支持。更有甚者,有一些公司虽然知道网络威胁越来越盛行,而且一旦遭到网络攻击,企业将冒很大风险,但除了关注和担心之外,并没有采取任何措施。

Optimus Solutions的高级顾问Robert Hopkins说,如果不进行认真核算,就不可能知道需要增加多少预算,也不可能合理分配资金。最好用一个实例说明,当某关键系统出现故障或者遭到入侵,致使非法分子有机可乘之后,企业将遭受多大的损失。

根据AMI-Partners的估计,2004年,美国的中小型企业(SMB)在IT安全方面的资金投入大约为25亿美元;在全球范围内,中小型企业的IT安全投入大约为70亿美元,仅占总IT开支的1.5%。此项研究还表明,各公司的安全支出有高有低,重视安全的中小型企业采用了很多先进措施,而数千万家中小型企业虽然对网络的依赖程度越来越高,却连基本的病毒保护措施也未能实施。

市场上的工具多种多样,风险也确实存在,但很多中小型企业仍然没有对企业施加保护。AMI认为,许多中小公司都已经认识到:“如果不能采取适当的安全措施,不但自己的业务要冒风险,就连与之共享电子信息或执行电子事务处理的合作伙伴也会遭殃,而这些合作伙伴通常是他们最大、最忠诚的客户和/或者合作伙伴。”

返回顶部

向上的潜力
IT Media用新兴技术填平了代沟。
DAVID BAUM

如果读者不明白青少年为什么愿意花那么长时间呆在互联网聊天室聊天,可以想一下Greg Liebowitz和Tyler Weaver的故事。2000年,这两名高中毕业生对AOL论坛产生了浓厚的兴趣。2004年,他俩成立并开通了IT Media。目前,IT Media的客户已经超过了100位。

IT Media的总裁兼CEO Liebowitz说:“我们的目标是帮助中小型企业与互联网连接,以便让他们原来的业务流程进入互联网时代。如果商业系统只停留在‘随建随忘’的状态,就不可能取得成功。我们采用了全面的互联网咨询方法,考虑了所有重要因素:业务、技术、人力因素、商标因素和个性因素。”

在开通IT Media之前,Liebowitz和Weaver已经私下合作了三年以上的时间。目前,除提供设计和技术服务外,公司还提供全套管理服务,例如通过应用电信运营商(ASP)模式提供的托管、组件和电子商务服务。Liebowitz说:“我们的目标是帮助小企业实现流程自动化。我们首先分析各企业的特殊信息管理需求,然后设计能够实现流程自动化的解决方案。”

例如,IT Media正在开发的Web应用能够帮助专业摄影师管理照片,扩大或缩小照片,以及与顾客共享数字图片。纵向解决方案能够将公司的互联网和设计经验应用到某些特殊领域,以便充分利用与现有客户建立起来的成功关系。客户不需要增加内部员工及资金的负担就能改善业务运作和客户服务。

Archers Warehouse的John Bordonaro说:“IT Media的店面解决方案很快就推向了市场,而且非常适合我们的网上商标所要表达的理念。毫无疑问,我们的店将着眼于全球,并将进入小零售店过去梦寐以求的许多新市场。”

在2004年底,Weaver和Liebowitz才有机会在“思科利用技术取得发展奖”的颁奖宴会上相识,并摘得了新人奖。正是由于网络技术的出现,才使得位于俄亥俄州Weaver、新泽西州Liebowitz和加利福尼亚州的第三位合作伙伴Pointbased Solutuions共同创立了一家虚拟公司。员工和承包商通过虚拟专用网连接,以便安全访问文件服务器和IP电话系统。

Liebowitz说:“我们非常依赖IP通信,因为IP通信使我们能够从任何地方转接电话和访问网络资源。”

正是无所不在的网络技术,使IT Media站在了网络和电信业的风口浪尖上,并将长期持续。

返回顶部

购买整修后的二手设备
DAVID BAUM

一开始,设备整修后二次出售只是全球环境保护法避免有害材料使用掩埋法处理的手段之一。但后来,这种方式已经变成了一种潮流:越来越多的旧硬件产品在经过整修之后以非常低的价格二次出售。

