不同員工之安全威脅

單位網(wǎng)絡所服務的對象是員工，數(shù)據(jù)的生成、訪問和操作使用對象依然是員工。從技術角度來看，所有員工可以分為技術類員工、非技術類員工這兩種類型，不同類型員工在數(shù)據(jù)存儲過程中的訪問行為不同，操作權限不同，可能產生的安全威脅程度也不一樣。

一般來說，中小規(guī)模單位的技術員工，既是單位網(wǎng)絡運行的維護者，又是重要數(shù)據(jù)的管理者，數(shù)據(jù)的生成、備份、存儲以及還原等管理事項，無不凝聚著他們辛勞的汗水，應該說這些員工是與單位重要數(shù)據(jù)接觸時間最長的人員，他們是數(shù)據(jù)存儲安全與否的關鍵人群。遺憾的是，在很多規(guī)模不大的單位中，技術人員沒有充分發(fā)揮自身優(yōu)勢，而是被單位看成呼來喚去的勤雜人員，平時整天忙于做一些類似安裝計算機、查殺病毒、處理網(wǎng)絡故障這樣簡單重復的事務性工作，而沒有時間去思考單位網(wǎng)絡安全或數(shù)據(jù)存儲安全等核心問題，使得單位重要數(shù)據(jù)存儲安全性大大下降，甚至存在訪問權限設置不當、存儲備份機制不合理等現(xiàn)象，從而留下潛在的安全風險。當然，從單位領導角度來看，他們有些人安全意識薄弱，認為數(shù)據(jù)存儲安全技術涉及到方方面面，僅靠單位有限的幾個技術員工，無法精通所有的安全領域，所以他們一般舍不得耗費巨資來專門培養(yǎng)技術人員，這也造成了本單位技術人員在遇到數(shù)據(jù)存儲問題時，不能及時采取有效措施進行應對。而且，一些單位領導層缺乏足夠的連續(xù)性和穩(wěn)定性，單位領導人員的不斷變化，給技術員工的日常工作帶來了很大的壓力，惡化了技術人員的生存環(huán)境，造成了數(shù)據(jù)存儲安全防范力量薄弱，使得安全預防措施簡單，從而導致了一些安全事故。

非技術類員工可以分在職員工、離職員工，單位重要數(shù)據(jù)存儲是否安全，最終還要依賴在職員工的安全意識。安全意識薄弱的在職員工，一些不正確的或者好奇的操作行為，容易把數(shù)據(jù)安全威脅主動地從單位外部網(wǎng)絡環(huán)境帶到內部網(wǎng)絡環(huán)境，或者給單位內部不懷好意的員工創(chuàng)造可趁之機，無意間引起不可估量的損失。一些馬虎大意的員工可能會忽略數(shù)據(jù)存儲安全規(guī)則，例如將重要數(shù)據(jù)隨手放到系統(tǒng)桌面上，在與好友在線聊天時，不小心泄露了單位數(shù)據(jù)隱私，將訪問重要數(shù)據(jù)的密碼以明文形式貼寫在辦公桌的顯眼位置上等等。還有一部分在職員工，看上去跟普通的員工一樣，表面上在正常的工作，但內心對單位、對領導甚至對其他普通員工有不滿情緒，這些人可能會成為單位重要數(shù)據(jù)存儲的最大隱患之一。當他們情緒失控的時候，或者會通過自己在數(shù)據(jù)管理存儲中的便利，對數(shù)據(jù)進行破壞甚至外泄，而且其產生的損失將很大。對于那些已經離職的員工來說，離職原因不同，對單位數(shù)據(jù)存儲的安全隱患程度不同，但無論由哪種原因引起的離職，都可能會偷偷帶走以前單位的一些核心數(shù)據(jù)，或者通過以前的工作賬號、專業(yè)工具登錄到單位內部網(wǎng)絡，竊取單位日后生成的重要數(shù)據(jù)。還有一些離職員工在重新應聘工作時，為了鼓吹自己的能力或本領，或者搶占市場先機，也可能在不經意間將自己掌握的重要隱私數(shù)據(jù)信息泄露出去。當然，也有一些員工離職屬于被迫的，他們純粹為了報復原單位，或許會在單位內網(wǎng)系統(tǒng)中植入木馬等惡意程序，以達到偷竊原單位核心數(shù)據(jù)，甚至修改或刪除重要數(shù)據(jù)的目的。

