隨著信息系統(tǒng)在企業(yè)中的應(yīng)用，企業(yè)的每個(gè)員工都或多或少地?fù)碛幸欢ǖ脑L問(wèn)權(quán)限。但當(dāng)員工離職后，我們雖然不用懷疑人力資源主管們的經(jīng)驗(yàn)，他們可以嫻熟地處理好員工離職的薪資、賠償、法律等方面的問(wèn)題，但許多企業(yè)的人力資源部門(mén)卻沒(méi)有和IT管理部門(mén)做好聯(lián)動(dòng)：一些員工雖然離開(kāi)了，但是他們的一些身份卻依然游蕩在企業(yè)的網(wǎng)絡(luò)、信息系統(tǒng)及數(shù)據(jù)庫(kù)中，依然可能恣意地連接和占用著公司的各種資源。目前大多數(shù)企業(yè)還沒(méi)有適當(dāng)?shù)臋C(jī)制來(lái)確保此員工不再擁有任何權(quán)限，由此帶來(lái)的一個(gè)信息化的風(fēng)險(xiǎn)就是——員工殘存的權(quán)限將有可能被員工本人或是其他黑客利用，從而破壞公司的信息安全。或許這也是企業(yè)信息化的最后一環(huán)，本文對(duì)此談一點(diǎn)個(gè)人看法，并提出幾點(diǎn)建議。
隨著信息系統(tǒng)在企業(yè)中的應(yīng)用，企業(yè)的每個(gè)員工都或多或少地?fù)碛幸欢ǖ脑L問(wèn)權(quán)限。但當(dāng)員工離職后，大多數(shù)企業(yè)卻沒(méi)有適當(dāng)?shù)臋C(jī)制來(lái)確保此員工不再擁有任何權(quán)限，由此帶來(lái)的風(fēng)險(xiǎn)就是——員工殘存的權(quán)限將有可能被員工本人或是其他黑客利用，從而破壞公司的信息安全。
·不要低估這個(gè)風(fēng)險(xiǎn)
有的企業(yè)對(duì)員工采取了許多正確的雇用策略，比如對(duì)員工進(jìn)行背景調(diào)查、定期工作輪換、多人負(fù)責(zé)制等，但卻在最后一環(huán)馬虎了。對(duì)于離職員工，企業(yè)往往只是簡(jiǎn)單地收回門(mén)卡、刪除計(jì)算機(jī)賬號(hào)等。但這些是遠(yuǎn)遠(yuǎn)不夠的。
·殘存的各種賬號(hào)
企業(yè)有可能有多個(gè)信息系統(tǒng)，比如銷(xiāo)售系統(tǒng)、客戶(hù)系統(tǒng)、應(yīng)用系統(tǒng)、辦公系統(tǒng)等。由于許多企業(yè)的信息化成熟度并不高，這些系統(tǒng)并沒(méi)有集成在一起，也就有了各式各樣的賬號(hào)。而作為員工離職手續(xù)執(zhí)行者的人力資源部的工作人員并沒(méi)有能力了解這么多，沒(méi)有辦法發(fā)現(xiàn)這個(gè)問(wèn)題，也不可能及時(shí)通知到所有系統(tǒng)的管理者對(duì)賬號(hào)進(jìn)行禁用或是刪除。這樣，很可能會(huì)有一部分賬號(hào)被保留下來(lái)，更可怕的是，企業(yè)中很少有人會(huì)知道并關(guān)心這些賬號(hào)的繼續(xù)存在。而離職員工仍可能利用這些賬號(hào)來(lái)繼續(xù)使用這些系統(tǒng)，甚至獲得銷(xiāo)售、客戶(hù)、產(chǎn)品等保密資料。
· 殘存的各種資源權(quán)限
員工很可能擁有VoP、VPN、Modem接入、遠(yuǎn)程主機(jī)、E-mail等權(quán)限。如果一個(gè)離開(kāi)很久的員工還用著公司的E-mail，可能被別有用心的人利用，比如用來(lái)欺騙客戶(hù)、散播謠言、收取公司的廣播郵件等。另外要特別注意的是一些技術(shù)開(kāi)發(fā)和管理人員，他們擁有的權(quán)限更多，而且有些員工在工作中可能為了方便打開(kāi)了一些后門(mén)，或者是有意無(wú)意地安裝了一些木馬類(lèi)的程序，這些更難被發(fā)現(xiàn)和刪除。
·其它內(nèi)部信息及隱性信息
在企業(yè)中，一個(gè)員工很可能無(wú)意或有意地得到其他人的權(quán)限或賬號(hào)，如一些公用測(cè)試賬號(hào)、要好同事的賬號(hào)、某人常用的密碼等。還有的員工可能了解企業(yè)網(wǎng)絡(luò)中的一些漏洞、后門(mén)等不公開(kāi)的信息，這些信息如果透露給黑客，很可能危害到系統(tǒng)的安全。
這些殘存的信息，不僅可能被原來(lái)的員工所利用，原來(lái)的員工也可能會(huì)有意無(wú)意地把它們提供給其他有犯罪意圖的人。還有可能，一些黑客利用殘存的賬號(hào)來(lái)隱藏自己或做一些其它的破壞。實(shí)際上，隨著員工電腦技能的提高和一些黑客工具的泛濫，再加上多數(shù)企業(yè)在對(duì)待離職員工的賬號(hào)終結(jié)等問(wèn)題的重視度不夠，這些現(xiàn)象已經(jīng)開(kāi)始有擴(kuò)大的趨勢(shì)，也就是說(shuō)，企業(yè)真正遇到這個(gè)風(fēng)險(xiǎn)的機(jī)率越來(lái)越高，所以一定不要低估這個(gè)問(wèn)題所帶來(lái)的風(fēng)險(xiǎn)。
