有很多网络安全工具都在后台运行,用户甚至感觉不到它们的存在。比如,防火墙、电子邮件安全工具、网页过滤应用等等。但还有一些安全解决方案却总是弹出让用户选择信任与否的请求框,或者其他附加的步骤,令用户感到烦扰和烦躁。
举个例子,一位高级管理人员想在他的计算机上安装一个视频录制软件。于是,他启动他的笔记本电脑。这时加密硬盘会弹出密码输入框,之后要进入Windows系统,还得输入活动目录用户名和密码,要命的是该用户名密码对还必须每3个月改一次,并且要具备数字、大小写字母和特殊字符等相当高的复杂度。
当他终于登录进自己的笔记本电脑并开始安装录制软件时,又一个管理员密码输入框弹了出来。“安装软件需要系统管理员权限”。他没有这个密码,只好打电话去叫IT部门的人来输入。如果他当时没在公司,情况将更为麻烦:他需要接入×××,期待×××连接可以通过网络安全边界防护工具的检查,得到安全令牌以接入公司网络。
很容易理解为什么许多企业一方面会高度赞扬IT部门的技术支持服务,另一方面却又非常不满IT部门给他们带来的额外工作负担。
IT部门该在哪儿划定保证网络安全与妨碍正常业务生产之间的分割线呢?
正确的答案是:
这可不是一个非黑即白的问题。最有可能做到的就是看看在用的安全工具存不存在另一种设置或集成组合方式可以减少给用户带来的麻烦。
比方说,尽管你的公司笔记本电脑可能采用自己的内置硬盘加密,你也可以选择在Windows 系统中使用BitLocker硬盘加密工具,这样用户解密硬盘和登录计算机系统及网络的用户名和密码就可以统一了。
采用单点登录工具登入多种应用和服务也能达到既减轻用户负担又保证需要的安全态势的目的。例如,使用Centrify、Okta、Ping Identity和其他很多种基于云的身份管理工具集中管理用户登录。
如果你出差在外的员工还在使用×××接入网络,那你可以考虑换一种现代化的解决方案,比如微软服务器版的Direct Access新功能。它可以替代×××接入,基于证书而不是令牌或密码来提供持续的连接性。
在有些公司里,首席信息官(CIO)和首席安全官(CSO)常处于对立的位置。举个例子,在自带设备办公(BYOD)环境下,CIO可能会追捧BYOD带来的用户满意度、工作效率的提升,以及总体拥有成本的降低;而CSO则将会追求严格的设备管控或直接完全避开BYOD。这类问题有益于进行健康的对话来决定公司内部的平衡,但如果CIO-CSO关系始终只是敌对,那通常只会导致双输局面——对他们自己、整个公司,以及用户,都没好处。
在处理安全问题上,一个分层的解决方案往往是最好的,因此你不可能毫无阻碍地登录所有系统。但你必须保证你的安全措施切实减轻了用户的负担又能获得真正想要的安全效果。