由离职雇员泄密事件看企业的内部安全威胁

　　2011年4月，国内陆续有媒体爆出，有某知名外企前雇员涉嫌在离职前偷取涉及到其家电部门核心技术的信息，事件暴露后遭到了该国警方的逮捕。由于一些原因，这起事件很快就像其他的一些泄密案件一样，没再更多的后续报道了，留给外界的只是无尽的猜测。

　　信息时代的大背景下，信息就是生产力这一点已经是常识。先人一步的产品设计，快人一步的市场部署，都能转换成巨大的竞争优势。为了保护已经数字化存储的各种商业信息，各类企业和组织可谓绞尽脑汁，与各种信息泄漏与信息犯罪行为进行斗争，称其为信息安全战争绝不为过。

　　是战争就有输赢，就有各种战术战略，但凡稍有规模的信息系统，大多部署了防火墙、入侵检测、代理服务器等各种防御手段，用以防备来自外界的非法入侵。然而，中国有句古话，叫做“日防夜防，家贼难防”，意思是再坚固的城池，当它被门内的人主动打开时，里三层外三层的防线也都成了浮云;再比如计算机木马得以命名的“特洛伊”之战，相比大家都耳熟能详。

　　国内知名的内网安全厂商溢信科技的研发总监黄凯表示，木马名称的由来，以及上面提到的泄密事件，正形象的描述了在信息时代的大背景下，组织所面临的一种不能忽视的安全风险——内部安全威胁。从这次的泄密事件所流出的为数不多的细节当中，他对企业所面临的内部安全威胁做了一些解读。

　　根据用户身份进行授权，并注意及时变更是基础

　　根据已知的媒体对这起泄密事件的报道，该前雇员即将离职，大概是为了给自己的下一份工作提供一些竞争优势，他利用自己尚未被完全收回的权限，访问了存储有机密信息的服务器，获取并打印了相关的信息。这提示了我们一点：根据用户的不同角色，赋予其以差异化的信息使用权限，并根据实际情况及时变更与跟踪是内部风险控制的基础。

　　目前，大部分企业的信息都是存储在类似文档服务器等系统中。在服务器的边界部署防护系统，防护来自外部的入侵，同时根据不同用户的角色分配其对不同安全区域的访问权限，基本已经是普遍的配置策略。

　　基于“信任自己人”的大前提，类似的安全部署也实属正常。然而，当用户的安全角色变成案例中的“前雇员”时，及时根据其身份的改变变更其IT权限，就显得十分必要。事实上，从各种复杂的保密协议可以看出，即将离职的员工被认为是非常高危的潜在泄密人群，对于这一类用户，逐渐收缩并最终收回其IT权限是通用的做法。案例中的前雇员，在离职前还拥有可以接触到涉及核心竞争力的机密信息甚至进行打印的权限，是关键的漏洞所在。

　　及时告警与强审计机制，有时是必然的选择

　　我们通常假定拥有合法使用权限的用户应该能够遵从组织的信息安全策略，在合法的使用范围内使用信息，但用户不是机器，在使用信息的过程中，会有各种犯错的可能，一个无意的复制粘贴，图方便发往个人邮箱的未完成工作，都可能是潜在的危险行为，更不用提用户有主动泄密的动机。

　　因此，IT部门应该事先确定一些可能的危险行为特征，并针对这些危险行为设置报警策略。例如，对于最核心的机密信息，任何访问、修改都必须有完整的记录，涉及到外发等高危行为，根据实际情况更要有报警机制，当用户触发对应的策略时，可以及时发现并阻断有风险的行为。

　　同时，IT管理人员要擅于从日常的审计报告中总结归纳危险的行为，从而在后期进行有针对性的防范与管理。特别的，对于高风险的用户，如案例中的前雇员群体，审计政策更可能需要有所偏重，如针对异常的打印行为进行特别分析。

　　需要指出的是，安全审计不可避免的会侵犯到用户的个人隐私，这是个有争议性的话题。溢信科技根据其从业经验提出了一些建议：在国内法律法规不健全的背景下，如需要对用户的E-mail、IM进行行为审计，更应该在有其明确的界限。这里所说的审计，最根本的出发点应该是针对事件的审计，即“对事不对人”，这就要求安全审计应该形成制度化的规范，同时，分级的审计，即对审计人员的审计，也是必要的措施。

　　应该对私人设备乃至私人应用应该作出具体的规范

　　据媒体的报道，案例中的前雇员在打印了机密信息后，并没有直接带出，而是巧妙的采用了拍照后再转移到私人笔记本电脑的策略，可谓煞费苦心。这里就暴露出了信息安全管理中的一个大课题：对于私人设备甚至私人应用应该采用怎样的安全策略。

　　实际上，用户使用公有的信息系统完成完成工作职能，即代表着IT系统本身是一种公有的生产资料，必须有基于整体安全策略的统一配置，因此，公私不分的IT策略本身就是不可取的。用户私自安装盗版软件，运行有安全漏洞的程序，都会对整体的信息安全造成重大影响，更不用说用户有意利用私人设备规避有意盗取资料。

　　对于信息系统中一些核心的部门，其IT安全策略应该有最严格的限制。作为内网安全专家，黄凯表示，实践中很多企业的核心部门的信息系统都采用了内外网分离的策略，以杜绝外联的安全风险，“我们的一些客户甚至采用了更为严苛的策略——进入工作环境不可以携带任何私人设备，包括手机、相机等在内。”在目前便携设备发展迅猛的背景下，这样的安全策略显然是必要的。另外，随着移动接入的逐渐普及，Android、i-OS等职能设备的应用对于组织的移动接入安全产生了挑战，IT管理人员有必要提前应对这些挑战。

　　由单一的网络安全、数据安全拓展到整体性的安全战略

　　从媒体的有限报道中，我们并不清楚该企业是如何发现并阻止这一起信息安全事故的，但这并不妨碍我们在合理的范围内进行一些猜测：该企业很可能采用了视频监控等技术手段辅助安全策略，否则难以发现对着打印的资料进行拍摄这种信息盗取行为。

　　事实上，安全本身是一个很综合的概念，除了通常意义上的网络安全、数据安全、存储安全等以外，通常被归于物理安全或者行政安全的视频监控、门禁、防灾备份等技术，也是安全的重要组成部分。

　　目前，已经有很多成熟的组织设立了首席安全官的职位，统领企业的安全管理。安全本身并不仅仅是几项技术的应用，而应该是技术与管理的结合。黄凯建议，在目前信息安全越来越复杂的背景下，组织应该把安全从技术层面上升到整体的战略层面，前瞻性的考虑安全策略并调动资源。