META Group的分析家Michael Burlison说,IBM和惠普等著名PC厂商不但提供对电子设备的环保处理,还提供一系列旧设备二次销售解决方案。

中小型企业购买经过整修的二手设备虽然能够节省资金,但必须考虑很多重要问题。二手市场上产品的质量和状况各不相同且不可预测,因此,要选择知名厂商,最好是原始制造商。

如果产品来自其它厂商,则从他们手里购买设备存在着很多风险,包括:

  • 很多产品属于“灰色”产品。其中某些产品是非法经销的新产品,没有得到制造商的授权;有些产品则为假冒产品。
  • 如果没有经过由厂商授权的状况检查,旧产品一般不能纳入服务合同。
  • 软件许可证不能转移,必须从相应的厂商那里购买。

Forrester Research认为,如果谨慎对待,购买二手网络产品是一种很划算的投资。但是,一定要经过原始厂商的重新认证,和原始厂商签订维修合同。另外,还要制订与设备实际使用时间相符的折旧计划。

返回顶部

耐心等候下一次…
VICKI POWERS

如果中小型企业想与大企业一决高低,就必须更多地重视服务供应,而不是削减呼叫中心的成本。由于不愿意等候,13.3%的电话在得到应答之前就自动放弃。这个数字不容乐观,因为在2004年,自动放弃率只有5%。这个比例连续三年持续增长,说明很多客户支持机构都没有有效利用技术和人力,未能达到顾客的要求。

Dimension Data发布的2005年商家全球联络中心测试报告中指出,在接受他们调查的166家呼叫中心中,客户都希望得到更快的应答。2003年,客户能够容忍的平均等待时间为71秒;而目前,这个时间已经缩短到了65秒。

管理咨询公司Crestview Consulting的负责人Mark Stanley说:“要量化客户的等待后果是十分困难的。从短期看,等待的后果只是挂上电话稍后再拨。但是,如果问题长期得不到解决,多数客户就会转向那些更注重客户满意度的厂商。”

联络中心可以利用各种方式缩短客户的等待时间。负责为联络中心客户提供咨询和培训的Radclyffe Group LLC的总裁兼CEO Elizabeth Aheam认为,企业应当使用实用的预测模型预测客户需求,并将最佳实践目标定为20秒之内的应答率达到80%以上。为了更加有效地与客户交流,企业可以制定“呼叫战略”,帮助代表们更加有效地与客户交谈。

根据运作规模的不同,制订客户服务战略时,可以适当地超过当前需要的水平。例如,采用用户友好型语音技术,排队或智能路由等新技术可以改善呼叫中心的运作。另外,许多公司还会在高峰期将呼叫中心运作外包给其它公司。

联络中心咨询公司Touchpoint Associates的总裁Bob Fumiss认为,各机构必须充分认识到客户服务的价值,并将客户服务价值与销售代表的付出联系起来。如果获得了适当的工具和信息,联络中心就会投入更多的资金,聘用更好的人才,购买预测能力更高的工具,并增加培训时间,最终提供更好的客户服务。

您知道吗?

根据AMI-Partners的调查,2004年,员工人数在100人到999人之间的印度企业花费在信息技术产品和服务上的资金高达29亿美元。这些投资大大促进了连接、计算和生产率解决方案的广泛使用。

返回顶部

垃圾广告满天飞

这已经成为一种全球现象。根据Commtouch实验室的调查,2005年2月,产生垃圾邮件的国家已经增加到了172个。24.7%的垃圾邮件由欧洲产生,大部分邮件(21.85%)来自欧盟国家,主要包括法国、德国、西班牙和英国。

