我们常常看到媒体报道雇员在离职前盗取所供职部门的核心技术信息的事件,离职人员充当了内鬼。那么,前雇员为什么会成为信息泄漏事件的高危人群?针对这些潜伏者,企业的IT部门又该有哪些应对策略呢?从类似事件的关键过程点,我们可以有一些收获。
制度化的分级保密策略和审计机制能够降低潜伏者得逞的概率
近期有一起引起广泛关注的前员工盗取商业机密的案件,当事人在离职前利用其合法的使用权限,将资料打印出来并拍照存储在私人笔记本电脑中;而在几年前的一起影响重大的彩电技术泄漏案中,当事人则是将大量技术文档复制到了私人移动硬盘中……这些事件中的涉案者都是利用合法的IT权限实施了非法的信息盗取行为,这表明针对合法用户细分化的授权以及制度化的审计非常必要。
目前大大小小的企业的IT系统,一般将比较重要的信息存储于内部公共服务器中供用户访问,同时,在服务器以及网络出口做好防护,防范来自外部的入侵。然而,简单的内外有别的访问授权控制,只能防止外部的用户突破网络边界到内部网络盗取信息,而合法用户是否合法地使用了信息,则更像是一个"黑箱"。
现实的应用中,类似打印、复制等看似普通的操作,也可能是致命的信息泄漏渠道。目前发生的案例中,对"内鬼"所在的部门而言,这些行为本应是受到严格限制的。重要的信息,应该得到严格的保护,牵涉到核心竞争力的信息,更应该辅之以严格的访问控制、审批授权等权限控制机制。另外,针对信息使用的全面审计,也是必备的环节,这有助于及时发现违反IT策略的行为,更可以在信息未泄漏扩散之前及时发现并采取行动。
公私分明的安全策略可以大大减少安全风险
另外一个值得反思的环节就是,私人设备在内部IT系统的应用。上面提到的两起案件,当事人或利用私人的数码相机拍摄资料录入个人电脑,或利用个人移动硬盘转移数据。这些,都暴露了企业的IT策略没有覆盖到私人应用的漏洞。
私人设备的应用,本意是想提升个人的工作效率,例如U盘是方便的传播载体,私人笔记本电脑有利于移动办公,通过网络社交,可以加强企业与外部的沟通。但所有这些应用,都应该有一个前提,即私人应用应该处于企业的整体IT安全策略管理之下。任何一种新设备或者应用的使用,都该经过事先的风险评估,并在执行时被严格的监管。在公共的IT系统和私人应用之间划出边界,在智能手机等设备普及,微博、社交网络蓬勃发展的今天,显得尤为重要。
技术与管理相结合的信息安全策略是必然的选择
目前,很多企业采用视频监控等技术手段辅助安全策略,并对核心员工离职前的安全审查流程有着事先的规定,这些手段可以发现基于网络的IT审计无法监控的行为。在上面的两个案例中,据外界的猜测,当事的两家大型企业都有对核心部门采用视频监控和离职审查的规定。
事实上,安全本身应该是一个综合的概念,除了通常意义上的网络安全、数据安全等,通常被归于行政安全的视频监控、门禁等技术,也是企业安全的重要组成部分。目前,很多成熟的组织已经设立了首席安全官的职位,统领企业的安全管理。站在战略的高度制定整体性的策略,更能综合性的调动企业的资源,将安全与管理相结合,才能更大限度的提升企业的信息安全水平。