加强员工的信息安全管理
随着信息系统在企业中的应用,企业的每个员工都或多或少地拥有一定的访问权限。但当员工离职后,大多数企业却没有适当的机制来确保此员工不再拥有任何权限,员工残存的权限将有可能被员工本人或是其他黑客利用,从而破坏公司的信息安全。
有的企业对员工采取了正确的雇用策略,比如对员工进行背景调查、定期工作轮换、多人负责制等,但却在最后一环马虎了。对于离职员工,企业往往只是简单地收回门卡、删除计算机账号等,但这些是远远不够的。
不要低估风险
残存的各种账号
企业有可能有多个信息系统,比如销售系统、客户系统、应用系统、办公系统等。由于许多企业的信息化成熟度并不高,这些系统并没有集成在—起,也就有了各式各样的账号。而作为员工离职手续执行者的人力资源部的工作人员并没有能力了解这么多,没有办法发现这个问题,也不可能及时通知到所有系统的管理者对账号进行禁用或是删除。这样,很可能会有—部分账号被保留下来,更可怕的是,企业中很少有人会知道并关心这些账号的继续存在。而离职员工仍可能利用这些账号来继续使用这些系统,甚至获得销售、客户、产品等保密资料。
残存的各种资源权限
员工很可能拥有VoIP、VPN、Modem接入、远程主机、E-mail等权限。如果一个离开很久的员工还用着公司的E-mail,可能被别有用心的人利用,比如用来欺骗客户、散播谣言、收取公司的广播邮件等。另外要特别注意的是一些技术开发和管理人员,他们拥有的权限更多,而且有些员工在工作中可能为了方便打开了一些后门,或者是有意无意地安装了一些木马类的程序,这些更难被发现和删除。
其它内部信息及隐性信息
在企业中,—个员工很可能无意或有意地得到其他人的权限或账号,如一些公用测试账号、要好同事的账号和密码等。还有的员工可能了解企业网络中的一些漏洞、后门等不公开的信息,这些信息如果透露给黑客,很可能危害到系统的安全。这些残存的信息,不仅可能被原来的员工所利用,原来的员工也可能会有意无意地把它们提供给其他有违法意图的人。实际上,随着员工电脑技能的提高和一些黑客工具的泛滥,再加上多数企业在对待离职员工的账号终结等问题的重视度不够,这些现象已经开始有扩大的趋势,也就是说,企业真正遇到这个风险的机率越来越高。
如何降低风险
企业认识到这个问题所带来的风险后,如何降低甚至消灭这个风险呢?我们几乎找不出什么有效的通用办法。不过,企业可以根据自己的实际情况参考以下几点建议:
建立和完善的企业安全策略
建立完善的企业安全策略其实是非常必要的,能使您处处主动,而不是“头痛医头,脚痛医脚”。在策略中要考虑到配置管理、变更管理,从而能有效地发现和防止员工随意安装非授权的软件等。
尽可能建立专用管理系统
当信息系统发展到比较成熟的阶段,企业的各个系统应该整合在一起,同时拥有完善的数据控制机制,从而避免一个员工有多个账号等角色混乱的现象。但是在这之前,企业也可以建立一个专用的管理系统,由它来集中控制和管理企业内部的账号、权限、角色等。这个管理系统能够减少人工处理的难度和工作量,可以提供诸如自动检查和删除过期账号、定期要求修改密码、查询和修改员工账号等功能。
在安全管理中要注意的问题
如果不能建立专用的管理系统,就要靠人工来管理,在安全管理中有很多问题值得注意,比如:
小心公共账号。对于公共账号要严格控制其权限,只能访问工作所需的有限的内容;公共账号不用后要立即删除;告诫员工不得向无关的人员透露。
小心常用密码。教育员工避免对别人公开自己的常用密码,不要使用重复的密码。
加强系统日志功能。各种日志就是将来跟踪用户行为的证据,如果有事情发生还可以成为司法取证的重要证据。
小心分配资源,及时收回不用的资源。要根据员工的工作职责、资历、业务要求等决定员工需要接入哪些公司资源,以及为什么需要接人。当实际情况变化后,要及时收回不用的资源。
加强人力资源部门和IT部门的沟通
人力资源部门和IT部门在很多方面都要通力合作。人力资源部门在裁员或重组之前最好能预先通知IT部门,IT部门要根据情况事先评估这些员工在企业信息系统中的各种账号、权限等,并预先设计好工作范围和操作流程。
尊重员工,保持良好的关系
有些公司在解雇员工的时候显得非常专制,比如限制员工将个人数据备份、不给员工足够的收拾物品的时间等,孰不知这样做一方面会引起离职员工的不满和敌意;另一方面,还可能引起其他在职员工的危机感,造成不稳定因素。所以,在解雇员工时也要有理有据,在保证公司机密的同时给予足够诚意的尊重。
利用多种途径进行约束
要和员工签订明确的保密合同,通过各种方式来提高员工的安全意识,让员工明白如果不注意保密,或者攻击和破坏公司信息安全的后果和法律责任。
虽然风险始终存在,但也不必害怕。只要我们对风险有足够的认识,采取了正确的措施,就可以将损失减到最小程度。(
authen 回复于:2005-07-14 08:21:53
嗯,不错。举例说明更好。
对于应用系统较多的网络而言,个人认为:
1. 首先,所有数据采用集中存储控制,可避免因员工离职心怀不满恶意删除数据;客户端禁止共享。
2. ERP\PDM\OA以及核心交换、路由等系统和设备全部采用LDAP或RADIUS统一的认证平台,在员工离职前即可锁定其账号,使其不可以登录所有系统。
3. 如果内外网互联互通的话,禁止使用QQ\MSN等无法监控信息传输的通信软件;
4. 监控所有内外邮件、WEB访问、FTP访问、TELNET访问,最好禁止内网访问外网22 445端口。
5. 签订保密协议。
如有不足,敬请补充。
authen 回复于:2005-07-14 08:29:23
补充一点,如果数据比较需要保密,禁止客户端使用本地输出设备。
ayazero 回复于:2005-07-14 09:02:10
把BS7799贴一遍就行了,不负责任的方案就是那样写的
SuperCube 回复于:2005-07-14 11:44:34
控制点写的很全面,不过没有具体的东西,可操作性不强。
应该是给领导看的报告吧? 呵呵!
说的比较直,楼主莫生气呀。 :)
idcpanda 回复于:2005-07-14 13:44:46
学到不少东西
evil_knight 回复于:2005-07-17 12:20:37
对于应用系统较多的网络而言,个人认为:
3. 如果内外网互联互通的话,禁止使用QQ\MSN等无法监控信息传输的通信软件;
4. 监控所有内外邮件、WEB访问、FTP访问、TELNET访问,最好禁止内网访问外网22 445端口。
====================================
按你这么办,大多数公司早就破产了,还办什么公!
authen 回复于:2005-07-18 08:42:41
引用:原帖由 "evil_knight" 发表:
对于应用系统较多的网络而言,个人认为:
3. 如果内外网互联互通的话,禁止使用QQ\MSN等无法监控信息传输的通信软件;
4. 监控所有内外邮件、WEB访问、FTP访问、TELNET访问,最好禁止内网访问外网22 445端口..........
这是对于数据安全级别比较高的单位而言,SMB不在考虑之列。
|
