3.11 对策

3.11  对策

在所有作用显著的安全控制办法中，能有效地发现和防止内部人员作梗的办法有这些：

● 经管责任：现行的引发诸多问题的经管责任方案有两种：一种是所谓的账户身份—— 多个用户共同使用一个账户；另一种是共享账户或口令信息，以便员工不在办公室或无法取得联系时可以登录。但当出现严重失误时，这两种方法都容易造成员工以各自的理由推卸责任的局面。

很简单，如果不能完全禁止共享账户信息的话，至少也不应鼓励这样做。这包括员工使用的工作站，即使是要求提供注册信息的工作站。

● 多目标环境：在大多数公司里，能设法进入放置设备的工作区域的入侵者，也能轻易找到途径进入系统。很少有员工在离开工作岗位时会锁住计算机或使用屏幕保护程序或者启动口令。对于心怀不轨者来说，在未受保护的工作站上安装秘密监控程序软件只需要几秒钟。在银行，出纳员离开时总会锁上存放现金的抽屉。不幸的是，我们几乎没有看到这一方法被其他机构采用。

可以考虑执行这样一种策略：使用屏幕保护口令或其他程序锁住计算机。并确保IT部门通过结构管理执行这一策略。

● 口令管理：我的女朋友最近被一家在《财富》杂志排名前50的公司聘用，这个公司采用可预测模式为进入公司内部互联网的用户设置口令：用户名后随机带上3个阿拉伯数字。雇员被聘上时口令也就已经设定好了，并不能由雇员自己更改。这样对于任何一位雇员来说，写一份简单的脚本，通过它用不了1000次，就能套到到口令—— 几秒钟而已。雇员的口令，不管是由公司设定还是由雇员自己选择，决不能采用能被轻易预测的模式。

● 物理访问：熟悉公司网络的聪明雇员，趁旁边没人时，能充分利用自己的地理位置，攻击系统。我曾经是加利福尼亚GTE(一家电信公司)的雇员。能进入他们的办公楼就如同获得了这个王国的钥匙—— 所有的信息都尽收眼底。任何人都能进入雇员小隔间或办公室里的工作站，并能访问敏感的系统。

如果雇员通过使用安全BIOS(基本输出系统)口令并注销，或锁定计算机，来保护自己的桌面、工作站、编写器和个人数字助理装置，内部不法人员就需要花相当多的时间才能达到自己的目的。

训练雇员能轻松应付身份不明的人，特别是在机密的区域。使用安全控制设备，如摄像机和/或徽章读取系统以控制入口，以及监视内部的运作。要考虑定期检查出入口登记，以确认是否有诡异的行为存在，特别是在安全事故发生时。

● “报废”工作间和其他入口点：当雇员离开公司或被调任到其他部门时，其工作间就空在那里，心怀不轨的内部人员就通过工作间空置的网络插孔连接上网，同时掩盖了自己的真实身份。更糟糕的是，工作站通常位于隔间的后面，与网络相联，供所有人使用，包括心怀不轨的内部人员(除此之外还有发现了搁置工作间的非授权人员)。

其他的访问点如会议室，也经常为蓄意搞破坏的内部人员打开方便之门。因此要注意将已经停用的网络插孔关闭，以防止匿名或未授权的人员利用。并确保闲置工作间里的任何计算机都处于安全状态下，以防止未授权人员钻了空子。

● 监督职员：应该将所有被通知解雇的员工视为潜在的危险。对这样的员工访问机密信息都应该给予监视，特别是复制或下载大量资料时。现在的一个U盘能容纳上千兆字节，用它只需要花几分钟就可以存下大量的机密资料，并带着它走出大门。

在通知解雇员工降职或不如愿的调离前，对他们访问权限设限，这应该作为一项常用的策略。同样，要考虑监视雇员的计算机使用，以检查他们是否有未授权的访问或潜在的不利行动。

● 安装未授权硬件：心怀不轨的内部人员能轻易进入其他雇员的工作隔间，安装硬件或击键记录程序以捕获口令和其他机密信息。同样，U盘也能帮助轻易盗取资料。应对的安全措施就是：禁止安装任何未经书面认可的硬件设备。但这种方法实施起来也有问题，品行端正的员工会对此感到不方便，而心怀不轨者则根本无视这一规定。

在某些处理特别机密信息的组织内，在工作站上转移或关闭USB接口是一个必要的控制方法。

全范围的检查必须定期进行。检查必须要确保这些事情：计算机里没有未授权的无线设备，硬件击键记录程序或附加的调制调解器；没有安装未受权的软件。

安全和IT人员可以通过使用一个支持802.11的PDA，甚至可以通过安装了Microsoft Windows XP和无线网卡的膝上型电脑，来检查邻近区域的未受权的无线接入点(access point)。Windows XP有一个零设置的实用程序，当它检测到邻近区域有一个无线接入点时，就会弹出一个对话框。

● 阻挠信息窃取：当职员在进入公司并逐渐了解内部关键的业务流程后，他们处在了一个有利的位置上，通过“制约与平衡”原则发现公司的弱点，然后进行欺诈与偷窃。不诚实的工人有可能偷窃或对公司造成其他严重的伤害，因为他们很清楚公司的运作。内部人员可以自由出入办公室，接触文件柜和内部邮件系统，了解日常事务流程。

因此要通过分析机密和关键业务流程，找出自己的薄弱环节，以此来制定措施。在某些情况下，建立工作中的职权分离机制。某个人完成的机密操作要被另一个人单独检测，这样能够减少安全风险。

● 现场访问政策：建立一个外来访问者安全确认方案，确认象包括其他办室地点的人员。一个有效的安全措施是，要求访问者进入安全区域前，出示州级以上身份证明，然后在安全记录本上记录这些来访信息。一旦安全事件发生，就可以帮助确认始作俑者。

● 软件清查和审查：保存每个系统安装的和许可安装的授权软件的目录，并依照情况，定期审查这些系统。目录不仅能保证软件按照准许的规则合法运行，而且还可以帮助找出那些对安全不利的未授权安装。

被恶意安装的未授权软件，像击键记录程序，广告软件，或其他类型的间谍软件，一般很难探测到，当然这要看入侵者将它们在操作系统内藏得深不深。

也可以考虑使用第三方商业软件来查找这些“不良”程序，如以下这些：

• Spycop(在www.spycop.com可下载)
• PesPatrol(在www.pestpatrol.com可下载)
• Adware(从www.lavasoftusa.com可下载)

● 软件完整性审查系统：雇员或居心叵测的内部人能替换关键的操作系统文档或应用程序，这些可以绕开安全控制措施。在这个故事里，这两名狱中黑客更改了PC Anywhere应用程序，这样运行时系统盘里不会留下任何图标痕迹，从而不会被检测到。这个故事当中的警官们从来没想到他们的每一个行动都被监视了，Danny和William正越过他们的肩膀偷偷观看呢。在某些情况下，进行完整性审查是恰当的。同时使用第三方应用程序，当“监视目录”上出现任何对系统文件和应用程序的更改时，能及时得到通报。

● 过多的权限：在Windows环境下，许多终端用户在自己的计算机上能登录到享有本地管理员权限的账户。这种方法虽然方便，但对某位心存不满的内部人员来说，在他享有本地管理员权限时，就能趁机在任何系统内安装击键记录程序或网络监控程序(嗅探器)。远程入侵者也可以将病毒隐藏在邮件附件里发送出去，然后被不知情的用户打开，从而感染病毒。这种由附件带来的威胁可以使用“权限最小化”规定将其降到最小，也就是说，用户使用和程序运行时享有的权限都不应该超出必要的范围。