利用簡單方法即可阻止數據泄漏危害
無論是在現實生活中,還是在虛擬的網絡世界,永遠都是內患難防——許多企業電腦網絡安全問題往往是由于內部員工引起的。所謂的“內患”不一定是真正仇視企業的員工,很多都是無心為之。如員工訪問了被掛馬的網站,間諜軟件、廣告軟件等惡意軟件就會不知不覺地下載到他們的電腦中,接下來,這些惡意軟件就會在企業內部網絡中進行傳播。
員工給企業造成的危害,無論是否有意而為,其行為導致的結果卻是一樣:不當使用網絡從事各種活動極有可能導致公司信息系統被入侵、機密資料被竊以及公司網絡堵塞等問題。企業的商業機密泄露,資產必將遭受巨額損失。
數據泄露對企業和員工都是極大損失
當企業數據泄露時,遭受損失不僅是企業,與之相關的員工都成為最終的受害者。
06年8月,就職于美國在線公司(AOL)首席技術官莫林·高文(Maureen Govern)辭職,其原因就是AOL公司在之前的三個月里泄露了658000位匿名用戶的約2000萬個關鍵詞搜索信息。
此外,AOL技術研究部門的一位研究人員和他的主管也因數據泄露而離開了公司。為平息網上的如潮批評之聲,AOL表示將成立一個專門的小組審查公司客戶隱私保護政策。
數據泄露事件甚至讓一個國家蒙受損失,讓其政府執政能力遭受質疑——英國首相布朗曾因2500萬人信息丟失遭質疑。
07年10月份,英國稅務及海關總署弄丟兩張重要數據光盤,其中包括2500萬人的敏感信息。在英國,兒童福利補貼都經過銀行轉賬方式直接存入補助對象的賬戶,而稅務和海關總署丟失的兩張光盤就保存了補助人的個人資料等重要信息。
此次信息丟失牽涉到的英國家庭數目很大,幾乎所有擁有16歲以下兒童的家庭,都丟失了個人信息,甚至連首相布朗一家也未能幸免。丟失信息涉及所有兒童福利補貼受益人,包括2500萬人、725萬個家庭。英國幾乎一半人口的機密信息不慎丟失,其中包含銀行賬號等重要內容,英國首相布朗21日遭到議員們的強烈質疑。
#p# 很多企業在數據庫、電子郵件以及一些信息管理等方面也制定了一些安全策略,但這些安全策略若只是一
個框架,其產生的效果是值得懷疑的。
讓企業IT負責人最為頭痛的就是企業關鍵數據泄密,他們最不愿意看到的就是這些數據被一些惡意用戶所
掌握。然而泄密真是在所難免,因為無論企業配備多么強大技術與設備,具有如何全面直觀的檢測系統也
不能全面的避免非法侵入者利用企業某些信息安全防護“短板”。
業內專業人士曾警告:企業信息泄密點通常也是最被企業所忽視的——數據庫超級用戶管理權限、簡單的電
子郵件設置以及那些漫不經心的安全策略。
數據庫超級用戶管理權限
很多企業所用數據庫都存在超級管理員權限,這種權限存在是數據庫權限濫用的一種體現。存在此類權限
的數據庫環境也是非常危險的,因為它非常容易被一些不良人員所利用,導致關鍵數據泄露。
約翰遜提供三種設想和建議,以使數據得到充分保護:
1、在企業,讓IT 運維人員根據用戶的實際需求分配權限是一個費力不討好的工作。所謂的費力,是指IT運維人員若要按需分配首先要從單位行政角度摸清員工(這里也包括高層管理者)的實際需求,其工作量可想而知;很多企業高層管理者要求IT 運維人員要將其數據庫的權限設置成“超級管理員”,但這種要求與這些高層實際需求不一定相符,使得IT 運維人員左右為難。
不過作為IT主管,即便你很為難,但我還是建議你要堅持原則——相關人員數據庫使用權限與其實際工作權限相配套,尤其是要弄清楚那些具有超級用戶管理權限的人員獲得權限的原因。公司管理層在這方面有一個明確的判斷,是要方便還是要安全。不過從前面的這些安全事故中我們可以看出,要想從如此競爭激烈的市場環境中脫穎而出,穩妥的安全措施勢在必行。
2、很多大型企業還存在這樣一個問題,數據庫管理員(DBA)和網絡管理員到底誰應該賦予更多的更全的管理權限,以完成他們的工作。按照員工比例來講,即便是數據庫管理員和網絡管理員二者相加,其總量也是少數。對他們實施管理相對簡單。但這里還是存在管理上的漏洞:是不是DBA就可以無限制的看到所有的數據?誰可以擁有數據庫備份副本的管理權限?即便是這些擁有超級權限的人是值得信賴的人,就沒有數據泄露的隱患了嗎?
