企業(yè)員工離職后的信息安全策略

申請免費試用、咨詢電話：400-8352-114

本文寫于2009年初，美國和其它工業(yè)化國家正處在日益嚴(yán)重的經(jīng)濟危機中。盡管政客們說的天花亂墜，展現(xiàn)出一幅盲目樂觀的態(tài)度，但我們中的大多數(shù)人都不認(rèn)為由大量政府資金帶來的“刺激經(jīng)濟一攬子計劃”以及增加對商業(yè)市場干預(yù)的立法會導(dǎo)致經(jīng)濟的迅速恢復(fù)。當(dāng)面臨不確定經(jīng)濟前景的時間，很多公司先發(fā)制人應(yīng)對真實利潤下降的辦法就是削減各種開支，以避免產(chǎn)生進一步的損失。

這種業(yè)務(wù)結(jié)構(gòu)的重組包含了裁減員工以降低成本等方法，有時甚至?xí)苯硬玫粽麄€部門。作為商業(yè)模式的一個方面，如果對員工離職過程不謹(jǐn)慎處理的話，可能在安全方面帶來不可預(yù)料的嚴(yán)重后果。

基于公司信息安全的角度來說，快速裁員是一種非常不恰當(dāng)?shù)姆绞?。由于對該事件沒有準(zhǔn)備，以及前員工和現(xiàn)員工之間的矛盾，可能會導(dǎo)致在安全方面出現(xiàn)漏洞。心懷不滿的員工會導(dǎo)致內(nèi)部安全方面出現(xiàn)問題，這正是你應(yīng)該極力避免的。

正是考慮到這一點，在下面我列出了十個類別的安全策略，用以保證工作交接期間公司信息的安全。其中的一些類別在范圍上可能是有所重疊的，但對于保證公司信息整體安全的方面來說，每個類別都有不可替代的重要作用。

1. 建立強大而有效的訪問控制機制

生物識別數(shù)據(jù)、電子門卡、鑰匙、停車或出入通行證以及其他物理訪問控制手段都應(yīng)該仔細(xì)進行監(jiān)控和管理。包括防火墻、盡快停用遠(yuǎn)程訪問帳戶以及強制要求的密碼策略在內(nèi)的措施可以防止步行到計算機上就開始進行操作的“硬破壞”方式。這些項目的管理應(yīng)該非常方便，以便在時機成熟時，管理層可以更容易地回收、停用/或更換有可能造成入侵員工使用的設(shè)備。在極端情況出現(xiàn)時，可能還需要更換鎖和鑰匙之類的措施。但一般情況下，功能強大的系統(tǒng)應(yīng)該支持存取控制措施，只要鼠標(biāo)點幾下或者輸入幾個字母就可以完成整個控制流程。

2. 建立健全而有效的帳戶管理機制

員工的帳戶信息必須進行認(rèn)真記錄和集中管理，并且保證在工作交接過程中不會出現(xiàn)問題。如果沒有實現(xiàn)集中管理的話，公司文件面臨的風(fēng)險程度將有可能上升。需要特別注意的帳戶信息包括(但不限于)了公司的信用卡、網(wǎng)絡(luò)登錄帳戶、遠(yuǎn)程訪問帳戶、服務(wù)器管理帳戶、語音郵件賬戶以及工作站用戶的帳戶。

當(dāng)員工離開公司的時間，這些類別的帳戶應(yīng)該盡快停止使用。

不要忘記備份恢復(fù)操作可能導(dǎo)致離職員工重新獲得遠(yuǎn)程訪問、用戶和管理帳戶等方面的權(quán)限。請確保，在進行災(zāi)難恢復(fù)操作的時間，對于這類潛在的安全問題，有相應(yīng)的解決方法。

3. 關(guān)注意見和建議

在工作交接的過程中，應(yīng)該與離職員工進行盡可能詳細(xì)的面談。這樣的話，你有可能知道員工對公司有什么建議，希望在將來可以進行改進。對于談話的信息要充分保密，不要影響到公司目前的工作狀態(tài)。不要因為談話讓員工心懷不滿，或者導(dǎo)致更大程度的混亂狀態(tài)出現(xiàn)，所以整個處理過程必須非常謹(jǐn)慎。這些信息對于公司的未來發(fā)展來說，也會有很大的幫助作用。

4. 建立縝密而有效的文件管理機制

在大多數(shù)情況下，從項目開始實施的第一天起，公司就應(yīng)該對當(dāng)前員工的工作情況進行詳細(xì)的記錄。只有這樣，才能保證員工更容易過渡到其他的項目(也許是全新的)，還方便了重要數(shù)據(jù)的恢復(fù)，并且在員工因為不滿意工作條件進行惡意更改的時間，可以進行自動的審計跟蹤。所有文件都應(yīng)該被保存在可以進行版本跟蹤控制操作并定期備份的中央服務(wù)器上。MediaWiki之類基于網(wǎng)絡(luò)的協(xié)作工具應(yīng)該可以滿足公司的真正需要。

交易文件等公司機密信息應(yīng)該通過不同的分散方式保存，并且需要獲得授權(quán)才可以使用，這樣，即將離開的員工妄圖在最后時刻進行瘋狂間諜活動才會變得更難。如果文件中包含了商業(yè)機密，應(yīng)該確保任何員工都不能自動獲得所有的文件。對文件的訪問應(yīng)該基于提出需求的前提，并且要禁止任何未經(jīng)授權(quán)的訪問。

5. 建立清晰而有效的清單目錄機制

對辦公室和員工的資源分配情況定期進行詳細(xì)(最好是實時)更新操作有很多方面的好處。但其中最重要一點就是在他或她離開公司的時間，你可以了解到資源占用的情況。保持謹(jǐn)慎的態(tài)度，可以降低實際需求，因此，越早進行這方面的工作效果就越好。

