不同員工之安全威脅

單位網(wǎng)絡(luò)所服務(wù)的對(duì)象是員工，數(shù)據(jù)的生成、訪問和操作使用對(duì)象依然是員工。從技術(shù)角度來看，所有員工可以分為技術(shù)類員工、非技術(shù)類員工這兩種類型，不同類型員工在數(shù)據(jù)存儲(chǔ)過程中的訪問行為不同，操作權(quán)限不同，可能產(chǎn)生的安全威脅程度也不一樣。

一般來說，中小規(guī)模單位的技術(shù)員工，既是單位網(wǎng)絡(luò)運(yùn)行的維護(hù)者，又是重要數(shù)據(jù)的管理者，數(shù)據(jù)的生成、備份、存儲(chǔ)以及還原等管理事項(xiàng)，無不凝聚著他們辛勞的汗水，應(yīng)該說這些員工是與單位重要數(shù)據(jù)接觸時(shí)間最長的人員，他們是數(shù)據(jù)存儲(chǔ)安全與否的關(guān)鍵人群。遺憾的是，在很多規(guī)模不大的單位中，技術(shù)人員沒有充分發(fā)揮自身優(yōu)勢，而是被單位看成呼來喚去的勤雜人員，平時(shí)整天忙于做一些類似安裝計(jì)算機(jī)、查殺病毒、處理網(wǎng)絡(luò)故障這樣簡單重復(fù)的事務(wù)性工作，而沒有時(shí)間去思考單位網(wǎng)絡(luò)安全或數(shù)據(jù)存儲(chǔ)安全等核心問題，使得單位重要數(shù)據(jù)存儲(chǔ)安全性大大下降，甚至存在訪問權(quán)限設(shè)置不當(dāng)、存儲(chǔ)備份機(jī)制不合理等現(xiàn)象，從而留下潛在的安全風(fēng)險(xiǎn)。當(dāng)然，從單位領(lǐng)導(dǎo)角度來看，他們有些人安全意識(shí)薄弱，認(rèn)為數(shù)據(jù)存儲(chǔ)安全技術(shù)涉及到方方面面，僅靠單位有限的幾個(gè)技術(shù)員工，無法精通所有的安全領(lǐng)域，所以他們一般舍不得耗費(fèi)巨資來專門培養(yǎng)技術(shù)人員，這也造成了本單位技術(shù)人員在遇到數(shù)據(jù)存儲(chǔ)問題時(shí)，不能及時(shí)采取有效措施進(jìn)行應(yīng)對(duì)。而且，一些單位領(lǐng)導(dǎo)層缺乏足夠的連續(xù)性和穩(wěn)定性，單位領(lǐng)導(dǎo)人員的不斷變化，給技術(shù)員工的日常工作帶來了很大的壓力，惡化了技術(shù)人員的生存環(huán)境，造成了數(shù)據(jù)存儲(chǔ)安全防范力量薄弱，使得安全預(yù)防措施簡單，從而導(dǎo)致了一些安全事故。

