企業(yè)員工離職后的信息安全策略

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

本文寫(xiě)于2009年初，美國(guó)和其它工業(yè)化國(guó)家正處在日益嚴(yán)重的經(jīng)濟(jì)危機(jī)中。盡管政客們說(shuō)的天花亂墜，展現(xiàn)出一幅盲目樂(lè)觀的態(tài)度，但我們中的大多數(shù)人都不認(rèn)為由大量政府資金帶來(lái)的“刺激經(jīng)濟(jì)一攬子計(jì)劃”以及增加對(duì)商業(yè)市場(chǎng)干預(yù)的立法會(huì)導(dǎo)致經(jīng)濟(jì)的迅速恢復(fù)。當(dāng)面臨不確定經(jīng)濟(jì)前景的時(shí)間，很多公司先發(fā)制人應(yīng)對(duì)真實(shí)利潤(rùn)下降的辦法就是削減各種開(kāi)支，以避免產(chǎn)生進(jìn)一步的損失。

這種業(yè)務(wù)結(jié)構(gòu)的重組包含了裁減員工以降低成本等方法，有時(shí)甚至?xí)苯硬玫粽麄€(gè)部門。作為商業(yè)模式的一個(gè)方面，如果對(duì)員工離職過(guò)程不謹(jǐn)慎處理的話，可能在安全方面帶來(lái)不可預(yù)料的嚴(yán)重后果。

基于公司信息安全的角度來(lái)說(shuō)，快速裁員是一種非常不恰當(dāng)?shù)姆绞健Ｓ捎趯?duì)該事件沒(méi)有準(zhǔn)備，以及前員工和現(xiàn)員工之間的矛盾，可能會(huì)導(dǎo)致在安全方面出現(xiàn)漏洞。心懷不滿的員工會(huì)導(dǎo)致內(nèi)部安全方面出現(xiàn)問(wèn)題，這正是你應(yīng)該極力避免的。

正是考慮到這一點(diǎn)，在下面我列出了十個(gè)類別的安全策略，用以保證工作交接期間公司信息的安全。其中的一些類別在范圍上可能是有所重疊的，但對(duì)于保證公司信息整體安全的方面來(lái)說(shuō)，每個(gè)類別都有不可替代的重要作用。

1. 建立強(qiáng)大而有效的訪問(wèn)控制機(jī)制

生物識(shí)別數(shù)據(jù)、電子門卡、鑰匙、停車或出入通行證以及其他物理訪問(wèn)控制手段都應(yīng)該仔細(xì)進(jìn)行監(jiān)控和管理。包括防火墻、盡快停用遠(yuǎn)程訪問(wèn)帳戶以及強(qiáng)制要求的密碼策略在內(nèi)的措施可以防止步行到計(jì)算機(jī)上就開(kāi)始進(jìn)行操作的“硬破壞”方式。這些項(xiàng)目的管理應(yīng)該非常方便，以便在時(shí)機(jī)成熟時(shí)，管理層可以更容易地回收、停用/或更換有可能造成入侵員工使用的設(shè)備。在極端情況出現(xiàn)時(shí)，可能還需要更換鎖和鑰匙之類的措施。但一般情況下，功能強(qiáng)大的系統(tǒng)應(yīng)該支持存取控制措施，只要鼠標(biāo)點(diǎn)幾下或者輸入幾個(gè)字母就可以完成整個(gè)控制流程。

2. 建立健全而有效的帳戶管理機(jī)制

員工的帳戶信息必須進(jìn)行認(rèn)真記錄和集中管理，并且保證在工作交接過(guò)程中不會(huì)出現(xiàn)問(wèn)題。如果沒(méi)有實(shí)現(xiàn)集中管理的話，公司文件面臨的風(fēng)險(xiǎn)程度將有可能上升。需要特別注意的帳戶信息包括(但不限于)了公司的信用卡、網(wǎng)絡(luò)登錄帳戶、遠(yuǎn)程訪問(wèn)帳戶、服務(wù)器管理帳戶、語(yǔ)音郵件賬戶以及工作站用戶的帳戶。

當(dāng)員工離開(kāi)公司的時(shí)間，這些類別的帳戶應(yīng)該盡快停止使用。

不要忘記備份恢復(fù)操作可能導(dǎo)致離職員工重新獲得遠(yuǎn)程訪問(wèn)、用戶和管理帳戶等方面的權(quán)限。請(qǐng)確保，在進(jìn)行災(zāi)難恢復(fù)操作的時(shí)間，對(duì)于這類潛在的安全問(wèn)題，有相應(yīng)的解決方法。