加強員工數(shù)據(jù)安全培訓

接觸單位重要數(shù)據(jù)的員工，常見的無意而有安全風險的操作可能比較多，比方說，通過E-mail形式將重要數(shù)據(jù)分享給單位外面的人員，以達到其幫助完成工作任務目的，通過移動硬盤等設備將重要數(shù)據(jù)帶出單位內網(wǎng)，隨意打印并擺放核心數(shù)據(jù)材料等等。之所以會有這么多的違規(guī)數(shù)據(jù)管理操作，主要是單位員工在數(shù)據(jù)安全保護方面的意識還不夠。

有鑒于此，我們必須在平時，加強對單位員工的數(shù)據(jù)安全防范培訓。

第一要進行多層次的宣傳、培訓，讓員工意識到自己的哪些操作是違規(guī)的或者危險的，以及真的出現(xiàn)了違規(guī)操作后該采取什么樣的安全防范措施，來彌補可能出現(xiàn)的安全損失。例如，定期舉辦一些操作培訓班，教會員工怎樣安全地打開郵件附件，以避免網(wǎng)絡病毒的威脅，教會員工怎樣設置復雜密碼，來保護賬號登錄操作的安全，教會員工怎樣設置數(shù)據(jù)文件的訪問權限，以拒絕他人的隨意訪問。此外，反復的宣傳、培訓，也會讓單位員工轉變觀念，認為自己是單位的重要安全資產，而不是所謂的安全負擔。當單位員工認為自己在保護重要數(shù)據(jù)方面的警覺性，與滿足工作目標方面的警覺性同樣強，他們就會成為對單位重要數(shù)據(jù)安全計劃而言非常寶貴的資產。通過不斷的宣傳培訓和意識加強計劃，認清各種數(shù)據(jù)安全事故帶來的成本，同時熟悉采取哪些措施來預防數(shù)據(jù)安全威脅，員工們就不會擔心所面臨的安全威脅挑戰(zhàn)了。

第二鼓勵員工加強學習，充實自我、提升自我，為做好數(shù)據(jù)安全防范工作打下堅實基礎。掌握數(shù)據(jù)存儲和管理知識是一個與單位重要數(shù)據(jù)接觸緊密人員的必然要求。要熟悉數(shù)據(jù)存儲系統(tǒng)的功能、操作方法，了解數(shù)據(jù)存儲系統(tǒng)的安全防護特性，遇到數(shù)據(jù)存儲安全問題時能及時進行處理。

第三提高員工對數(shù)據(jù)存儲相關安全工具的使用技能。為了讓數(shù)據(jù)存儲安全落到實處，單位應當積極組織相關員工學習相關專業(yè)工具的操作方法，讓他們能夠利用這些管理工具，對單位中的重要數(shù)據(jù)進行有效地監(jiān)控管理，同時還應該了解一些數(shù)據(jù)防護工具的用法，確保數(shù)據(jù)在訪問過程中遇到安全威脅時能夠化險為夷。例如，借助專業(yè)安全工具，定期或不定期地對涉密數(shù)據(jù)系統(tǒng)進行安全檢查，通過頻繁安全檢查，能夠及時發(fā)現(xiàn)數(shù)據(jù)存在的安全隱患，堵塞涉密系統(tǒng)的安全漏洞，消除可能存在的不安全苗頭。

堵塞數(shù)據(jù)管理制度漏洞

要使單位內網(wǎng)中的重要數(shù)據(jù)真正安全無憂，進一步完善和健全數(shù)據(jù)安全防范制度和措施，不斷提升數(shù)據(jù)存儲管理技術水平和能力是必須要做的工作。這是因為技術水平再先進，數(shù)據(jù)安全措施再得力，如果單位員工沒有按照規(guī)定的要求去執(zhí)行，仍然將保存有核心數(shù)據(jù)的移動設備任意處置、隨意維修，仍然為核心數(shù)據(jù)設置較為脆弱的訪問密碼，單位內網(wǎng)中的核心數(shù)據(jù)安全依然無法得到有效保證。