非技術(shù)類員工可以分在職員工、離職員工，單位重要數(shù)據(jù)存儲(chǔ)是否安全，最終還要依賴在職員工的安全意識(shí)。安全意識(shí)薄弱的在職員工，一些不正確的或者好奇的操作行為，容易把數(shù)據(jù)安全威脅主動(dòng)地從單位外部網(wǎng)絡(luò)環(huán)境帶到內(nèi)部網(wǎng)絡(luò)環(huán)境，或者給單位內(nèi)部不懷好意的員工創(chuàng)造可趁之機(jī)，無意間引起不可估量的損失。一些馬虎大意的員工可能會(huì)忽略數(shù)據(jù)存儲(chǔ)安全規(guī)則，例如將重要數(shù)據(jù)隨手放到系統(tǒng)桌面上，在與好友在線聊天時(shí)，不小心泄露了單位數(shù)據(jù)隱私，將訪問重要數(shù)據(jù)的密碼以明文形式貼寫在辦公桌的顯眼位置上等等。還有一部分在職員工，看上去跟普通的員工一樣，表面上在正常的工作，但內(nèi)心對(duì)單位、對(duì)領(lǐng)導(dǎo)甚至對(duì)其他普通員工有不滿情緒，這些人可能會(huì)成為單位重要數(shù)據(jù)存儲(chǔ)的最大隱患之一。當(dāng)他們情緒失控的時(shí)候，或者會(huì)通過自己在數(shù)據(jù)管理存儲(chǔ)中的便利，對(duì)數(shù)據(jù)進(jìn)行破壞甚至外泄，而且其產(chǎn)生的損失將很大。對(duì)于那些已經(jīng)離職的員工來說，離職原因不同，對(duì)單位數(shù)據(jù)存儲(chǔ)的安全隱患程度不同，但無論由哪種原因引起的離職，都可能會(huì)偷偷帶走以前單位的一些核心數(shù)據(jù)，或者通過以前的工作賬號(hào)、專業(yè)工具登錄到單位內(nèi)部網(wǎng)絡(luò)，竊取單位日后生成的重要數(shù)據(jù)。還有一些離職員工在重新應(yīng)聘工作時(shí)，為了鼓吹自己的能力或本領(lǐng)，或者搶占市場先機(jī)，也可能在不經(jīng)意間將自己掌握的重要隱私數(shù)據(jù)信息泄露出去。當(dāng)然，也有一些員工離職屬于被迫的，他們純粹為了報(bào)復(fù)原單位，或許會(huì)在單位內(nèi)網(wǎng)系統(tǒng)中植入木馬等惡意程序，以達(dá)到偷竊原單位核心數(shù)據(jù)，甚至修改或刪除重要數(shù)據(jù)的目的。

加強(qiáng)員工數(shù)據(jù)安全培訓(xùn)

接觸單位重要數(shù)據(jù)的員工，常見的無意而有安全風(fēng)險(xiǎn)的操作可能比較多，比方說，通過E-mail形式將重要數(shù)據(jù)分享給單位外面的人員，以達(dá)到其幫助完成工作任務(wù)目的，通過移動(dòng)硬盤等設(shè)備將重要數(shù)據(jù)帶出單位內(nèi)網(wǎng)，隨意打印并擺放核心數(shù)據(jù)材料等等。之所以會(huì)有這么多的違規(guī)數(shù)據(jù)管理操作，主要是單位員工在數(shù)據(jù)安全保護(hù)方面的意識(shí)還不夠。

有鑒于此，我們必須在平時(shí)，加強(qiáng)對(duì)單位員工的數(shù)據(jù)安全防范培訓(xùn)。

第一要進(jìn)行多層次的宣傳、培訓(xùn)，讓員工意識(shí)到自己的哪些操作是違規(guī)的或者危險(xiǎn)的，以及真的出現(xiàn)了違規(guī)操作后該采取什么樣的安全防范措施，來彌補(bǔ)可能出現(xiàn)的安全損失。例如，定期舉辦一些操作培訓(xùn)班，教會(huì)員工怎樣安全地打開郵件附件，以避免網(wǎng)絡(luò)病毒的威脅，教會(huì)員工怎樣設(shè)置復(fù)雜密碼，來保護(hù)賬號(hào)登錄操作的安全，教會(huì)員工怎樣設(shè)置數(shù)據(jù)文件的訪問權(quán)限，以拒絕他人的隨意訪問。此外，反復(fù)的宣傳、培訓(xùn)，也會(huì)讓單位員工轉(zhuǎn)變觀念，認(rèn)為自己是單位的重要安全資產(chǎn)，而不是所謂的安全負(fù)擔(dān)。當(dāng)單位員工認(rèn)為自己在保護(hù)重要數(shù)據(jù)方面的警覺性，與滿足工作目標(biāo)方面的警覺性同樣強(qiáng)，他們就會(huì)成為對(duì)單位重要數(shù)據(jù)安全計(jì)劃而言非常寶貴的資產(chǎn)。通過不斷的宣傳培訓(xùn)和意識(shí)加強(qiáng)計(jì)劃，認(rèn)清各種數(shù)據(jù)安全事故帶來的成本，同時(shí)熟悉采取哪些措施來預(yù)防數(shù)據(jù)安全威脅，員工們就不會(huì)擔(dān)心所面臨的安全威脅挑戰(zhàn)了。