·幾點(diǎn)建議
企業(yè)認(rèn)識(shí)到這個(gè)問(wèn)題所帶來(lái)的風(fēng)險(xiǎn)后，如何降低甚至消滅這個(gè)風(fēng)險(xiǎn)呢？我們幾乎找不出什么有效的通用辦法。不過(guò)，您可以根據(jù)自己的實(shí)際情況參考以下幾點(diǎn)建議：
(1)建立和完善企業(yè)的安全策略、標(biāo)準(zhǔn)、指南和*作程序
這是從大方面來(lái)說(shuō)的，建立完善的企業(yè)安全策略其實(shí)是非常必要的，能使您處處主動(dòng)，而不是“頭痛醫(yī)頭，腳痛醫(yī)腳”。在策略中要考慮到配置管理、變更管理，從而能有效地發(fā)現(xiàn)和防止員工隨意安裝非授權(quán)的軟件等。
(2)盡可能建立專(zhuān)用管理系統(tǒng)
當(dāng)信息系統(tǒng)發(fā)展到比較成熟的階段，企業(yè)的各個(gè)系統(tǒng)應(yīng)該整合在一起，同時(shí)擁有完善的數(shù)據(jù)控制機(jī)制，這樣就能避免目前這種一個(gè)員工有多個(gè)賬號(hào)、角色混亂的現(xiàn)象了。
但是在這之前，企業(yè)也可以建立一個(gè)專(zhuān)用的管理系統(tǒng)，由它來(lái)集中控制和管理企業(yè)內(nèi)部的賬號(hào)、權(quán)限、角色等。這個(gè)管理系統(tǒng)能夠減少人工處理的難度和工作量，可以提供諸如自動(dòng)檢查和刪除過(guò)期賬號(hào)、定期要求修改密碼、查詢(xún)和修改員工賬號(hào)等功能。
(3)在安全管理中要注意的問(wèn)題
如果不能建立一個(gè)專(zhuān)用的管理系統(tǒng)，就要*人工來(lái)管理，在安全管理中有很多問(wèn)題值得注意，比如：
·小心公共賬號(hào)。對(duì)于公共賬號(hào)要嚴(yán)格控制其權(quán)限，只能訪問(wèn)工作所需的有限的內(nèi)容；公共賬號(hào)不用后要立即刪除；告誡員工不得向無(wú)關(guān)的人員透露。
·小心常用密碼。教育員工避免對(duì)別人公開(kāi)自己的常用密碼，不要使用重復(fù)的密碼。
·加強(qiáng)系統(tǒng)日志功能。各種日志就是將來(lái)跟蹤用戶(hù)行為的證據(jù)，如果有事情發(fā)生還可以成為司法取證的重要證據(jù)。
·小心分配資源，及時(shí)收回不用的資源。要根據(jù)員工的工作職責(zé)、資歷、業(yè)務(wù)要求等決定員工需要接入哪些公司資源，以及為什么需要接人。當(dāng)實(shí)際情況變化后，要及時(shí)收回不用的資源。
·精簡(jiǎn)資源。IT管理人員要減少冗余資源，要使資源有序，這樣可以減少員工資源使用上的混亂現(xiàn)象。
(4)加強(qiáng)人力資部門(mén)和IT部門(mén)的溝通
人力資源部門(mén)和IT部門(mén)在很多方面都要通力合作。人力資源部門(mén)在裁員或重組之前最好能預(yù)先通知IT部門(mén)，IT部門(mén)要根據(jù)情況事先評(píng)估這些員工在企業(yè)信息系統(tǒng)中的各種賬號(hào)、權(quán)限等，并預(yù)先設(shè)計(jì)好工作范圍和*作流程。
(5)尊重員工，保持良好的關(guān)系
有些公司在解雇員工的時(shí)候顯得非常專(zhuān)制，比如限制員工將個(gè)人數(shù)據(jù)備份、不給員工足夠的收拾物品的時(shí)間等，孰不知這樣做一方面會(huì)引起離職員工的不滿(mǎn)和敵意，另一方面，還可能引起其他在職員工的危機(jī)感，造成不穩(wěn)定因素。所以，在解雇員工時(shí)也要有理有據(jù)，在保證公司機(jī)密的同時(shí)給予足夠誠(chéng)意的尊重。
(6)利用多種途徑進(jìn)行約束
要和員工簽訂明確的保密合同，通過(guò)各種方式來(lái)提高員工的安全意識(shí)，讓員工明白如果不注意保密，或者攻擊和破壞公司信息安全的后果和法律責(zé)任。
結(jié)語(yǔ)：雖然風(fēng)險(xiǎn)始終存在，但也不必太過(guò)害怕。害怕是沒(méi)用的，要有應(yīng)對(duì)的措施，要事先做好準(zhǔn)備，盡量考慮到方方面面。只要我們對(duì)風(fēng)險(xiǎn)有足夠的認(rèn)識(shí)，采取了正確的措施，就可以將損失減到最小程度。最后要提醒企業(yè)管理層的是，離職員工的安全問(wèn)題只是眾多安全問(wèn)題中比較容易被忽視的一環(huán)，類(lèi)似的安全問(wèn)題可能存在企業(yè)的其它環(huán)節(jié)，而最根本的對(duì)策是要為企業(yè)建立一整套的安全策略、標(biāo)準(zhǔn)、指南和*作程序，并在安全實(shí)踐中不斷更新和完善。68476636-8002）