首先建立健全各項管理制度。單位內網(wǎng)核心數(shù)據(jù)存儲管理制度和措施是單位數(shù)據(jù)安全的防火墻和高壓線，能夠有效預防各種人為因素引起的數(shù)據(jù)安全事故。各項管理制度和措施的建立，策略上應堅持“安全第一、預防為主”的方針，明確各類員工在數(shù)據(jù)存儲管理中的責任、權利和義務，明確獎懲措施，采用責任追究制和工作責任制，讓每位員工都在時刻警醒自己，為單位內網(wǎng)重要數(shù)據(jù)營造一個安全的工作環(huán)境。

其次明確相關人員防護職責。與核心數(shù)據(jù)有著直接或間接接觸的單位員工，不僅僅要充當數(shù)據(jù)使用者的角色，還要明確數(shù)據(jù)安全防護職責，找準定位，從繁重的事務性工作中解放出來，使其真正成為數(shù)據(jù)安全的管理員和防護員。

第三將數(shù)據(jù)安全預防流程納入工作流中。不少單位之所以對重要數(shù)據(jù)喪失了控制權，就是由于重要數(shù)據(jù)的識別分類、訪問存儲并沒有納入日常工作流當中。例如，生成新的數(shù)據(jù)文檔時，是否有分類流程來確認該使用什么樣的安全制度或措施？或者當員工在不同部門之間內部交流時，不同部門之間是否有安全控制流程？要是單位仔細考慮了核心數(shù)據(jù)存儲管理流程，同時采用了合適的數(shù)據(jù)保護措施，就能有效降低重要數(shù)據(jù)對外泄漏的風險。

第四對員工進行數(shù)據(jù)存儲管理方面的教育。行之有效的數(shù)據(jù)存儲管理政策應當采用“軟硬兼施”的方法。應當對員工進行數(shù)據(jù)管理方面的教育，最好是在“違反時刻”和“使用時刻”進行教育。要是單位員工隨意將重要數(shù)據(jù)復制到USB設備上，從而違反了安全管理制度，這時候對他們進行管理教育最有效，讓他們深刻意識到怎樣合理地保護單位內網(wǎng)的重要數(shù)據(jù)。要是嚴重違反了數(shù)據(jù)安全管理制度，及時告知員工的上司，以便采取合適的懲罰措施。加強員工在特別時刻的數(shù)據(jù)安全管理制度方面的意識教育，可以有效減少、甚至消除大部分意外或非故意發(fā)生的數(shù)據(jù)安全事件。所以，已知要訪問重要數(shù)據(jù)的所有員工都應當接受單位重要數(shù)據(jù)安全管理制度方面的教育，這樣一來，員工們不但要為自己使用重要數(shù)據(jù)負責，還有利于相互監(jiān)督，確保每個人都在遵守這些安全管理制度。

強化員工日常技術管控

要確保單位重要數(shù)據(jù)的絕對安全，除了制定嚴格的管理制度加以防范外，還需要依靠有效的技術措施對單位員工加以控制。首先要加強員工的數(shù)據(jù)存取控制。數(shù)據(jù)存取控制是對合法員工的身份進行鑒別和識別，對合法員工利用數(shù)據(jù)的權限和范圍進行審查，這種控制措施是保護重要數(shù)據(jù)的前沿屏障。存取控制措施采取的形式可以有身份認證、訪問權限控制、數(shù)據(jù)庫保護等，其中身份認證主要通過密碼、員工的身份證件卡或員工生理特征標識，來判斷員工的身份是否合法。訪問權限控制主要是為了防止合法員工越權訪問重要數(shù)據(jù)資源，所以單位領導或管理員要確定員工對哪些數(shù)據(jù)資源享有訪問權，以及可進行哪種類型的的訪問操作，并為不同員工賦予不同的訪問權限。當單位員工離崗、離職時，必須要及時調整或刪除用戶賬號及權限。

其次要加強對員工的操作行為進行審計?，F(xiàn)在很多單位內網(wǎng)安全防范策略中，普遍缺少有效的操作行為審計功能，這容易導致不能及時潛在的數(shù)據(jù)安全隱患。