美国国家安全局(National Security Agency)前雇工爱德华·J·斯诺登(Edward J. Snowden)泄露了美国监听活动的细节,他的行为体现了处于政府和行业技术系统核心的一场辩论:可以信任信息技术(IT)人员吗?
美国国家安全局、一些公司以及旧金山市政府都从教训中了解到,对于那些对保持系统运行至关重要而且往往有权限访问一切数据的信息技术管理员来说,泄露敏感信息或敲诈高层官员简直易如反掌。
“困难来自这个需要计算机网络不间断运行的环境,”美国司法部(Justice Department)前律师克里斯托弗·P·西姆金斯(Christopher P. Simkins)说。现在他的律所为军事承包商等公司提供有关内部威胁的咨询。
国家安全局局长基思·B·亚历山大(Keith B. Alexander)上将在周日接受电视采访时承认存在这个问题,他说,该局将实行“一种双人规则”,限制其1000名系统管理员自由访问整个系统的能力。一些情报机构目前已经开始实施该规则。按照该规则,每次访问敏感信息的尝试都要求受到二次审核。这个概念源自密码学领域,从根本上说就是每次打开一个保险箱都需要两套密钥。
从政府机构到美国企业界,各方都再度重视阻止IT员工乱来。此类内部违规现象相对较少,但国家安全局泄密一事促使各方对企业和政府所能采取的最佳预防措施进行评估——从增加检查和制衡措施,到加强招聘阶段的审核。
“最可怕的威胁是系统管理员,”计算机安全公司Hytrust的董事长埃里克·焦(Eric Chiu)说,“系统管理员对自己负责的系统拥有上帝般的权限。”
周日,国家情报总监(Director of National Intelligence)的前首席信息官戴尔·W·迈尔罗斯(Dale W. Meyerrose)在被问及亚历山大上将的双人规则时说,“我认为他在做的事是合理的。”
“生活中实行双人规则的事情很多,”现在经营一家商业咨询公司的迈尔罗斯说,“自从我们拥有核武器以来,我们一直有双人规则。如果有人修理了飞机,那么另一名工程师必须进行核查。”
曾在国家安全局担任反间谍官员、如今在海军战争学院(Naval War College)执教的约翰·R·申德勒(John R. Schindler)也同意,这种“搭档制度”将带来帮助。他说,“但我不认为这是一种特别好的长期解决方案。”
迈尔罗斯和申德勒都说,软件监控系统也会有帮助,尽管真正内行的系统管理员能够躲过这种系统。他们说,对于政府和企业来说,最重要的是更仔细地遴选IT应聘者,并且在雇佣他们之后,留意任何失落情绪的迹象。
迈尔罗斯说,“这在本质上是人员可靠性的问题。”
对于政府和企业界来说,各类内部人员缺乏忠诚的情况在过去十年间已经成为一个问题。其中最知名的是一等兵布拉德利·曼宁(Bradley Manning),他在伊拉克任职时下载了大量美国军方及外交资料,并将文档交给了维基解密(WikiLeaks)组织。但还有其他违法者,包括从自己工作所在的美国公司盗取机密,然后将其提供给中国的科学家和软件开发者。
2011年早些时候,在新泽西的一家制药公司,前IT管理员进入了该公司的系统,删除了几个文档——包括一些追踪客户订单的文档,致使该公司几天内无法运营,造成80万美元(约合491万元人民币)的损失。检察官称,这是盐野义制药公司(Shionogi)在宣布裁员后遭受的报复性攻击。管理员贾森·科尼什(Jason Cornish)于2011年8月认罪。
2008年,旧金山市政府的网络管理员特里·蔡尔兹(Terry Childs)知道自己就要被辞退,于是修改了市政府网络的密码,而且只有他掌握这个密码。他在12天的时间里拒绝交出密码,实际上瘫痪了一切,从市长的电子邮箱到市政府的工资单记录。
申德勒表示,国家安全局也可以效仿苏联官员在一名译电员1945年叛变后的处理方式。
“他们的回应并不是严加管束译电员,”申德勒说,“而是给他们加薪,设定更合理的工作时间,他们获得了随便进入老板办公室的特权,一切都是为了让他们高兴。”
前司法部律师西姆金斯表示,应对不忠诚的内部人员构成的威胁,做起来“远比听起来难得多”。
“归根结底,如果内部人员蓄意为害,我们没有办法阻止他们,”他说,“我们只能减少损害。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
未来企业数据安全威胁及保护措施
Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联 […]
-
企业如何应对数字变革
当西班牙银行业巨头BBVA在应对数字化变革时,他们采用了每家银行都知道的方法:风险控制。 BBVA银行基础设施 […]
-
安全、带宽、云计算:那些CIO必须不得不接受的IT现实
IT的快速发展在很多领域都超过了预期,IT技术人员开始感觉有些失控,例如,自以为很安全的系统,却轻松被黑;不管 […]
-
联网设备的激增:物联网数据安全极其脆弱
联网的消费产品数量已经以十亿为单位计数,分析师预测,今年全球的数量将达到64亿。在这些不断增长的设备中,存在大量的商业潜力,但也有巨大的危机。