監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

企業(yè)內(nèi)部威脅之一離職員工泄密

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

 2011年4月,國內(nèi)陸續(xù)有媒體爆出,有某知名外企前雇員涉嫌在離職前偷取涉及到其家電部門核心技術(shù)的信息,事件暴露后遭到了該國警方的逮捕。由于一些原因,這起事件很快就像其他的一些泄密案件一樣,沒再更多的后續(xù)報(bào)道了,留給外界的只是無盡的猜測。


    信息時(shí)代的大背景下,信息就是生產(chǎn)力這一點(diǎn)已經(jīng)是常識(shí)。先人一步的產(chǎn)品設(shè)計(jì),快人一步的市場部署,都能轉(zhuǎn)換成巨大的競爭優(yōu)勢。為了保護(hù)已經(jīng)數(shù)字化存儲(chǔ)的各種商業(yè)文檔加密信息,各類企業(yè)和組織可謂絞盡腦汁,與各種信息數(shù)據(jù)泄密與信息犯罪行為進(jìn)行斗爭,稱其為信息數(shù)據(jù)安全戰(zhàn)爭絕不為過。
      是戰(zhàn)爭就有輸贏,就有各種戰(zhàn)術(shù)戰(zhàn)略,但凡稍有規(guī)模的信息系統(tǒng),大多部署了防火墻、入侵檢測、代理服務(wù)器等各種防御手段,用以防備來自外界的非法入侵。然 而,中國有句古話,叫做“日防夜防,家賊難防”,意思是再堅(jiān)固的城池,當(dāng)它被門內(nèi)的人主動(dòng)打開時(shí),里三層外三層的防線也都成了浮云;再比如計(jì)算機(jī)木馬得以 命名的“特洛伊”之戰(zhàn),相比大家都耳熟能詳。
      國內(nèi)內(nèi)網(wǎng)數(shù)據(jù)安全廠商博睿勤研發(fā)總監(jiān)趙青表示,木馬名稱的由來,以及上面提到的泄密事件,正形象的描述了在信息時(shí)代的大背景下,組織所面臨的一種不能忽視的安全風(fēng)險(xiǎn)——內(nèi)部安全威脅。從這次的泄密事件所流出的為數(shù)不多的細(xì)節(jié)當(dāng)中,他對(duì)企業(yè)所面臨的內(nèi)部安全威脅做了一些解讀。

