科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道小心离职员工带来的安全隐患之三

小心离职员工带来的安全隐患之三

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

人员流动是必然的,对企业而言是不可能避免的,但由此而造成的各种安全问题却是可以把控的。要想将离职员工带来的安全隐患降至最低,就要看为这场战役所做的准备工作有多到位。

作者:王亚峰 廖文建 来源:网管员世界 2008年10月23日

关键字: 安全隐患 安全策略

  • 评论
  • 分享微博
  • 分享邮件

  建立完善的安全制度

  建立完善的企业安全管理制度是非常必要的,能使企业处处主动。

  注意:这里说的安全管理制度,既包括机房的安全管理制度,还包括数据管理制度和账号管理制度等。

  在制定了详细的、可操作性非常强的各种安全制度后,我们要注意的就是一定要严格执行,任何一次有关数据库和账号的操作必须记录在案,做到有据可查。而且,还要特别注意的就是人事部门和IT部门的沟通,要让IT部门能够及时了解到有关员工的离职信息,从而根据原来的账号记录及时删除有关权限和用户,做到防患未然。

  另外,还可以在硬性规定上围追堵截员工的泄密行为。比如,微软、西门子等公司是从硬件设备上防止员工拷贝公司资料,根据级别区分,大部分的员工电脑是不能安装软驱和移动硬盘接口的,这在跨国公司内是非常普遍的做法。IBM公司还规定每个员工只有三次查阅同一文档的机会,并且这三次查看的时间、地点、原因都会被严格地记录下来。

  建立严格的保密制度,划分资料信息的秘密等级,并明确予以标识,按等级进行管理,确定不同等级传播的范围,规定每个员工包括各级主管接触的权限,每个员工不得接触自己无权接触密级的档案资料。纸质重要文件的调阅要将查看的时间、地点、原因都严格记录下来以备查。在与离职的员工保持联络时,要谨记大家现在已经不是一条战壕里的战友了,要注意信息的传播界限。

  实行AB角制度

  企业要在关键岗位储备后备力量,进行定期的轮岗制和A、B岗制,关键岗位应最大程度减少对特定人员的依赖,避免出现某个人在一个岗位上“一支独秀”。否则该人员一旦离职,将给企业造成较大的影响,在安全管理上也很容易出现诸多漏洞。

  比如,某项具体业务同时设立两个人负责,一个为A角,一个为B角。平时业务由A负责,如果A外出,则由B负责办理,同时,两人的操作要互为监督。

  这样既有效地提高了工作效率,又可以在发生安全问题的时候,在第一时间发现问题,便于及时采取应对措施。这一点对于IT部门的离职员工而言更有现实意义,因为作为单位IT部门的员工,相对来说接触到系统权限和账号设置的几率更大一些,有时候为了工作的方便可能会在系统中设置一些管理员级别的用户,或者在防火墙上开放特定的端口,所有的这一切都可能会成为一个不安全的因素。

  实行AB角制度后可以在很大程度上避免这类事件的发生,当然这要和上面所说的完善的安全制度相结合才可以。

  细节约束

  ◆ 根据账号记录及时地在有关系统中删除离职员工的账号。需要特别注意的是,由于通常状况下企业的应用系统不止一个,所以要对照账号记录在各个系统内删除离职员工的账号,包括办公自动化OA系统、客户系统和邮件系统等等。如果有必要的话,企业用的一些公用账号也要进行修改。企业的一些外联设备,比如说防火墙和VPN拨号密码等更要进行细致地检查,另外还要经常检查系统安全日志,预防和发现未经授权的非法登录。

  ◆ 关闭“允许远程注册表操作”等不必要的服务,删除系统的“默认共享”,局域网中设置共享时要进行用户数的限制和权限的控制,在自己用完后一定要立即取消。

  ◆ 设置重要系统的用户账号的失效日期,口令定期强制更换。系统的系统管理员或超级用户口令由业务部门主管和技术部门主管拆分设置,双方各执一半分别保管,口令在12位以上并由英文字母和数字混合构成。这样不仅可以防止在职人员擅自进行各种管理操作,而且在个别部门主管离职后,即使没有马上进行口令修改,他也无法继续行使管理权限,避免业务上出现“一手清”的可能性。就像一把锁需要两把钥匙同时出现才能被开启一样增加了安全系数。

  ◆ 对所有用户的访问进行审计,如果超过三次口令输入不正确,则应该认为是非法入侵,应给出报警信息,并立即停用该账号,从而使采用词典攻击系统变得非常困难。

  ◆ 使用具有将用户账号、MAC地址和交换机端口等进行捆绑功能的企业级网管交换机,在交换机上划分VLAN、增加访问控制等,使非法入侵者无法连接访问企业内部网络资源。

  ◆ 避免员工使用自己的个人免费邮箱进行商务往来,使用安全性更高、管理性更强的企业邮箱,以阻止心怀叵测者伺机盗取商业机密的图谋。员工一旦离职应立即删除其原来使用的企业邮箱账号。

  ◆ USB个人数字证书是一种有效的技术防范措施,它根据业务经办人员的身份证统一申请办理,一旦人员离职,则将其相关信息列入‘黑名单’。用于存放数字证书的USB设备,核心是一块能够实现加密运算的芯片,其核心的安全识别和加密运算在USB设备内部完成后,再将加密信息返回给PC系统,所有关键数据的存储、运算都在USB设备内部通过硬件实现。因此,不必担心在电脑上留下任何身份痕迹。即使登录密码被别有用心的人看到,或原经办人员离职后,相关信息没有及时列入‘黑名单’,但由于他们载有证书的USB Key被收回,也无法登录系统。这种软、硬件的组合可以减少系统被攻击的可能性。

  当然,管理制度的规范和技术手段的健全是防止泄密的根本保证,我们平时更应该注重加强彼此之间的沟通信任,增强员工的归属感和忠诚度,化解矛盾,找到员工利益和企业利益的结合点和平衡点,从而降低员工离职后造成损失的可能性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章