3. 關(guān)注意見(jiàn)和建議

在工作交接的過(guò)程中，應(yīng)該與離職員工進(jìn)行盡可能詳細(xì)的面談。這樣的話，你有可能知道員工對(duì)公司有什么建議，希望在將來(lái)可以進(jìn)行改進(jìn)。對(duì)于談話的信息要充分保密，不要影響到公司目前的工作狀態(tài)。不要因?yàn)檎勗捵寙T工心懷不滿，或者導(dǎo)致更大程度的混亂狀態(tài)出現(xiàn)，所以整個(gè)處理過(guò)程必須非常謹(jǐn)慎。這些信息對(duì)于公司的未來(lái)發(fā)展來(lái)說(shuō)，也會(huì)有很大的幫助作用。

4. 建立縝密而有效的文件管理機(jī)制

在大多數(shù)情況下，從項(xiàng)目開(kāi)始實(shí)施的第一天起，公司就應(yīng)該對(duì)當(dāng)前員工的工作情況進(jìn)行詳細(xì)的記錄。只有這樣，才能保證員工更容易過(guò)渡到其他的項(xiàng)目(也許是全新的)，還方便了重要數(shù)據(jù)的恢復(fù)，并且在員工因?yàn)椴粷M意工作條件進(jìn)行惡意更改的時(shí)間，可以進(jìn)行自動(dòng)的審計(jì)跟蹤。所有文件都應(yīng)該被保存在可以進(jìn)行版本跟蹤控制操作并定期備份的中央服務(wù)器上。MediaWiki之類基于網(wǎng)絡(luò)的協(xié)作工具應(yīng)該可以滿足公司的真正需要。

交易文件等公司機(jī)密信息應(yīng)該通過(guò)不同的分散方式保存，并且需要獲得授權(quán)才可以使用，這樣，即將離開(kāi)的員工妄圖在最后時(shí)刻進(jìn)行瘋狂間諜活動(dòng)才會(huì)變得更難。如果文件中包含了商業(yè)機(jī)密，應(yīng)該確保任何員工都不能自動(dòng)獲得所有的文件。對(duì)文件的訪問(wèn)應(yīng)該基于提出需求的前提，并且要禁止任何未經(jīng)授權(quán)的訪問(wèn)。

5. 建立清晰而有效的清單目錄機(jī)制

對(duì)辦公室和員工的資源分配情況定期進(jìn)行詳細(xì)(最好是實(shí)時(shí))更新操作有很多方面的好處。但其中最重要一點(diǎn)就是在他或她離開(kāi)公司的時(shí)間，你可以了解到資源占用的情況。保持謹(jǐn)慎的態(tài)度，可以降低實(shí)際需求，因此，越早進(jìn)行這方面的工作效果就越好。

6. 建立可靠的快速關(guān)閉機(jī)制

所有的設(shè)備、文件和帳戶都應(yīng)該做到可以方便快速關(guān)閉，以防止員工在離開(kāi)公司的時(shí)間進(jìn)行惡意操作。盡管，在某種程度上，它只是重復(fù)整個(gè)交接期安全策略中的一個(gè)關(guān)鍵要素，但對(duì)于一個(gè)功能全面目的明確管理有效的策略來(lái)說(shuō)，關(guān)閉措施是必須進(jìn)行認(rèn)真規(guī)劃，以確保在真正執(zhí)行的時(shí)間不出現(xiàn)問(wèn)題。

7. 選擇良好的記錄工具

對(duì)于信息安全來(lái)說(shuō)，良好的記錄工具作用是非常大的。對(duì)于交接期安全策略來(lái)說(shuō)，它可以保護(hù)網(wǎng)絡(luò)不受到來(lái)自互聯(lián)網(wǎng)的威脅。現(xiàn)在的記錄工具可以支持，當(dāng)你解雇一名員工，或者有一名員工投奔競(jìng)爭(zhēng)對(duì)手的情況出現(xiàn)時(shí)，對(duì)之前所有的可疑活動(dòng)進(jìn)行追蹤，以便找出事情的真相。

使用被動(dòng)日志服務(wù)器，這種服務(wù)器可以用來(lái)“傾聽(tīng)”網(wǎng)絡(luò)流量，并且保存所有沒(méi)有特別標(biāo)定的日志數(shù)據(jù)，以便用來(lái)進(jìn)行安全分析。即使沒(méi)有這樣的設(shè)備，我們也可以通過(guò)對(duì)授權(quán)訪問(wèn)進(jìn)行控制，以獲得一個(gè)關(guān)于所有非法活動(dòng)的清晰安全的記錄日志。

8. 建立科學(xué)合理的密碼管理機(jī)制

安全策略會(huì)將包括連接代碼、密碼以及其它類似措施在內(nèi)的活動(dòng)重置到一個(gè)臨時(shí)的離開(kāi)工作環(huán)境中。在這個(gè)環(huán)境中，直到帳戶被停用或者完全刪除的這段時(shí)間里，員工將不了解具體的情況。正是處于這種原因，而不是其它問(wèn)題，在使用個(gè)性化管理帳戶的員工離開(kāi)公司很早以前就應(yīng)該采取應(yīng)對(duì)措施，以保證不會(huì)因?yàn)橐粋€(gè)員工離開(kāi)導(dǎo)致所有IT部門必須都采用新的管理員密碼。對(duì)于公司IT資源中的所有帳戶進(jìn)行全面登記，以便在出現(xiàn)未經(jīng)授權(quán)的帳戶可以迅速查明和處理，而不必?fù)?dān)心可能出現(xiàn)不可控制的情況。

