2009-03-08
近几年,因为员工泄露信息,企业与员工对博公堂的事件屡见不鲜。但是,就算企业最后在官司上取得胜利,但是,也不能够挽回由此造成的巨大损失。随着企业竞争的日益白热化,企业信息价值日益显现,如号保障企业内部信息的安全,这在CIO工作中所扮演的角色,已经越来越重要。 其实,俗话说,家贼难防。笔者认为,对于企业来说,信息安全管理的重点是如何防止企业内部员工泄露信息。这就好象是一个猫捉老鼠的游戏。CIO要在不影响正常工作的前期下,做好信息的安全管理工作,确实有不小的难度。下面笔者结合自己的工作经验,谈谈CIO该如何做好这场“猫捉老鼠”的游戏。 CIO实战:猫捉老鼠做好信息安全管理: 一、老鼠的必备工具:移动存储设备。 大容量U盘、移动硬盘的出现,给我们数据存储与转移提供了非常大的便利,可惜的是,其对于企业的数据安全也带来了非常大的隐患。根据国外权威机构的调查,利用移动存储设备来偷窃企业重要信息,已经是危害企业信息安全的头号杀手。确实,移动存储设备,因为其体积小、使用方便,而且不易被发现,如MP3也可以到U盘使用,越来越被老鼠一族所喜爱。 针对这种情况,CIO这头猫又该采取什么措施呢? 由于笔者企业对于企业信息安全比较重视,跟领导层开会商议以后,决定在公司内部不能擅自使用移动存储设备。若确实需要使用的,必须经过相关人员的审批。具体的来说,笔者企业通过如下方式来防止用户利用移动存储设备作案。 一是通过各种手段限制对主机上USB端口的使用。要防止用户擅自使用移动存储设备,那么最根本的方法就是停止使用USB端口。笔者刚开始是采用BIOS方法进行设置。如把BIOS里USB1与usb2相关的属性设置为DISABLE,即可禁止使用USB接口。不过,这个方法比较霸道,因为其会禁止所有的USB接口,包括鼠标与打印机,所以,使用起来不是很方便。 笔者经过一番摸索之后,采用的是另外一种方法。通过注册表禁止U盘或者移动硬盘的启动。当笔者在注册表中设置为禁止移动硬盘或者U盘启动时,当移动硬盘或者U盘连接到计算机时,虽然这些设备上的指示灯会正常闪烁,好象在使用中。但是,其实在电脑中却找不到这个盘符,用户也就无法使用移动硬盘或者U盘存储文件了。 二是通过微软操作系统自带的加密功能,使得离开本机的文件无效。若我们能够有一种方法,即使用户把电脑上的文件复制到移动存储设备上,但是,当他们在其他电脑上无法阅读这个文件。如此的话,他们复制过去的文件也就一无用处了。通过这个方法,也可以间接的防止不良员工利用移动存储设备作案。其实,在微软2000以上的操作系统中,已经具备了这个功能。微软操作系统中,有一个EFS加密功能。其基本原理就是可以利用当前操作系统的某些特征值,如当前登录用户的帐号后台序列号的值作为加密密钥,对文件进行加密。如此的话,除非是当前的用户,否则的话,其他用户都无法打开这个文件。此时,若把主机中的数据文件复制到移动存储设备上,那么其他人也无法正常访问。 这就保证了数据的非法泄露问题。不过在利用这个EFS加密功能,必须要注意几点。一是这个加密是根据当前登录帐户的后台序列号来对文件进行加密的,所以,当用户忘记帐户登录密码后,会比较麻烦。此时,即使把原先的帐户删除,再新建一模一样的帐户名,也无法对文件进行解密。因为操作系统是根据帐户名后台所对应的序列号,而不是前台显示的帐户名来对文件进行加密解密的;而即使帐户名相同,后台的序列号也是不同的。故,在利用这个功能的时候,最好能够把该用户的证书导出来,以备不时之需。二是利用EFS加密文件,具体的加密与解密动作,对用户来说是透明的。也就是说,我们只需要把相关文件夹,如除系统文件夹之外的所有文件夹,都设置为EFS加密。此时,员工把文件复制到这个文件夹后,所有的文件就会自动进行加密,不需要用户进行干预。 三是通过制度进行管理。俗话说,道高一尺,魔高一丈。有时候最周密的安全措施,也会有漏洞,会被不法之人乘机而入。所以,除了技术上的限制外,在管理上也要跟上。笔者公司在IT管理制度上,明确表示未经允许,不得以任何借口使用移动存储设备。若发现的话,轻则罚款、记过,重则开除。可见,笔者企业上下,对于信息化安全这一块内容也是非常重视的。