第二鼓勵(lì)員工加強(qiáng)學(xué)習(xí)，充實(shí)自我、提升自我，為做好數(shù)據(jù)安全防范工作打下堅(jiān)實(shí)基礎(chǔ)。掌握數(shù)據(jù)存儲(chǔ)和管理知識(shí)是一個(gè)與單位重要數(shù)據(jù)接觸緊密人員的必然要求。要熟悉數(shù)據(jù)存儲(chǔ)系統(tǒng)的功能、操作方法，了解數(shù)據(jù)存儲(chǔ)系統(tǒng)的安全防護(hù)特性，遇到數(shù)據(jù)存儲(chǔ)安全問題時(shí)能及時(shí)進(jìn)行處理。

第三提高員工對(duì)數(shù)據(jù)存儲(chǔ)相關(guān)安全工具的使用技能。為了讓數(shù)據(jù)存儲(chǔ)安全落到實(shí)處，單位應(yīng)當(dāng)積極組織相關(guān)員工學(xué)習(xí)相關(guān)專業(yè)工具的操作方法，讓他們能夠利用這些管理工具，對(duì)單位中的重要數(shù)據(jù)進(jìn)行有效地監(jiān)控管理，同時(shí)還應(yīng)該了解一些數(shù)據(jù)防護(hù)工具的用法，確保數(shù)據(jù)在訪問過程中遇到安全威脅時(shí)能夠化險(xiǎn)為夷。例如，借助專業(yè)安全工具，定期或不定期地對(duì)涉密數(shù)據(jù)系統(tǒng)進(jìn)行安全檢查，通過頻繁安全檢查，能夠及時(shí)發(fā)現(xiàn)數(shù)據(jù)存在的安全隱患，堵塞涉密系統(tǒng)的安全漏洞，消除可能存在的不安全苗頭。

堵塞數(shù)據(jù)管理制度漏洞

要使單位內(nèi)網(wǎng)中的重要數(shù)據(jù)真正安全無憂，進(jìn)一步完善和健全數(shù)據(jù)安全防范制度和措施，不斷提升數(shù)據(jù)存儲(chǔ)管理技術(shù)水平和能力是必須要做的工作。這是因?yàn)榧夹g(shù)水平再先進(jìn)，數(shù)據(jù)安全措施再得力，如果單位員工沒有按照規(guī)定的要求去執(zhí)行，仍然將保存有核心數(shù)據(jù)的移動(dòng)設(shè)備任意處置、隨意維修，仍然為核心數(shù)據(jù)設(shè)置較為脆弱的訪問密碼，單位內(nèi)網(wǎng)中的核心數(shù)據(jù)安全依然無法得到有效保證。

首先建立健全各項(xiàng)管理制度。單位內(nèi)網(wǎng)核心數(shù)據(jù)存儲(chǔ)管理制度和措施是單位數(shù)據(jù)安全的防火墻和高壓線，能夠有效預(yù)防各種人為因素引起的數(shù)據(jù)安全事故。各項(xiàng)管理制度和措施的建立，策略上應(yīng)堅(jiān)持“安全第一、預(yù)防為主”的方針，明確各類員工在數(shù)據(jù)存儲(chǔ)管理中的責(zé)任、權(quán)利和義務(wù)，明確獎(jiǎng)懲措施，采用責(zé)任追究制和工作責(zé)任制，讓每位員工都在時(shí)刻警醒自己，為單位內(nèi)網(wǎng)重要數(shù)據(jù)營造一個(gè)安全的工作環(huán)境。

其次明確相關(guān)人員防護(hù)職責(zé)。與核心數(shù)據(jù)有著直接或間接接觸的單位員工，不僅僅要充當(dāng)數(shù)據(jù)使用者的角色，還要明確數(shù)據(jù)安全防護(hù)職責(zé)，找準(zhǔn)定位，從繁重的事務(wù)性工作中解放出來，使其真正成為數(shù)據(jù)安全的管理員和防護(hù)員。

