计算机网络面临的最大威胁是什么?如果您的回答是没有打上补丁的微软漏洞,或者蠕虫,病毒,脆弱的防火墙,那么很不幸,您的安全意识还不够。IT部门面临的最大威胁是您可能知道其姓名的人。请仔细想想,谁能更轻松地穿透您的系统――是一名黑客,还是一名已经访问过您系统的人?
IT部门的雇员,尤其是管理员,能访问到部门的最机密最有价值数据,但IT管理员总是把大部分精力投入到修补系统资源漏洞,构建更安全的防火墙上(当然这两者都很重要),而忽视了来自内部人员的攻击。可能这是由于他们害怕知道内部攻击的真正威胁,或者由于他们并不知道如何处理这种内部攻击的原因。下面,我们将分析这一问题,并提出相关建议。
防止资料泄漏
首先,应该制定一个周密的、强制性的,关于外带公司系统任何资料的策略。这对于许多公司来说都是一个全新的工作,但这些策略必须具体付诸实施,并强制性执行。不过,由于许多职员需要把资料带到家中或路上,所以这些策略执行起来就更加困难了。必须要为此做一些规定,而且申请外带资料的过程要简单,不应为此给职员增加过多的负担。
一种非常明显的来自内部人员的威胁是对公司不满的员工实施的报复。另一种威胁来自公司技术人员,当他们离开公司时会拷贝一些重要文件带走。这是他们证明自己的工作经历,保留自己所做工程的详细细节以备将来所用的方法。因为这些行为可以理解,所以经常被忽视。
然而,这些员工也许会无意删除某些机密信息,比如客户列表,商业机密。所以,鼓励员工保留工程的写操作日志,让他们知道删除工程文件是违反公司规定的行为是很重要的。
禁止即将离职的员工带走任何文件。应该规定,通知某个员工离职的同时要修改系统的账户密码。许多公司为了保护重要文件会更换门锁,不让离职员工进入相关房间,虽然这么做令人生厌,但IT安全仍需要以同样的方式保护重要资料。
在通知某个员工离职,或通知他即将更换工作岗位之后还允许其继续使用原有办公室的做法是非常危险的。在这些员工参与了工程收尾工作的情况下,这种做法尤其危险。在过渡期内,您可以为他们建一个单独的办公室,配有打印机,不联网的计算机,电话线,以便他们能进行平稳过渡。
正准备离职的员工代表着公司机密资料面临的最大潜在威胁。这些员工在公司做出决定后会马上离开。要做好一切善后工作,比如赠送他们一份精美的礼品,在固定地点给他们安排一个办公室,开一个体面的告别会等等――就是不要让他们拿到机密文件。一旦某个员工离职,要立即禁止他进入主要办公地点,除非有其他公司职员的陪同,而且他的口令已经作废的情况下方可进入。
其它建议
除非公司员工需要通过远程进行交互,或者需要在家中完成许多认证工作,否则禁止在员工的家用计算机上存储公司资料。
向员工解释清楚偷窃资料罪行的严重性,强调合法的处罚。
提醒面试人员,注意那些提供了太多自己参加的最后一个工程资料的应试者。这表示,该名职员在离开您的公司时也极有可能带走类似的机密资料。至少,您需要与这名职员讨论一下这个问题,强调一下公司的有关策略。
不要忽视物理安全
IT安全通常比较关注技术性的东西,忽视其他一些强力因素。我之所以首先关注人的因素,是因为我很久以前就从事安全事业。早期,我曾与窃车贼,纵火犯,甚至制造暴乱的犯罪分子打过交道。后来我从事了信息安全工作,当时的信息安全就是要从物理上保护与外界没有联系的大型机。因为在这种情况下,资料的窃取就是物理上偷窃磁带或穿孔卡片,所以我首要关注的问题而且唯一要关注的问题就是人。
很不幸的是,大部分保护IT数据的职员只有很少或没有从事保证雇员数据安全或物理数据安全的背景。因为他们不能正确评估(或者根本就没有认识到)来自同事的威胁,所以他们只注意那些来自英特网上的匿名攻击者。
加强IT安全性的最快办法是雇用一名具有法律工作背景的员工,如果该名员工同时具有技术开发背景就更好了。例如,一位退休警探,甚至只是一位兼职侦探,能够从人的角度来考虑整个安全防护过程。
由于信息安全防护过程不同于抓捕毒贩或窃车贼的过程,所以您需要挑选特殊的新型安全工作人员。为了剔除被警局开除的警员,您只需考虑那些仍在警界工作的人,或者有退休金的退休人员。(提前退休的员工一般都属能力低下者)。当然,可能会有一些辞职了的优秀警员因此而不符合条件,但您不是这方面的专家,不能区别警员是否合格,所以只能是这样了。
寻找这类人才的一个好地方是大学校园治安队。那里的警员一直与受过良好教育的人打交道,对公共环境中存在的潜在问题非常敏感。
员工教育
您是否听说过Timothy Lloyd?也许您可能没有,这位39岁的高级程序员向所有管理员和IT员工敲响了警钟。Lloyd为Omega Engineering工作10年后被降职,他认为自己受到了不公正的待遇。接着,他并没有马上离开公司,而是在一个软件中置入定时炸弹,删除了公司大量的重要文件,使得公司蒙受大约1千万美元的损失。
所有管理员应该从这一事件中吸取教训:即使是公司的老职员也会威胁到核心IT资源。应该让员工们知道,Lloyd的所作所为违反了1994 Federal Fraud and Related Activities In Connection With Computers Act。法庭经过多年审理后,判处Lloyd 3年半的有期徒刑,并向公司赔偿2百万美元。
Reuters近期报导的这一事件揭露了一个事实:某些职员将恣意滥用公司的计算机视为一种权利,而不是一种潜在的犯罪。
思考
最后,我们要对此做一些艰苦的思考,IT本身是否具有保护自己的能力呢?上个世纪最有争议的间谍成了FBI的顶级特工,他能在最隐蔽的地方隐藏自己的行为。Robert Hanssen每天都去Catholic Mass抨击共产主义带来的威胁,但他也为Soviets工作,后来还为Russians工作。Hanssen事件表明,过于相信一条沉睡的狗是多么危险的事情。
如果您希望真正保护您的数据,最关键的是(一条我已经提倡了20年的建议)要物理安全和电子安全并重。不应该完全依靠IT自己保护自己。人类总是过于情绪化,仅仅通过外表,您不能确定自己能否信任某个人。
确保企业真正安全的唯一办法是,让安全保护IT,同时让IT维护安全,二者要分开负责。仅考虑某一方面的企业很可能将制造另一个Hanssen。