應(yīng)該對(duì)私人設(shè)備乃至私人應(yīng)用作出具體的規(guī)范 
      據(jù)媒體報(bào)道,案例中的前雇員在打印了機(jī)密信息后,并沒有直接帶出,而是巧妙的采用了拍照后再轉(zhuǎn)移到私人筆記本電腦的策略,可謂煞費(fèi)苦心。這里就暴露出了信息安全管理中的一個(gè)大課題:對(duì)于私人設(shè)備甚至私人應(yīng)用應(yīng)該采用怎樣的安全策略。
      實(shí)際上,用戶使用公有的信息系統(tǒng)完成工作職能,即代表著IT系統(tǒng)本身是一種公有的生產(chǎn)資料,必須有基于整體信息數(shù)據(jù)安全策略的統(tǒng)一配置,因此,公私不分的IT策略本身就是不可取的。用戶私自安裝盜版加密軟件,運(yùn)行有安全漏洞的程序,都會(huì)對(duì)整體的信息安全造成重大影響,更不用說用戶有意利用私人設(shè)備規(guī)避有意盜取資料。         對(duì)于信息系統(tǒng)中一些核心的部門,其IT安全策略應(yīng)該有最嚴(yán)格的限制。作為內(nèi)網(wǎng)專 家,趙青表示,實(shí)踐中很多企業(yè)核心部門的信息系統(tǒng)都采用了內(nèi)外網(wǎng)分離的策略,以杜絕外聯(lián)的安全風(fēng)險(xiǎn),“我們的一些客戶甚至采用了更為嚴(yán)苛的策略——進(jìn)入工 作環(huán)境不可以攜帶任何私人設(shè)備,包括手機(jī)、相機(jī)等在內(nèi)。”在目前便攜設(shè)備發(fā)展迅猛的背景下,這樣的安全策略顯然是必要的。另外,隨著移動(dòng)接入的逐漸普 及,Android、i-OS等職能設(shè)備的應(yīng)用對(duì)于組織的移動(dòng)接入安全產(chǎn)生了挑戰(zhàn),IT管理人員有必要提前應(yīng)對(duì)這些挑戰(zhàn)。         由單一的網(wǎng)絡(luò)安全、數(shù)據(jù)安全拓展到整體性的安全戰(zhàn)略 
      從媒體的有限報(bào)道中,我們并不清楚該企業(yè)是如何發(fā)現(xiàn)并阻止這一起信息安全事故的,但這并不妨礙我們在合理的范圍內(nèi)進(jìn)行一些猜測:該企業(yè)很可能采用了視頻監(jiān)控等技術(shù)手段輔助安全策略,否則難以發(fā)現(xiàn)對(duì)著打印的資料進(jìn)行拍攝這種信息盜取行為。
      事實(shí)上,安全本身是一個(gè)很綜合的概念,除了通常意義上的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、存儲(chǔ)安全等以外,通常被歸于物理安全或者行政安全的視頻監(jiān)控、門禁、防災(zāi)備份等技術(shù),也是安全的重要組成部分。
      目前,已經(jīng)有很多成熟的組織設(shè)立了首席安全官的職位,統(tǒng)領(lǐng)企業(yè)的安全管理。安全本身并不僅僅是幾項(xiàng)技術(shù)的應(yīng)用,而應(yīng)該是技術(shù)與管理的結(jié)合。趙青建議,在目前信息安全越來越復(fù)雜的背景之下,組織應(yīng)該把安全從技術(shù)層面上升到整體的戰(zhàn)略層面,前瞻性的考慮安全策略并調(diào)動(dòng)資源。
      根據(jù)用戶身份進(jìn)行授權(quán),并注意及時(shí)變更是基礎(chǔ)         根據(jù)已知的媒體對(duì)這起泄密事件的報(bào)道,該前雇員即將離職,大概是為了給自己的下一份工作提供一些競爭優(yōu)勢,他利用自己尚未被完全收回的權(quán)限,訪問了存儲(chǔ)有 機(jī)密信息的服務(wù)器,獲取并打印了相關(guān)的信息。這提示了我們一點(diǎn):根據(jù)用戶的不同角色,賦予其以差異化的信息使用權(quán)限,并根據(jù)實(shí)際情況及時(shí)變更與跟蹤是內(nèi)部 風(fēng)險(xiǎn)控制的基礎(chǔ)。
      目前,大部分企業(yè)的信息都是存儲(chǔ)在類似文檔服務(wù)器等系統(tǒng)中。在服務(wù)器的邊界部署數(shù)據(jù)防泄密系統(tǒng),防護(hù)來自外部的入侵,同時(shí)根據(jù)不同用戶的角色分配其對(duì)不同安全區(qū)域的訪問權(quán)限,基本已經(jīng)是普遍的配置策略。         基于“信任自己人”的大前提,類似的安全部署也實(shí)屬正常。然而,當(dāng)用戶的安全角色變成案例中的“前雇員”時(shí),及時(shí)根據(jù)其身份的改變變更其IT權(quán)限,就顯得 十分必要。事實(shí)上,從各種復(fù)雜的保密協(xié)議可以看出,即將離職的員工被認(rèn)為是非常高危的潛在泄密人群,對(duì)于這一類用戶,逐漸收縮并最終收回其IT權(quán)限是通用 的做法。案例中的前雇員,在離職前還擁有可以接觸到涉及核心競爭力的機(jī)密信息甚至進(jìn)行打印的權(quán)限,是關(guān)鍵的漏洞所在。
      及時(shí)告警與強(qiáng)審計(jì)機(jī)制,有時(shí)是必然的選擇
      我們通常假定擁有合法使用權(quán)限的用戶應(yīng)該能夠遵從組織的文檔加密信息安全策略,在合法的使用范圍內(nèi)使用信息,但用戶不是機(jī)器,在使用信息的過程中,會(huì)有各種犯錯(cuò)的可能,一個(gè)無意的復(fù)制粘貼,圖方便發(fā)往個(gè)人郵箱的未完成工作,都可能是潛在的危險(xiǎn)行為,更不用提用戶有主動(dòng)泄密的動(dòng)機(jī)。
      因此,IT部門應(yīng)該事先確定一些可能的危險(xiǎn)行為特征,并針對(duì)這些危險(xiǎn)行為設(shè)置報(bào)警策略。例如,對(duì)于最核心的機(jī)密信息,任何訪問、修改都必須有完整的記錄, 涉及到外發(fā)等高危行為,根據(jù)實(shí)際情況更要有報(bào)警機(jī)制,當(dāng)用戶觸發(fā)對(duì)應(yīng)的策略時(shí),可以及時(shí)發(fā)現(xiàn)并阻斷有風(fēng)險(xiǎn)的行為。
      同時(shí),IT管理人員要擅于從日常的審計(jì)報(bào)告中總結(jié)歸納危險(xiǎn)的行為,從而在后期進(jìn)行有針對(duì)性的防范與管理。特別的,對(duì)于高風(fēng)險(xiǎn)的用戶,如案例中的前雇員群體,審計(jì)政策更可能需要有所偏重,如針對(duì)異常的打印行為進(jìn)行特別分析。
      需要指出的是,安全審計(jì)不可避免的會(huì)侵犯到用戶的個(gè)人隱私,這是個(gè)有爭議性的話題。溢信科技根據(jù)其從業(yè)經(jīng)驗(yàn)提出了一些建議:在國內(nèi)法律法規(guī)不健全的背景 下,如需要對(duì)用戶的E-mail、IM進(jìn)行行為審計(jì),更應(yīng)該再有其明確的界限。這里所說的審計(jì),最根本的出發(fā)點(diǎn)應(yīng)該是針對(duì)事件的審計(jì),即“對(duì)事不對(duì)人”, 這就要求安全審計(jì)應(yīng)該形成制度化的規(guī)范,同時(shí),分級(jí)的審計(jì),即對(duì)審計(jì)人員的審計(jì),也是必要的措施。
發(fā)布:2007-03-21 14:42    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普文件管理系統(tǒng)其他應(yīng)用

文件管理系統(tǒng) 文件管理軟件 電子文檔管理系統(tǒng) 企業(yè)文檔管理系統(tǒng) 多可文檔管理系統(tǒng) 文檔管理系統(tǒng)破解版 免費(fèi)文檔管理系統(tǒng) 文件管理軟件免費(fèi)版 免費(fèi)企業(yè)文檔管理系統(tǒng) 免費(fèi)資料管理軟件 免費(fèi)文獻(xiàn)管理軟件 免費(fèi)知識(shí)管理系統(tǒng) 文檔管理軟件下載 文件管理軟件下載 電子文檔管理軟件下載 檔案管理軟件下載 資料管理軟件下載 文獻(xiàn)管理軟件下載 知識(shí)管理系統(tǒng)下載