第三將數(shù)據(jù)安全預(yù)防流程納入工作流中。不少單位之所以對(duì)重要數(shù)據(jù)喪失了控制權(quán)，就是由于重要數(shù)據(jù)的識(shí)別分類、訪問存儲(chǔ)并沒有納入日常工作流當(dāng)中。例如，生成新的數(shù)據(jù)文檔時(shí)，是否有分類流程來確認(rèn)該使用什么樣的安全制度或措施？或者當(dāng)員工在不同部門之間內(nèi)部交流時(shí)，不同部門之間是否有安全控制流程？要是單位仔細(xì)考慮了核心數(shù)據(jù)存儲(chǔ)管理流程，同時(shí)采用了合適的數(shù)據(jù)保護(hù)措施，就能有效降低重要數(shù)據(jù)對(duì)外泄漏的風(fēng)險(xiǎn)。

第四對(duì)員工進(jìn)行數(shù)據(jù)存儲(chǔ)管理方面的教育。行之有效的數(shù)據(jù)存儲(chǔ)管理政策應(yīng)當(dāng)采用“軟硬兼施”的方法。應(yīng)當(dāng)對(duì)員工進(jìn)行數(shù)據(jù)管理方面的教育，最好是在“違反時(shí)刻”和“使用時(shí)刻”進(jìn)行教育。要是單位員工隨意將重要數(shù)據(jù)復(fù)制到USB設(shè)備上，從而違反了安全管理制度，這時(shí)候?qū)λ麄冞M(jìn)行管理教育最有效，讓他們深刻意識(shí)到怎樣合理地保護(hù)單位內(nèi)網(wǎng)的重要數(shù)據(jù)。要是嚴(yán)重違反了數(shù)據(jù)安全管理制度，及時(shí)告知員工的上司，以便采取合適的懲罰措施。加強(qiáng)員工在特別時(shí)刻的數(shù)據(jù)安全管理制度方面的意識(shí)教育，可以有效減少、甚至消除大部分意外或非故意發(fā)生的數(shù)據(jù)安全事件。所以，已知要訪問重要數(shù)據(jù)的所有員工都應(yīng)當(dāng)接受單位重要數(shù)據(jù)安全管理制度方面的教育，這樣一來，員工們不但要為自己使用重要數(shù)據(jù)負(fù)責(zé)，還有利于相互監(jiān)督，確保每個(gè)人都在遵守這些安全管理制度。

強(qiáng)化員工日常技術(shù)管控

要確保單位重要數(shù)據(jù)的絕對(duì)安全，除了制定嚴(yán)格的管理制度加以防范外，還需要依靠有效的技術(shù)措施對(duì)單位員工加以控制。首先要加強(qiáng)員工的數(shù)據(jù)存取控制。數(shù)據(jù)存取控制是對(duì)合法員工的身份進(jìn)行鑒別和識(shí)別，對(duì)合法員工利用數(shù)據(jù)的權(quán)限和范圍進(jìn)行審查，這種控制措施是保護(hù)重要數(shù)據(jù)的前沿屏障。存取控制措施采取的形式可以有身份認(rèn)證、訪問權(quán)限控制、數(shù)據(jù)庫保護(hù)等，其中身份認(rèn)證主要通過密碼、員工的身份證件卡或員工生理特征標(biāo)識(shí)，來判斷員工的身份是否合法。訪問權(quán)限控制主要是為了防止合法員工越權(quán)訪問重要數(shù)據(jù)資源，所以單位領(lǐng)導(dǎo)或管理員要確定員工對(duì)哪些數(shù)據(jù)資源享有訪問權(quán)，以及可進(jìn)行哪種類型的的訪問操作，并為不同員工賦予不同的訪問權(quán)限。當(dāng)單位員工離崗、離職時(shí)，必須要及時(shí)調(diào)整或刪除用戶賬號(hào)及權(quán)限。

其次要加強(qiáng)對(duì)員工的操作行為進(jìn)行審計(jì)。現(xiàn)在很多單位內(nèi)網(wǎng)安全防范策略中，普遍缺少有效的操作行為審計(jì)功能，這容易導(dǎo)致不能及時(shí)潛在的數(shù)據(jù)安全隱患。