我們常?？吹矫襟w報(bào)道雇員在離職前盜取所供職部門(mén)的核心技術(shù)信息的事件，離職人員充當(dāng)了內(nèi)鬼。那么，前雇員為什么會(huì)成為信息泄漏事件的高危人群？針對(duì)這些潛伏者，企業(yè)的IT部門(mén)又該有哪些應(yīng)對(duì)策略呢？從類(lèi)似事件的關(guān)鍵過(guò)程點(diǎn)，我們可以有一些收獲。

制度化的分級(jí)保密策略和審計(jì)機(jī)制能夠降低潛伏者得逞的概率

近期有一起引起廣泛關(guān)注的前員工盜取商業(yè)機(jī)密的案件，當(dāng)事人在離職前利用其合法的使用權(quán)限，將資料打印出來(lái)并拍照存儲(chǔ)在私人筆記本電腦中；而在幾年前的一起影響重大的彩電技術(shù)泄漏案中，當(dāng)事人則是將大量技術(shù)文檔復(fù)制到了私人移動(dòng)硬盤(pán)中……這些事件中的涉案者都是利用合法的IT權(quán)限實(shí)施了非法的信息盜取行為，這表明針對(duì)合法用戶(hù)細(xì)分化的授權(quán)以及制度化的審計(jì)非常必要。

目前大大小小的企業(yè)的IT系統(tǒng)，一般將比較重要的信息存儲(chǔ)于內(nèi)部公共服務(wù)器中供用戶(hù)訪(fǎng)問(wèn)，同時(shí)，在服務(wù)器以及網(wǎng)絡(luò)出口做好防護(hù)，防范來(lái)自外部的入侵。然而，簡(jiǎn)單的內(nèi)外有別的訪(fǎng)問(wèn)授權(quán)控制，只能防止外部的用戶(hù)突破網(wǎng)絡(luò)邊界到內(nèi)部網(wǎng)絡(luò)盜取信息，而合法用戶(hù)是否合法地使用了信息，則更像是一個(gè)"黑箱"。

現(xiàn)實(shí)的應(yīng)用中，類(lèi)似打印、復(fù)制等看似普通的操作，也可能是致命的信息泄漏渠道。目前發(fā)生的案例中，對(duì)"內(nèi)鬼"所在的部門(mén)而言，這些行為本應(yīng)是受到嚴(yán)格限制的。重要的信息，應(yīng)該得到嚴(yán)格的保護(hù)，牽涉到核心競(jìng)爭(zhēng)力的信息，更應(yīng)該輔之以嚴(yán)格的訪(fǎng)問(wèn)控制、審批授權(quán)等權(quán)限控制機(jī)制。另外，針對(duì)信息使用的全面審計(jì)，也是必備的環(huán)節(jié)，這有助于及時(shí)發(fā)現(xiàn)違反IT策略的行為，更可以在信息未泄漏擴(kuò)散之前及時(shí)發(fā)現(xiàn)并采取行動(dòng)。

公私分明的安全策略可以大大減少安全風(fēng)險(xiǎn)

另外一個(gè)值得反思的環(huán)節(jié)就是，私人設(shè)備在內(nèi)部IT系統(tǒng)的應(yīng)用。上面提到的兩起案件，當(dāng)事人或利用私人的數(shù)碼相機(jī)拍攝資料錄入個(gè)人電腦，或利用個(gè)人移動(dòng)硬盤(pán)轉(zhuǎn)移數(shù)據(jù)。這些，都暴露了企業(yè)的IT策略沒(méi)有覆蓋到私人應(yīng)用的漏洞。

私人設(shè)備的應(yīng)用，本意是想提升個(gè)人的工作效率，例如U盤(pán)是方便的傳播載體，私人筆記本電腦有利于移動(dòng)辦公，通過(guò)網(wǎng)絡(luò)社交，可以加強(qiáng)企業(yè)與外部的溝通。但所有這些應(yīng)用，都應(yīng)該有一個(gè)前提，即私人應(yīng)用應(yīng)該處于企業(yè)的整體IT安全策略管理之下。任何一種新設(shè)備或者應(yīng)用的使用，都該經(jīng)過(guò)事先的風(fēng)險(xiǎn)評(píng)估，并在執(zhí)行時(shí)被嚴(yán)格的監(jiān)管。在公共的IT系統(tǒng)和私人應(yīng)用之間劃出邊界，在智能手機(jī)等設(shè)備普及，微博、社交網(wǎng)絡(luò)蓬勃發(fā)展的今天，顯得尤為重要。

技術(shù)與管理相結(jié)合的信息安全策略是必然的選擇

目前，很多企業(yè)采用視頻監(jiān)控等技術(shù)手段輔助安全策略，并對(duì)核心員工離職前的安全審查流程有著事先的規(guī)定，這些手段可以發(fā)現(xiàn)基于網(wǎng)絡(luò)的IT審計(jì)無(wú)法監(jiān)控的行為。在上面的兩個(gè)案例中，據(jù)外界的猜測(cè)，當(dāng)事的兩家大型企業(yè)都有對(duì)核心部門(mén)采用視頻監(jiān)控和離職審查的規(guī)定。

事實(shí)上，安全本身應(yīng)該是一個(gè)綜合的概念，除了通常意義上的網(wǎng)絡(luò)安全、數(shù)據(jù)安全等，通常被歸于行政安全的視頻監(jiān)控、門(mén)禁等技術(shù)，也是企業(yè)安全的重要組成部分。目前，很多成熟的組織已經(jīng)設(shè)立了首席安全官的職位，統(tǒng)領(lǐng)企業(yè)的安全管理。站在戰(zhàn)略的高度制定整體性的策略，更能綜合性的調(diào)動(dòng)企業(yè)的資源，將安全與管理相結(jié)合，才能更大限度的提升企業(yè)的信息安全水平。