建議還是取消數據庫管理員以及網絡管理員(系統管理員)的超級用戶管理權限。因為他們只要做好自己工作就好了,不必也沒有任何理由完全掌握企業的數據庫管理權限。對這些IT管理人員的職責也應該細分,讓他們在自己職權范圍內設定自己的用戶名和密碼,并自己保存。這些管理員們向CIO提交他們的用戶與密碼副本,而這些副本也不應該有CIO隨意掌控,而是將其放進“LOCKBOX”這樣的密碼保護軟件中。這種方法可以說基本上沒什么技術含量,但它可以防止企業過度分配超級管理員權限。
3、還有種情況可能出現:某些IT用戶可能不需要擁有強大的特權,但由于他們的工作性質,有可能使用別人的超級管理特權。一個典型的例子就是一個低級別的數據中心業務人員,他或者僅負責生產調度環境,而他有些工作卻有可能涉及到數據庫管理和系統管理員的用戶名和密碼。這對于任何企業而言都是一個重大潛在威脅。
這種情況看似難辦,實際上也不是很難解決。無論是最終用戶還是那些具有超級用戶權限的人,對他們賦予權限的規則是幫助誠實的人留下誠實。讓所有的人都知道,在企業中的網絡行為都會受到監控,這樣就可以阻止數據泄露事故的大量發生。
停止大規模郵寄您的機密信息
“核心商業機密對于企業的價值自是不言而喻。而核心機密的頭號泄露途徑確實最為普通的電子郵件。”Proofpoint公司 CEO 加里斯蒂爾如此認為。
上述言論正好說明了最近的一項調查的準確性——據Forrester進行的調查發現,IT主管和經理們認為,出站電子郵件的最容易造成數據泄露,尤其是想機密備忘錄、極具價值的知識產權和交易信息。
然而觀察一些泄密事件后,你就會發現,這些事件中惡意泄露的只占很小的一部分。絕大部分都是疏忽造成的。在加利福尼州,亞康特拉科斯塔縣的一位雇員就因為選錯了郵件列表這個疏忽,將很多機密文件通過郵件誤發給瑞典的一個朋友。法院庭審檔案無疑是機密的,而某個粗心大意的法庭聽證會書記員曾復制科比強奸案的法院謄本后,將其不小心放入了錯誤的郵件組發送了……
不可否認,現實生活中確實存在惡意泄露事件。企業用戶應對此有防范意識,如采用Proofpoint這樣的保護服務器軟件等,可以幫助企業搭建信息保護平臺,防范入站郵件威脅(如垃圾郵件和病毒) ,并確保出站郵件符合公司的政策和外部法規。
#p#TELXAR公司創始人見首席執行官Jeff Bowling強調說,堵住數據泄露的最好的方法是執行一個比較好的安全計劃——應該包括拒絕服務攻擊和內部網絡的安全注意事項,同時還應該對網絡管理員的指南服務。下列信息應該包含在計劃之中,卻又被忽視的:
1. 表明獲得小時
2. 指定的登錄憑證和權利
3. 禁用外部軟件
4. 考慮內部審計/入侵監測應用
5. 鎖定內部硬件組件
6. 進行定期審計,安全和資源
7. 禁用USB或FireWire端口
8. 限制郵件大小和/或阻止所有附件
9. 不允許使用相機裝置內限制/敏感領域
10. 定義一個嚴格的政策,接受設備及其使用情況
11. 確定一個聯絡點,政策問題的網絡和它的內容
12. 執行保密和保密協議
13. 確定的指揮鏈和升級程序
14. 確保管理人員和用戶了解的安全計劃和政策
非技術的方法也值得考慮
Johnson提出了另一種安全策略:“現在的企業太沉迷于技術手段保護數據的安全了。這是讓我非常驚訝的——實際上使用一些飛技術手段會打到意想不到的效果。在可能的情況下,企業應該對在敏感職位上員工的真是背景進行深入調查,察看這些員工的可信度是否適宜目前的工作。這一策略并不是我的發明,我過去工作過的國防工業中,這樣的審查程序是必須的,也是絕對必要的。”
作為企業安全主管有一條原則,那就是安全系統是不能只由一個人負責——進入機房的時候,應該是一對伙伴共同操作。一個人操作時,另外一個人將密切關注對方登錄和登出等動作。
【編輯推薦】
