CIO关注:阻止信息从七种物理渠道泄露

日期: 2008-05-06 来源:TechTarget中国

  企业的信息外泄,除了通过信息系统外,还会通过物理渠道,一些工业间谍会向毫无疑心的员工骗取公司的机密情报。本文教你如何阻止这些人。


  美国公司每年因黑客、非法闯入、物理安全事件及其他犯罪活动而蒙受的损失高达3000亿美元。任何一家公司都有可能成为间谍的目标,无论财务数据、知识产权,还是客户资料,间谍们都有兴趣。间谍物理入侵最常见的动机在于从事工业间谍活动。


  以下是间谍常用的几种手段,专家在此基础上提出了阻止办法。



  渠道一:


  间谍尾随员工进入公司


  间谍最容易潜入公司的方式之一也是技术含量最低的:尾随授权员工从正门进入。据统计,90%的公司太容易进入了。为了混进去,间谍可能会拿着一杯咖啡或者三明治或者佩戴伪造的身份证件大摇大摆地进入。禁止吸烟的规章制度也为间谍通过后门潜入大楼提供了便利,因为烟民往往聚在后门吞云吐雾。此外,还有很多人直接通过送货的大门进入。


  间谍一旦进入到公司,就有许多办法访问敏感信息。他们可以冒充IT支持人员,复印无人看管的文件。或者干脆来到空无一人的会议室,接上笔记本电脑,从公司网络上获取数据。很多情况下,是几个间谍共同作案,一个冒充顾问,另一个冒充员工,要是有人走进来,间谍就表示歉意,佯称“重复预定了会议室”,然后闪开。


  阻止办法: 不能简单制订安全政策就完事了,还得执行规定:要是有人无法证明自己是公司员工、保安人员、接待人员及其他员工就不得允许进入大楼。许多公司还要制订报告对可疑人员的明确规程。


  渠道二:


  间谍冒充员工


  间谍常常伪装成IT支持人员,坐在用户的个人电脑跟前,没有人会怀疑他们的身份。有的间谍伺机寻找空空如也的办公室;在另一些情况下,间谍还会冒充清洁工,在公司下班后趁机而入。


  一家公司曾聘请专家去查找存在的安全漏洞,但要求他避免使用CEO的系统。但就在他要离开CEO办公室时,CEO的助理问他:“要不你更新一下CEO先生的电脑?”就这样,他坐在了《财富》50强公司的CEO的办公桌旁边。虽然他尽量避免看电脑上面的任何敏感信息,可敏感信息多得你不去看都不行。这实在太大意了。


  阻止办法: 首先要加强员工的安全意识。大多数公司很少在加强员工意识方面有所投入,大多数人以为在大楼里一般会没事。不法分子恰恰利用了这种心理。公司需要规定什么是合适的、什么是不合适的,然后执行。


  第二是使用保护工具,比如采用密码进行屏幕保护;对数据进行加密,并要求拥有大量访问权的员工(如IT管理员和高层主管)采用强密码。但遗憾的是,大多数网络并没有采取足够有效的保护,许多公司设置了普通而愚蠢的密码,这些密码常常就是账户名。


  最后,需要根据重要性对信息进行分类,并且按轻重缓急来进行存储。即便仅仅对IT管理员和高级员工的账户实行加密,也能解决问题的70%。


  渠道三:


  间谍冒充访客


  潜入公司的另一种手段就是冒充正当访客,比如电话或者电气维修工、防盗警报器检验员或者消防部门派来检查烟雾报警器的人员等。间谍买来荧光上衣和工作靴,再从网上下载烫印标识,乔装打扮一番,整套行头只要花7美元。但安全专家冒充访客在公司大楼转悠时,发现了客户账户的详细资料、工资单数据磁盘、附有默认密码的语音邮件指南、广告开支信息、银行对账单、职员名录以及写满公司战略笔记的白板。


