钥匙在谁手里？

当房地产开发商向购房者交房时，一般会提供两套钥匙，一套用于装修，交给装修队使用；另一套由购房者掌握。当房屋装修完毕，一旦购房者用自己手中的钥匙开锁，装修队所用的钥匙就失效了。这个方法很不错，在保证住户财物安全的同时，省去了换新锁的麻烦。

自家的钥匙应该由自家人掌握，这个浅显的道理在网络安全世界里一样适用，也就是说企业的系统密码应该只有内部人员才能知道。但有些企业对待系统密码并不像对待自家钥匙那样上心，从而给系统安全埋下了隐患。

“全国最大的网上盗窃通信资费案”就是一个很典型的案例。某工程师曾为西藏移动公司安装过系统，知道系统的密码，所以就选择从西藏移动公司系统进入北京移动公司充值中心数据库，修改充值卡原始数据并窃取充值卡密码。

这个案件之所以会发生，最重要的原因就在于西藏移动公司缺乏健全的安全管理制度，系统管理人员缺乏安全意识，这才给了案犯可乘之机。而案犯竟然可以从西藏的系统侵入北京的数据库，北京移动花重金安装的网络安全系统却没有发挥作用，显然在设计该安全系统时考虑的也不够周全。以电信企业的管理水平和对安全的重视程度都会出现这样的疏忽，那么其他企业的情况又会如何呢？我想不会乐观。

系统密码是保证系统安全的重要手段，必须妥善管理，但对密码的管理又有一些特殊性。比如企业辞退了网络管理员，企业可以收回他的办公用品、门禁卡，但却没法收回他脑子里的管理员密码。或者，建立一套身份管理系统，让员工的权限随着职位的变迁实时自动变化，从而避免疏漏。采用双因素认证的办法也不错，当别有用心者手中没有令牌时，即使知道密码也无济于事。当然，最重要的是要有一套规范的安全管理制度。