解决终端安全的8条建议：从用户处抓起

专家观点：为了员工自己的利益，需要通过控制他们安装和运行的软件来提升系统的安全性。

大量计算机安全问题都源于同一个问题：终端用户在未经管理员同意并且无管理员控制的情况下，就安装或运行程序。

除了缓冲区溢出和社会工程攻击，大多数攻击行为的发生都是由于用户不经意地安装了未授权的恶意软件或其它程序。多数情况下，该程序本身就是恶意的，比如说病毒、蠕虫、木马以及间谍软件；但是也有本身合法的程序，但它们可以允许新种类的攻击发生。

任何一个软件都有可能成为攻击目标。如果你允许你的用户安装Macromedia的Flash组件，那么就可能会遭到恶意编写的Flash控件的攻击。如果安装Google的新搜索条，那么会有丢失机密信息的危险。如果允许终端用户在自己的计算机上播放个人的CD，那么可能会安装一个新的rootkit程序。

我到过很多地方，在有的国家，我的手机是没有信号的。所以无论在哪里，只要能连到网上，我就用Skype和家人朋友联系。Skype真是了不起——效果比手机要好，但花费却微乎其微。

但是，一旦我安装了这个软件并且用它和越来越多的人交流，我就知道迟早会遭到攻击。不出所料，没几个月，就有人发现了存在于其中的漏洞，接着Skype发布了一些补丁。但愿Skype在后续阶段还会不断升级安全补丁。

在PC上面安装任何一款新软件都会增加它被攻击的可能性，不管安装的是Skype、Java、RealPlayer、Firefox、QuickTime、iTunes或者甚至是防病毒软件。我常常忠告一些公司，要降低安全的脆弱性，他们惟一能做的做好的事就是控制公司自己的用户可以安装和运行什么样的软件。用户在使用哪个浏览器增强插件？安装了什么样的ActiveX控件？后来，一些管理员非常惊讶地发现他们公司的员工安装了GoToMyPC，从家里访问办公室的机器，而他们却毫不知晓。

即使不是大多数，也肯定有很多公司对我的忠告充耳不闻。他们说，强迫终端用户在安装软件之前必须获得IT许可会引起一些“不合适的”事情发生或者是“限制了学术自由”。终端用户会反对我的观点，管理方也不会支持我。但是公平地讲，我说的都是很客观的，没有丝毫的夸张。