美国 22.8%
欧洲 24.7%
世界上的其它国家 7.78%
日本和韩国 24.24%
南美洲 6.03%
中国 14.45%

无线安全保护
DAVID BAUM

随着建立无线局域网(LAN)和部署先进移动应用的机构的增多,建立安全、可靠、易于管理的网络变得越来越复杂。在某些情况下,毫无恶意的员工可能会利用廉价的网络设备自行安装无线接入点。但是,如果不施加安全保护,这些假冒接入点会使整个网络暴露在非法访问的风险之中。

Forrester Research的电信和网络分析家Paul Stamp说:“如果不能控制精确位置,就会大大丧失抵御攻击的能力。”Stamp认为,若想降低风险,各公司应当注重以下三个方面:

  • 对网络上的人和设备进行认证;
  • 对通过无线网络传输的数据进行加密;
  • 实施监控,保证只让授权设备联网。

入侵检测技术可以检测到非法行为,适当的工具则可以提供中央管理解决方案,在接入点插入LAN的一瞬间检测到接入点的存在。(这些工具与CiscoWorks无线局域网解决方案引擎一起构成“无线敏感型”基础设施。)

Stamp说:“公司必须制订认证和保密策略,并持续监控假冒接入点。保障无线安全的最佳方式是,让用户除了正常操作之外别无其它选择。”

返回顶部

加拿大城市提供无边界宽带网络
G.PATRICK PAWLING

在最寒冷的冬天,怎样才能将加拿大东部的城市变成一个真正的热点呢?目前,共有80,000名居民的新布伦兹维克省的首都正在以快速而经济的方式向“网络连接”城市转变。这种转变从旨在为该城市建立廉价宽带网络的非盈利合作电信公司e-Novations ComNet的成立开始。目前,这项工作进展顺利,Wi-Fi网络不久就会覆盖到弗雷德里克顿的大部分地区。

Wi-Fi项目的发展源自两方面的需求。一方面,弗雷德里克顿希望提高其650名员工的工作效率。这些员工的工作地点分布在20个地方,而且提供的城市服务超过150项。弗雷德里克顿的领导们认识到,如果能够建立更快速、更庞大的网络,就能够提高员工的工作效率,即利用同样的资源完成更多的任务。不仅如此,官员们还意识到,如果网络连接得到了改善,提供免费的城市无线宽带接入也将变得更加容易,这样,城市里的任何人都将能够随时随地地接入互联网。

弗雷德里克顿经济开发部经理Don Fitzgrald说:“从经济发展的角度看,我们认识到,如果我们能够在整个城市建立起廉价的宽带接入网,就一定会促进企业的发展和城市的繁荣。”

Fred-eZone项目的第一个阶段包括建立110个思科系统无线站,以便覆盖城市内大约一半的潜在计算机用户。在目前正在进行的第二阶段,覆盖率将逐渐增加到95%。

无线网络的运行时间已经超过了一年,它的用途一直在不断增加,例如:

  • 市长可以从船上查看电子邮件;
  • 无论在哪里学习,本地两所大学的学生都可以接收到信号;
  • 城市工人可以更加容易地共享信息,为提高效率,市政府正在向有关工人发放PDA。

最重要的是,城市中的知识工人可以从e-Novations ComNet接入免费无线网和低价宽带网。自2000年项目实施以来,宽带价格已经下调到了原来的五分之一。

该城市的信息与通信技术部部长兼合作主席Maurice Gallant说:“弗雷德里克顿将一跃成为北美洲智能化水平最高的城市。所有人都逐渐意识到,高新技术革命正在悄然发生。”

最近,Fred-eZone计划获得了“2004年加拿大信息生产率优秀创新奖”。正如Fitzgerald和Gallant认为的那样,如果背后没有市政府的支持和领导,什么都不会发生。

网络的后续维护成本很低。项目的第一阶段共花费了15万美元。由于这个阶段的工作完成得非常出色,政府又拿出了30万美元,用于扩大网络的覆盖面。Wi-Fi网络的宽带来自于合作ISP的剩余带宽。