二、老鼠的常用工具:电子邮件。 电子邮件,毋庸置疑,大大改善了我们办公效率,提高了我们彼此之间沟通,对于我们的正常生活与工作,具有非常大的影响。但是,现在利用电子邮件非法传递信息、泄露公司机密的事件,也频繁的见报端。所以,如何防止老鼠利用电子邮件进行作案,保障企业信息安全,也是我们这头黑猫警长需要关注的内容。 笔者现在是通过三个绝招来对付老鼠利用邮件来泄露公司机密文件。 一是在邮件服务器上,过滤了大部分员工跟外部人员自由发送邮件。笔者企业有自己的内部邮箱服务器,使用的是EXCHANGE的邮箱服务器。通过这个服务器,可以设置哪些帐户不能发送外部邮件。笔者现在就根据具体的需要,把企业内部的大部分员工,设置为不能发送外部邮件,而只能把邮件发送给企业内部的其他员工。如此,就可以防止员工利用邮件把公司的重要文件发送给其他外部人。 二是利用邮件备份功能,做好邮件的事后监督与稽核。EXCHANGE邮件服务器,还有一个非常使用的功能,就是邮件转发备份功能。简单的说,通过服务器的配置,企业内部员工发送的邮件,除了会发送给收件人之外,还可以根据我们的需要,把邮件同时作为副本,发送到另外一个指定的邮箱。如此的话,我们就可以定时的检查这些邮件,看看用户是否有利用邮件发送机密信息的动作。 不过这个方法只能作为事后收集证据使用,因为此时文件已经发送出去了。也就是说,利用这个方法我们不能实时的对文件进行过滤,总是在事后发现数据泄密后,才会去这里寻找证据。所以,这是一种事后收集证据的功能,而不能起到根本性的防治作用。或者说,这可以使对员工的一个警告,告知他们你们发送的任何邮件在服务器上都有备份,提醒他们不要随便把公司内部的机密文件发给其他人。 三是限制员工采用其他邮件帐户进行邮件发送。以上两种方法,都是针对公司的邮箱帐户的,若用户采用自己在internet网络上申请的帐户,我们则无能为力。为此,笔者又采用一些技术手段,如在网关服务器上进行限制等等,让用户不能采用外网上的邮箱服务器进行邮件的发送。也就是说,用户需要发送邮件的话,只能通过企业内部邮箱的渠道进行发送。如此的话,企业就可以实现对所有的邮件进行监督控制。 通过这三个步骤,笔者彻底杜绝了老鼠利用邮件来进行作案的机会。 CIO实战:猫捉老鼠做好信息安全管理: 三、老鼠的常用工具:即时聊天工具。 在实际工作中,员工有时候还经常利用即时聊天工具,进行沟通。此时,他们就可以利用这个聊天工具,泄露公司机密信息。这个工具,我们CIO说好对付是好对付,说难对付也是难对付。 为什么这么说呢?若企业没有即时通讯工具的需要,则我们之需要把即时通讯工具,如QQ、MSN在防火墙上限制掉即可。但是,企业有这方面需要的话,允许员工利用QQ、MSN等工具跟供应商或者客户进行沟通时,此时,我们又该如何应对呢? 不幸的是,笔者的企业,很多信息都是通过QQ或者MSN跟客户或者供应上进行沟通,为此,笔者当然不能禁用QQ或者MSN等即时聊天工具。在公司上下普遍使用QQ或者MSN等即时通讯工具的背景下,笔者该如何做好老鼠们利用QQ或者MSN进行信息泄露的防治工作呢? 笔者现在采用了以下几个措施,来进行防治。 一是在防火墙上作了限制。企业员工虽然可以利用QQ等即时通讯工具跟外界沟通,但是,其不能利用这些工具直接传送文件或者实施文件共享鞥功能。也就是说,只能利用QQ进行聊天而不能利用他们进行文件直接传送。如需要发送文件的话,则必须通过邮件进行发送。 二是对于即时通讯工具的聊天内容,作了监督控制。不久之前,笔者企业就有员工利用QQ工具,通过文件复制的方式,泄露了一些客户的机密信息。笔者首先的网络管理员发现了这个问题,这位员工就马上被企业开除了。所以,对于QQ等聊天记录的监督,也只是一个事后追查责任的工具,而无法对聊天内容进行实时的过滤。这也是一种不得已而为之的方法了。或许,可以提到吓唬的作用。 最后,对于企业机密信息的安全保护工作,笔者认为是一个综合性的防治工程。因为以上几个方面,若有一个方面没有考虑周到,就会给不良员工可乘之机;那么你其他渠道控制的最好,其效果也是为零。故,企业信息化的安全战略,应该形成一个体系,而不能只考虑几个点。
|