防御内部人员攻击安全策略
1、最少特权。为实现最佳的安全和对内部人员的最好防护,务必保证仅给用户最有限的特权,使其仅能用这些特权完成所需工作。在配置DLP产品或防火墙的发出规则时,该原则也适用,刚开始应当先阻止所有的访问,然后仅准许那些确实需要的访问,而不应该反过来,先准许所有的访问随后再有选择地限制某些访问。同样,访问加密数据的密钥只能给与那些工作职责要求访问这些数据的用户,而不是给所有的雇员或有特殊地位的用户。
2、文件访问审核。实施文件系统的访问审核有助于检测用户是否正在访问他们完成其工作时并不需要的信息。
3、职责或职务的分离。该策略确保任何人都无法单独处理一项重要业务(如货币资金的转账)。某个人也许能够启动某个过程,但如果没有其它人的授权就无法完成。这会提供一种检查机制,从而防止具有欺诈意图的雇员或渗透进入公司的间谍的不法行为。
4、控制USB设备。DLP、防火墙、邮件内容过滤器有助于防止内部人员将敏感的公司信息发送到网络之外。然而,可移动的USB设备常被内部人员用于复制敏感的公司信息,并带到公司之外。为防止这种现象,你可以禁用那些并不绝对需要USB设备的系统上的USB端口。你可以使用Windows的组策略或第三方的软件来限制或阻止USB设备的安装。如GFI的Endpoint Security可用于管理用户访问,并记录USB设备、CD、闪存卡、MP3设备、智能电话、PDA以及通过USB端口连接到计算机的其它设备的活动。
5、权限管理服务。权限管理允许你管理用户的数据访问权,有助于防止用户与无权访问这些数据的用户共享数据。Windows的权限管理服务(RMS)准许你阻止文档的复制或打印,阻止转发或复制电子邮件消息等等。Windows还可以阻止对受保护的文档或消息执行快照。对于内部人员来说,盗用受保护的信息会变得更加困难。
6、变更管理。配置和变更管理工具有助于在雇员对系统做出配置变更时进行确认,防止访问他不应当访问的信息。市场上有不少产品可以跟踪网络上的变化。
7、身份管理。因为访问特权是根据用户身份来授予的,所以很有必要部署一个身份管理系统。在当今的网络环境中,这尤为重要,因为由于公司的合并或将数据迁移到云中的趋势都会使问题复杂化。
以上这些仅仅是你可用来防护内部人员威胁的基本措施,防御内部人员攻击还需要完善的安全策略和各方面的共同努力。
【编辑推荐】