很多情況下，即將離職的員工不應(yīng)該有機(jī)會(huì)更改帳戶密碼。但有時(shí)，員工會(huì)將帳戶密碼寫(xiě)在即時(shí)貼上，貼在自己的顯示器或放在鍵盤(pán)下或辦公桌抽屜里。盡管，IT部門盡了最大努力消除這種做法，并強(qiáng)行實(shí)施復(fù)雜密碼策略。

并且，在密碼重置方面不要犯下簡(jiǎn)單典型的錯(cuò)誤(如“1234”之類的密碼)。如果“新”密碼是非常普通或者通過(guò)暴力窮舉法在幾秒內(nèi)就可以破解的話，對(duì)于整個(gè)信息安全來(lái)說(shuō)就是毫無(wú)幫助的。

9. 重視個(gè)人電子設(shè)備的管理

對(duì)于安全策略來(lái)說(shuō)，個(gè)人電子設(shè)備的安全也是很重要的方面。在公司處理商業(yè)機(jī)密的時(shí)間，數(shù)字相機(jī)、USB接口的閃存設(shè)備以及筆記本計(jì)算機(jī)都需要進(jìn)行小心控制，可能的話甚至需要禁止使用。由于現(xiàn)在的移動(dòng)電話中很多嵌入了數(shù)字相機(jī)，F(xiàn)lash存儲(chǔ)在日益普及的便攜式MP3播放器也頻繁出現(xiàn)，管理難度變得非常大;但這并不意味著需要忽視潛在的問(wèn)題感到沮喪或者應(yīng)該扔掉你的移動(dòng)電話。這類問(wèn)題如果得不到有效的解決，就可以出現(xiàn)員工利用安全策略帶來(lái)的寬松條件復(fù)制機(jī)密文件的副本，并且轉(zhuǎn)移到公司外面。

10. 為員工提供個(gè)人信息處理空間

為員工提供專門用于存儲(chǔ)私人信息的空間，并給予明確標(biāo)注。舉例來(lái)說(shuō)，可以為每個(gè)員工提供保存?zhèn)€人信息的私人文件夾，而不是僅僅容許保存具體的工作項(xiàng)目信息。這樣設(shè)置的好處在于，確保公司信息和個(gè)人隱私不會(huì)混雜到一起，在員工離開(kāi)的時(shí)間，方便數(shù)據(jù)處理。是否對(duì)這些數(shù)據(jù)進(jìn)行備份，取決與公司的決定。但對(duì)于員工來(lái)說(shuō)，一般情況下不應(yīng)該依賴于公司對(duì)個(gè)人信息進(jìn)行備份操作。

確保公司有一個(gè)明確的隱私策略。在員工離職的時(shí)間，可能需要對(duì)私人目錄里的數(shù)據(jù)進(jìn)行審查，以防止和公司相關(guān)信息的泄露。員工應(yīng)該了解，數(shù)據(jù)審查對(duì)于公司來(lái)說(shuō)是一個(gè)標(biāo)準(zhǔn)程序。對(duì)于公司的不滿，潛在的報(bào)復(fù)行為，應(yīng)該避免明確地表現(xiàn)出來(lái)，以防止在公司的隱私政策被當(dāng)作有威脅的個(gè)人行為。

事故預(yù)防和事前準(zhǔn)備

工作交接期的安全策略必須著眼于防范事故的發(fā)生。員工被開(kāi)除，離開(kāi)時(shí)充滿了正義的憤怒，退休要推遲四十年，又處在經(jīng)濟(jì)危機(jī)的時(shí)代，在另一家公司得到了職業(yè)生涯的發(fā)展機(jī)遇，從學(xué)?；蚱渌?xiàng)目以外的公司獲得提高，開(kāi)始了自己的商業(yè)模式，或者處于其它的一些原因?qū)е聠T工離開(kāi)，這一切事情不僅僅是對(duì)于業(yè)務(wù)連續(xù)性來(lái)說(shuō)非常重要，對(duì)于安全來(lái)說(shuō)也是很關(guān)鍵的。策略的好壞對(duì)整個(gè)交接期的安全有最大的影響，所以事前必須進(jìn)行規(guī)劃和安排;好的策略會(huì)導(dǎo)致平穩(wěn)過(guò)渡，而機(jī)械僵化的模式可能在安全方面帶來(lái)噩夢(mèng)。

現(xiàn)在就開(kāi)始制定和執(zhí)行策略。在不遠(yuǎn)的將來(lái)，你就會(huì)慶幸自己在先前作出的英明決策了。（ZDnet）