人員流動是必然的,對企業而言是不可能避免的,但由此而造成的各種安全問題卻是可以把控的。
要想將離職員工帶來的安全隱患降至最低,就要看為這場戰役所做的準備工作有多到位。
建立完善的安全制度
建立完善的企業安全管理制度是非常必要的,能使企業處處主動。
注意:這里說的安全管理制度,既包括機房的安全管理制度,還包括數據管理制度和賬號管理制度等。
在制定了詳細的、可操作性非常強的各種安全制度后,我們要注意的就是一定要嚴格執行,任何一次有關數據庫和賬號的操作必須記錄在案,做到有據可查。而且,還要特別注意的就是人事部門和IT部門的溝通,要讓IT部門能夠及時了解到有關員工的離職信息,從而根據原來的賬號記錄及時刪除有關權限和用戶,做到防患未然。
另外,還可以在硬性規定上圍追堵截員工的泄密行為。比如,微軟、西門子等公司是從硬件設備上防止員工拷貝公司資料,根據級別區分,大部分的員工電腦是不能安裝軟驅和移動硬盤接口的,這在跨國公司內是非常普遍的做法。IBM公司還規定每個員工只有三次查閱同一文檔的機會,并且這三次查看的時間、地點、原因都會被嚴格地記錄下來。
建立嚴格的保密制度,劃分資料信息的秘密等級,并明確予以標識,按等級進行管理,確定不同等級傳播的范圍,規定每個員工包括各級主管接觸的權限,每個員工不得接觸自己無權接觸密級的檔案資料。紙質重要文件的調閱要將查看的時間、地點、原因都嚴格記錄下來以備查。在與離職的員工保持聯絡時,要謹記大家現在已經不是一條戰壕里的戰友了,要注意信息的傳播界限。
實行AB角制度
企業要在關鍵崗位儲備后備力量,進行定期的輪崗制和A、B崗制,關鍵崗位應最大程度減少對特定人員的依賴,避免出現某個人在一個崗位上“一支獨秀”。否則該人員一旦離職,將給企業造成較大的影響,在安全管理上也很容易出現諸多漏洞。
比如,某項具體業務同時設立兩個人負責,一個為A角,一個為B角。平時業務由A負責,如果A外出,則由B負責辦理,同時,兩人的操作要互為監督。
這樣既有效地提高了工作效率,又可以在發生安全問題的時候,在第一時間發現問題,便于及時采取應對措施。這一點對于IT部門的離職員工而言更有現實意義,因為作為單位IT部門的員工,相對來說接觸到系統權限和賬號設置的幾率更大一些,有時候為了工作的方便可能會在系統中設置一些管理員級別的用戶,或者在防火墻上開放特定的端口,所有的這一切都可能會成為一個不安全的因素。
實行AB角制度后可以在很大程度上避免這類事件的發生,當然這要和上面所說的完善的安全制度相結合才可以。
細節約束
◆根據賬號記錄及時地在有關系統中刪除離職員工的賬號。需要特別注意的是,由于通常狀況下企業的應用系統不止一個,所以要對照賬號記錄在各個系統內刪除離職員工的賬號,包括辦公自動化OA系統、客戶系統和郵件系統等等。如果必要的話,單位用的一些公用賬號也要進行修改。單位的一些外聯設備,比如說防火墻和VPN撥號密碼等更要進行細致地檢查,另外還要經常檢查系統安全日志,預防和發現未經授權的非法登錄。
◆關閉“允許遠程注冊表操作”等不必要的服務,刪除系統的“默認共享”,局域網中設置共享時要進行用戶數的限制和權限的控制,在自己用完后一定要立即取消。
◆設置重要系統的用戶賬號的失效日期,口令定期強制更換。系統的系統管理員或超級用戶口令由業務部門主管和技術部門主管拆分設置,雙方各執一半分別保管,口令在12位以上并由英文字母和數字混合構成。這樣不僅可以防止在職人員擅自進行各種管理操作,而且在個別部門主管離職后,即使沒有馬上進行口令修改,他也無法繼續行使管理權限,避免業務上出現“一手清”的可能性。就像一把鎖需要兩把鑰匙同時出現才能被開啟一樣增加了安全系數。
◆對所有用戶的訪問進行審計,如果超過三次口令輸入不正確,則應該認為是非法入侵,應給出報警信息,并立即停用該賬號,從而使采用詞典攻擊系統變得非常困難。
◆使用具有將用戶賬號、MAC地址、和交換機端口等進行捆綁功能的企業級網管交換機,在交換機上劃分VLAN、增加訪問控制等,使非法入侵者無法連接訪問企業內部網絡資源。
◆避免員工使用自己的個人免費郵箱進行商務往來,使用安全性更高、管理性更強的企業郵箱以阻止心懷叵測者伺機盜取商業機密的圖謀。員工一旦離職應立即刪除其原來使用的企業郵箱賬號。
◆USB個人數字證書是一種有效的技術防范措施,它根據業務經辦人員的身份證統一申請辦理,一旦人員離職,則將其相關信息列入‘黑名單’。用于存放數字證書的USB設備,核心是一塊能夠實現加密運算的芯片,其核心的安全識別和加密運算在USB設備內部完成后,再將加密信息返回給PC系統,所有關鍵數據的存儲、運算都在USB設備內部通過硬件實現。因此,不必擔心在電腦上留下任何身份痕跡。即使登錄密碼被別有用心的人看到,或原經辦人員離職后,相關信息沒有及時列入‘黑名單’,但由于他們載有證書的USB Key被收回,也無法登錄系統。這種軟、硬件的組合可以減少系統被攻擊的可能性。
當然,管理制度的規范和技術手段的健全是防止泄密的根本保證,我們平時更應該注重加強彼此之間的溝通信任,增強員工的歸屬感和忠誠度,化解矛盾,找到員工利益和企業利益的結合點和平衡點,從而降低員工離職后造成損失的可能性。
