系统管理员六个安全小贴士：降低内部安全威胁

　　对于公司来说，最大的威胁之一是泄漏敏感数据----如客户或雇员的支付卡或个人身份信息等，这些数据有时会被公司内部雇员所窃取。这种情况下，遭到系统或网络管理员窃取的威胁最为严重，因为他们有权访问大量的公司数据，可以看到公司内部最为敏感的记录。

　　Fordham 大学首席信息安全官Jason Benedict称：“如今，比起黑客来，我更担心来自内部的威胁，因为在内部威胁面前我们不堪一击。我们有防火墙。我们有入侵保护系统。我们有防病毒软件。对于防范外部风险，我们已经取得了相当大的成功。但是对于内部威胁，我们却漏洞百出。我从来都没有想过我们内部会有心怀鬼胎，处心积虑的窃取并出售信息的人。但是我们却经常看到有人在浏览他们根本无权查看的信息。我们还发现一些拥有高级权限的人滥用他们的权限浏览雇员的薪金表。”

　　BITS金融服务总会打击诈骗项目副总裁Heather Wyson称，美国金融服务公司发生内部安全事件的数量正在增长。

　　Wyson称：“我们一直将注意力放在了内部人员故意外泄行为上，如窃取金融和专利信息、放置逻辑炸弹、安装恶意软件。与此同时，我们还应当关注一些无意的外泄行为上，如雇员无意中打开了染毒文件、安装了未授权的软件或是来自社交媒体的威胁。我们发现与内部人员有关的故意与非故意数据外泄事件的数量正呈上升趋势。”

　　对此，首席信息安全官和IT安全专家指出IT部门需要采取以下措施以降低内部安全威胁。以下是他们的建议：

　　1、限制并监视拥有特权的用户

　　据Verizon公布的2010年数据外泄调查报告显示，在所有的数据外泄事件中，48%的事件是由内部人员造成的。我们需要密切监视的内部人员是那些拥有特权的人。Verizon建议首席信息官在雇前进行筛选，以清除那些在过去曾经违反过使用规定的应聘者。BITS会向他们的会员提供预防诈骗服务。通过该服务，会员能够分享那些被认为定有罪但并没有被起诉的前雇员信息。

　　此外，不能给予雇员超过他们工作需要的权限。职责应当被分散，以防止某一雇员拥有过大的权限。Verizon称：“特权的使用应当被记录，并形成管理信息。无计划的特权使用应当发出警告，并接受调查。”

　　2、限制用户访问和特权，特别是在工作调整或裁员期间

　　Verizon发现，大约有24%的内部安全事件发生在刚刚调整工作的雇员身上。其中一半的雇员是被解雇，另一些雇员则是辞职或是在公司内部被分配至新的工作岗位。如果不及时注销这些雇员的帐户，或是在命令宣布后雇员依然被允许完成当天的工作时，极容易发生外泄事件。这也是Verizon推荐公司制订一个“及时的、并且涵盖所有的访问区域的中止计划”的原因。

　　Benedict称，Fordham可以在五个小时内冻结用户，收回他们的所有访问权限。

　　3、监控那些在网络上拥有细微不良行为的雇员

　　Verizon发现“那些在网络上拥有细微不良行为的雇员往往会犯下严重罪行，如侵占或盗窃知识产权。”首席信息官应当注意那些违反网络规定的雇员和行为不当的雇员，如在系统中保存有色情或非法内容。因为这些都是他们未来引发内部安全事件的前兆。Verizon在调查中发现，那些承认盗窃数据的雇员常常将他们的行为归结于过去一些细微的滥用操作上。这被称为“网络犯罪中的破窗理论”(注：一个房子如果窗户破了，没有人去修补，隔不久，其它的窗户也会莫名其妙地被人打破;一面墙，如果出现一些涂鸦没有被清洗掉，很快的，墙上就布满了乱七八糟、不堪入目的东西;一个很干净的地方，人们不好意思丢垃圾，但是一旦地上有垃圾出现之后，人就会毫不犹疑地抛，丝毫不觉羞愧)。

　　4、使用软件分析你的记录文件，当出现异常时及时提醒你

　　当在调查内部安全事件时，Verizon发现在86%的事件中，证据会在日志文件中被发现。他们称在日志数据中会有三明显的异常：日志数据出现不正常的增加、在日志中出现不正常的长线、日志数据会出现不正常的减少或缺失。

　　Verizon称在出现内部安全事件后日志会增加5倍，在攻击者破坏日志功能后，日志会出现缺失。SQL注入攻击和其它的攻击方式会在日志中留下长线。虽然许多IT部门安装了监控和分析工具，但是他们忘记了使用这些工具。取而代之的是，这些IT人员只是定期监控一些这些工具显示的结果。Verizon建议通过配置这些工具发现明显的问题。Benedict称，为了发现异常情况，Fordham的安全人员会定期手工检查日志。

　　5、考虑部署数据外泄的防护技术

　　目前越来越多的首席信息官担心知识产权会从通过公司的网络泄露。为此，他们开始安装能够监控软件，这些软件能够监控并过滤流出公司的网络信息。 Unisys公司首席信息安全官Patricia Titus称，他们正在测试一种防止数据外泄的技术，以保护公司的知识产权。

　　Benedict称，Fordham正计划在防止数据外泄软件上投资50万美元。Verizon建议公司应当对流出和流入公司的网络数据进行过滤。Verizon强调称：“通过监测、分析和控制流出公司的网络数据，公司可以降低恶意行为的发生率。”

　　6、就内部威胁对雇员进行培训

　　首席信息安全官们推荐公司要以安全威胁和如何识别内部雇员盗窃有价值数据的恶意行为为内容定期对雇员进行培训，特别是对IT人员进行培训。Titus称，在打击内部蓄意盗窃数据的战斗中，公司的雇员是首席信息安全官的最大同盟军。

　　Wyson建议公司应当设立一条热线，雇员可以通过这条热线匿名举报他们发现或怀疑是欺诈的行为。Benedict不仅每年都会为雇员们举办安全意识培训，同时还会向雇员们提供关于最新IT安全威胁的宣传手册。Fordham还通过脸谱、推特和博客等社交媒体就安全威胁对大学内的人员进行教育。