6. 建立可靠的快速關(guān)閉機制

所有的設(shè)備、文件和帳戶都應(yīng)該做到可以方便快速關(guān)閉，以防止員工在離開公司的時間進行惡意操作。盡管，在某種程度上，它只是重復(fù)整個交接期安全策略中的一個關(guān)鍵要素，但對于一個功能全面目的明確管理有效的策略來說，關(guān)閉措施是必須進行認(rèn)真規(guī)劃，以確保在真正執(zhí)行的時間不出現(xiàn)問題。

7. 選擇良好的記錄工具

對于信息安全來說，良好的記錄工具作用是非常大的。對于交接期安全策略來說，它可以保護網(wǎng)絡(luò)不受到來自互聯(lián)網(wǎng)的威脅?，F(xiàn)在的記錄工具可以支持，當(dāng)你解雇一名員工，或者有一名員工投奔競爭對手的情況出現(xiàn)時，對之前所有的可疑活動進行追蹤，以便找出事情的真相。

使用被動日志服務(wù)器，這種服務(wù)器可以用來“傾聽”網(wǎng)絡(luò)流量，并且保存所有沒有特別標(biāo)定的日志數(shù)據(jù)，以便用來進行安全分析。即使沒有這樣的設(shè)備，我們也可以通過對授權(quán)訪問進行控制，以獲得一個關(guān)于所有非法活動的清晰安全的記錄日志。

8. 建立科學(xué)合理的密碼管理機制

安全策略會將包括連接代碼、密碼以及其它類似措施在內(nèi)的活動重置到一個臨時的離開工作環(huán)境中。在這個環(huán)境中，直到帳戶被停用或者完全刪除的這段時間里，員工將不了解具體的情況。正是處于這種原因，而不是其它問題，在使用個性化管理帳戶的員工離開公司很早以前就應(yīng)該采取應(yīng)對措施，以保證不會因為一個員工離開導(dǎo)致所有IT部門必須都采用新的管理員密碼。對于公司IT資源中的所有帳戶進行全面登記，以便在出現(xiàn)未經(jīng)授權(quán)的帳戶可以迅速查明和處理，而不必?fù)?dān)心可能出現(xiàn)不可控制的情況。

很多情況下，即將離職的員工不應(yīng)該有機會更改帳戶密碼。但有時，員工會將帳戶密碼寫在即時貼上，貼在自己的顯示器或放在鍵盤下或辦公桌抽屜里。盡管，IT部門盡了最大努力消除這種做法，并強行實施復(fù)雜密碼策略。

并且，在密碼重置方面不要犯下簡單典型的錯誤(如“1234”之類的密碼)。如果“新”密碼是非常普通或者通過暴力窮舉法在幾秒內(nèi)就可以破解的話，對于整個信息安全來說就是毫無幫助的。

9. 重視個人電子設(shè)備的管理

對于安全策略來說，個人電子設(shè)備的安全也是很重要的方面。在公司處理商業(yè)機密的時間，數(shù)字相機、USB接口的閃存設(shè)備以及筆記本計算機都需要進行小心控制，可能的話甚至需要禁止使用。由于現(xiàn)在的移動電話中很多嵌入了數(shù)字相機，F(xiàn)lash存儲在日益普及的便攜式MP3播放器也頻繁出現(xiàn)，管理難度變得非常大;但這并不意味著需要忽視潛在的問題感到沮喪或者應(yīng)該扔掉你的移動電話。這類問題如果得不到有效的解決，就可以出現(xiàn)員工利用安全策略帶來的寬松條件復(fù)制機密文件的副本，并且轉(zhuǎn)移到公司外面。

10. 為員工提供個人信息處理空間

為員工提供專門用于存儲私人信息的空間，并給予明確標(biāo)注。舉例來說，可以為每個員工提供保存?zhèn)€人信息的私人文件夾，而不是僅僅容許保存具體的工作項目信息。這樣設(shè)置的好處在于，確保公司信息和個人隱私不會混雜到一起，在員工離開的時間，方便數(shù)據(jù)處理。是否對這些數(shù)據(jù)進行備份，取決與公司的決定。但對于員工來說，一般情況下不應(yīng)該依賴于公司對個人信息進行備份操作。

確保公司有一個明確的隱私策略。在員工離職的時間，可能需要對私人目錄里的數(shù)據(jù)進行審查，以防止和公司相關(guān)信息的泄露。員工應(yīng)該了解，數(shù)據(jù)審查對于公司來說是一個標(biāo)準(zhǔn)程序。對于公司的不滿，潛在的報復(fù)行為，應(yīng)該避免明確地表現(xiàn)出來，以防止在公司的隱私政策被當(dāng)作有威脅的個人行為。

事故預(yù)防和事前準(zhǔn)備

工作交接期的安全策略必須著眼于防范事故的發(fā)生。員工被開除，離開時充滿了正義的憤怒，退休要推遲四十年，又處在經(jīng)濟危機的時代，在另一家公司得到了職業(yè)生涯的發(fā)展機遇，從學(xué)校或其他項目以外的公司獲得提高，開始了自己的商業(yè)模式，或者處于其它的一些原因?qū)е聠T工離開，這一切事情不僅僅是對于業(yè)務(wù)連續(xù)性來說非常重要，對于安全來說也是很關(guān)鍵的。策略的好壞對整個交接期的安全有最大的影響，所以事前必須進行規(guī)劃和安排;好的策略會導(dǎo)致平穩(wěn)過渡，而機械僵化的模式可能在安全方面帶來噩夢。

現(xiàn)在就開始制定和執(zhí)行策略。在不遠(yuǎn)的將來，你就會慶幸自己在先前作出的英明決策了。（ZDnet）