Fitzgerald说:“人们对基础设施的需求将越来越高。一百年以前,人们只需要人行道和路灯。现在,多数公司都变成了高技术企业,他们需要的是技术含量更高的基础设施。谁采用了智能型基础设施,谁就能够在未来傲然屹立。”

返回顶部

电子邮件营销:成功要素

在对高流量节假日现象的研究过程中,ReturnPath要求消费者列出促使他们打开营销类电子邮件的各种理由。研究的结果尽在意料之中,熟悉发件人位于众理由之首。

认识和信任发件人 59.2%
主题线 41.4%
只打开通常阅读的电子邮件 33.6%
以前打开过类似邮件而且邮件颇有价值 30.1%
预览窗口引人注目 19.0%
折扣 17.5%
提供免费购物机会 15.1%
公司通常不发送太多电子邮件 10.9%
与邮寄的打印促销材料相似 9.4%


季度问答

在上一期中,我们问道:“贵企业一般怎样利用Web开展业务?”我们最感兴趣的回答来自于墨西哥城Serprotel的CIO J.Antonio Nieto Atienza,他这样写道:“Web是我们的竞争对手还没有尝试使用(幸亏是这样)的强有力的工具。尽管我们只是一个中小型企业,但我们希望将Web页面作为一个最重要的工具。我们希望,通过公司的Web页面,我们的顾客能够看到产品的精美图片,以及关于产品特性的详细说明。当然,顾客最好能够约见我们的销售代表,让销售代表为他们现场展示产品的使用方法。

我们希望尽可能利用最新技术为客户和交易商提供最好的服务。我们的客户服务代表可以用手机或PDA收发电子邮件,这样,无论发件人提出哪些要求,我们的客户服务代表都能够随时随地给予满意的答复。

我们希望顾客能够正常使用我们的产品,而且如果遇到任何疑问,都能够在数分钟之内得到答复。对我们而言,这就好像是一场看谁能够最快应答客户的竞赛。

我们建立了能够覆盖销售人员的办公室和家庭无线网络,以便他们能够随时与所有人保持联系。另外,我们还在办公室制定了‘金色准则’:在结束一天的工作之前,必须阅读完当天的电子邮件。我们希望顾客和供应商能够非常放心地知道,用电子邮件也可以随时与我们保持联系。

无论是对于公司,还是对于我们的日常生活,Web都是最令人惊奇的应用之一。最后,我还想重申一句:互联网对工作和生活的帮助真是太大了!您以为如何?”

返回顶部

全新的桌面
DAVID BAUM

昨天还属于新技术,今天就变成了昨日黄花,技术更新的速度实在是太快了。当然,多数用户仍然可以凑合着使用老的台式PC。但是,企业应该怎样衡量老系统何时成为生产率提高的阻碍呢?

为加大折旧,克服技术老化现象,企业必须制定实用的更新换代战略。大家都希望计算机能够长生不老,但事实上,多数机电产品(例如磁盘驱动器、光盘驱动器和风扇)都有自己的寿命。随着时间的流逝,系统故障率将呈指数升高。

网络系统集成公司CompuVision的总裁兼CEO John Hunt说:“过分延长升级周期反而会增加成本,因为这样不但会降低生产率和损失创收机会,还会加大安全风险。黑客更容易在老系统中找到破绽,因为系统厂商很可能不再积极地开发新的安全补丁。”

目前,PC的寿命期一般为三到四年,因此,可以将系统更换战略制定为每年更换公司设备的三分之一。当然,企业还可以每年都为重要用户购买新PC,然后将老系统轮转给其他员工。这两种战略都有利于减税以及降低升级和维修要求。

Hunt认为,如果PC的使用期限不超过三年,可以考虑更换内存和磁盘驱动器等组件。他说:“超过三年之后,最好购买新系统,以便使用更快的系统总线、更好的内存和更先进的通信方式。”

随着移动客户的重要性和经济有效性的提高,以及用户利用无线技术开展业务的机会的增多,在下一更新周期中,还应该考虑用便携式PC取代台式机系统。

返回顶部

联系我们