  阻止办法: 必须验证企图进入大楼的外人的身份,而不仅仅验证身份证。员工应当要求访客报出其雇主的名称,然后上网核对信息,再打电话到对方公司,确保访客身份的正确性。这很烦琐,但很有必要。


  渠道四:


  间谍通过Web应用偷窃


  并非所有间谍都采用技术含量很低的方法;据SANS Institute在2007年发布的前20大互联网安全风险报告显示,越来越多的人在利用Web应用的安全漏洞。报告把存在漏洞的Web应用列为第一大新出现的风险,它可导致网站中招、数据失窃、计算机连接到已受到危及的网站。报告称,Web应用攻击在2008年会大幅增长。


  阻止办法: 采用Web扫描工具可有助于查找应用漏洞;要是能与源代码评估工具和应用渗透测试结合使用效果更好。SANS Institute建议检查Web应用框架的配置,并采用相应办法进行加固。


  渠道五:


  间谍买通内部员工


  间谍搞破坏的一种有效手段是买通内部员工、窃取信息。这种手段往往与高科技搭不上边,员工只要利用现有的访问权限,就可以下载大量数据。


  阻止办法: 应使用访问控制和主动审查技术。比如,如果一个人每天访问30条记录,但突然每天访问100条记录,那么这是个危险信号,需要引起注意。此外,要是员工突然开始从家里访问数据,也要引起注意。借助异常检测程序就能发现这种行为变化。


  此外,使用操作系统的访问控制功能也很重要。人们并没有花时间去非常合理地配置这些功能,许多员工的实际访问权超出了完成任务所需的访问权。


  渠道六:


  通过“击键记录器”偷窃


  潜入到大楼里面的间谍可以安装击键记录器。这类设备会把计算机用户的击键内容通过电子邮件发到指定的地址,还会把击键内容保存在闪存中。许多击键记录器几乎不可能被发现,比如直接连接到键盘连接器的击键记录器。曾经发生过这样的事情:间谍冒充办公室清洁工,利用这种手法从一家英国银行差点窃得3亿英镑。


  阻止办法: 要全面检查计算机的物理设备。如果因无法全面检查计算机,可用胶水把连接到计算机的所有键盘都粘牢,免得击键记录器连接到键盘上。


  渠道七:


  通过网络钓鱼偷窃


  网络钓鱼是一种使用社会工程学的伎俩,间谍目的在于诱骗人们泄露信息(如密码);或者执行危及机密数据的操作,比如点击链接,从而让别人能够远程控制计算机。实际上,网络钓鱼是最重大的互联网安全风险之一。


  阻止办法: 不断加强员工的安全意识,可以通过演练来模拟网络钓鱼的行为。公司还应当避免在公共网站上泄露过多的信息,包括公司标识和员工的电子邮件地址等。


  另一个对策是在计算机中禁用USB端口,或者使用集中式工具来限制使用端口和外部设备,这会加大间谍导出数据的难度。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 实施BI的切入点和五大应用策略

    虽然BI的局部应用逐渐增多,越来越多的企业尝到了BI的甜头。本文提出了企业实施商业智能的切入点,并提出了企业BI系统应用的五大策略。

  • 土木工程信息化:建设三大系统促发展

    土木工程的信息化是用计算机、通信、自动控制等信息汇集处理高新技术对传统土木工程技术手段及施工方式进行改造提升。土木工程的信息化建设须致力建设三大系统。

  • 数据分析趋势确立CIO对IT的领导地位

    数据分析将成为企业知识工人的必备技能,在建设企业数据分析文化的过程中,CIO需要扮演导师和楷模的角色,并重新赢得企业信息化领导地位。

  • 制造业供应链信息化集成难点问题

    本文提出了制造企业供应链信息集成中的三个问题。第一个问题是确实保障物流、资金流、信息流准确一致。第二个问题是如何看待信息系统对管理决策的支持力度……