無論是在現(xiàn)實生活中，還是在虛擬的網(wǎng)絡(luò)世界，永遠都是內(nèi)患難防——許多企業(yè)電腦網(wǎng)絡(luò)安全問題往往是由于內(nèi)部員工引起的。所謂的“內(nèi)患”不一定是真正仇視企業(yè)的員工，很多都是無心為之。如員工訪問了被掛馬的網(wǎng)站，間諜軟件、廣告軟件等惡意軟件就會不知不覺地下載到他們的電腦中，接下來，這些惡意軟件就會在企業(yè)內(nèi)部網(wǎng)絡(luò)中進行傳播。

員工給企業(yè)造成的危害，無論是否有意而為，其行為導(dǎo)致的結(jié)果卻是一樣：不當(dāng)使用網(wǎng)絡(luò)從事各種活動極有可能導(dǎo)致公司信息系統(tǒng)被入侵、機密資料被竊以及公司網(wǎng)絡(luò)堵塞等問題。企業(yè)的商業(yè)機密泄露，資產(chǎn)必將遭受巨額損失。

數(shù)據(jù)泄露對企業(yè)和員工都是極大損失

當(dāng)企業(yè)數(shù)據(jù)泄露時，遭受損失不僅是企業(yè)，與之相關(guān)的員工都成為最終的受害者。

 06年8月，就職于美國在線公司（AOL）首席技術(shù)官莫林·高文（Maureen Govern）辭職，其原因就是AOL公司在之前的三個月里泄露了658000位匿名用戶的約2000萬個關(guān)鍵詞搜索信息。

此外，AOL技術(shù)研究部門的一位研究人員和他的主管也因數(shù)據(jù)泄露而離開了公司。為平息網(wǎng)上的如潮批評之聲，AOL表示將成立一個專門的小組審查公司客戶隱私保護政策。

數(shù)據(jù)泄露事件甚至讓一個國家蒙受損失，讓其政府執(zhí)政能力遭受質(zhì)疑——英國首相布朗曾因2500萬人信息丟失遭質(zhì)疑。

07年10月份，英國稅務(wù)及海關(guān)總署弄丟兩張重要數(shù)據(jù)光盤，其中包括2500萬人的敏感信息。在英國，兒童福利補貼都經(jīng)過銀行轉(zhuǎn)賬方式直接存入補助對象的賬戶，而稅務(wù)和海關(guān)總署丟失的兩張光盤就保存了補助人的個人資料等重要信息。

此次信息丟失牽涉到的英國家庭數(shù)目很大，幾乎所有擁有16歲以下兒童的家庭，都丟失了個人信息，甚至連首相布朗一家也未能幸免。丟失信息涉及所有兒童福利補貼受益人，包括2500萬人、725萬個家庭。英國幾乎一半人口的機密信息不慎丟失，其中包含銀行賬號等重要內(nèi)容，英國首相布朗21日遭到議員們的強烈質(zhì)疑。
#p# 很多企業(yè)在數(shù)據(jù)庫、電子郵件以及一些信息管理等方面也制定了一些安全策略，但這些安全策略若只是一

個框架，其產(chǎn)生的效果是值得懷疑的。

讓企業(yè)IT負責(zé)人最為頭痛的就是企業(yè)關(guān)鍵數(shù)據(jù)泄密，他們最不愿意看到的就是這些數(shù)據(jù)被一些惡意用戶所

掌握。然而泄密真是在所難免，因為無論企業(yè)配備多么強大技術(shù)與設(shè)備，具有如何全面直觀的檢測系統(tǒng)也

不能全面的避免非法侵入者利用企業(yè)某些信息安全防護“短板”。

業(yè)內(nèi)專業(yè)人士曾警告：企業(yè)信息泄密點通常也是最被企業(yè)所忽視的——數(shù)據(jù)庫超級用戶管理權(quán)限、簡單的電

子郵件設(shè)置以及那些漫不經(jīng)心的安全策略。

數(shù)據(jù)庫超級用戶管理權(quán)限

很多企業(yè)所用數(shù)據(jù)庫都存在超級管理員權(quán)限，這種權(quán)限存在是數(shù)據(jù)庫權(quán)限濫用的一種體現(xiàn)。存在此類權(quán)限

的數(shù)據(jù)庫環(huán)境也是非常危險的，因為它非常容易被一些不良人員所利用，導(dǎo)致關(guān)鍵數(shù)據(jù)泄露。

約翰遜提供三種設(shè)想和建議，以使數(shù)據(jù)得到充分保護：

1、在企業(yè)，讓IT 運維人員根據(jù)用戶的實際需求分配權(quán)限是一個費力不討好的工作。所謂的費力，是指IT運維人員若要按需分配首先要從單位行政角度摸清員工（這里也包括高層管理者）的實際需求，其工作量可想而知；很多企業(yè)高層管理者要求IT 運維人員要將其數(shù)據(jù)庫的權(quán)限設(shè)置成“超級管理員”，但這種要求與這些高層實際需求不一定相符，使得IT 運維人員左右為難。

不過作為IT主管，即便你很為難，但我還是建議你要堅持原則——相關(guān)人員數(shù)據(jù)庫使用權(quán)限與其實際工作權(quán)限相配套，尤其是要弄清楚那些具有超級用戶管理權(quán)限的人員獲得權(quán)限的原因。公司管理層在這方面有一個明確的判斷，是要方便還是要安全。不過從前面的這些安全事故中我們可以看出，要想從如此競爭激烈的市場環(huán)境中脫穎而出，穩(wěn)妥的安全措施勢在必行。

2、很多大型企業(yè)還存在這樣一個問題，數(shù)據(jù)庫管理員（DBA）和網(wǎng)絡(luò)管理員到底誰應(yīng)該賦予更多的更全的管理權(quán)限，以完成他們的工作。按照員工比例來講，即便是數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員二者相加，其總量也是少數(shù)。對他們實施管理相對簡單。但這里還是存在管理上的漏洞：是不是DBA就可以無限制的看到所有的數(shù)據(jù)？誰可以擁有數(shù)據(jù)庫備份副本的管理權(quán)限？即便是這些擁有超級權(quán)限的人是值得信賴的人，就沒有數(shù)據(jù)泄露的隱患了嗎？

建議還是取消數(shù)據(jù)庫管理員以及網(wǎng)絡(luò)管理員（系統(tǒng)管理員）的超級用戶管理權(quán)限。因為他們只要做好自己工作就好了，不必也沒有任何理由完全掌握企業(yè)的數(shù)據(jù)庫管理權(quán)限。對這些IT管理人員的職責(zé)也應(yīng)該細分，讓他們在自己職權(quán)范圍內(nèi)設(shè)定自己的用戶名和密碼，并自己保存。這些管理員們向CIO提交他們的用戶與密碼副本，而這些副本也不應(yīng)該有CIO隨意掌控，而是將其放進“LOCKBOX”這樣的密碼保護軟件中。這種方法可以說基本上沒什么技術(shù)含量，但它可以防止企業(yè)過度分配超級管理員權(quán)限。

3、還有種情況可能出現(xiàn)：某些IT用戶可能不需要擁有強大的特權(quán)，但由于他們的工作性質(zhì)，有可能使用別人的超級管理特權(quán)。一個典型的例子就是一個低級別的數(shù)據(jù)中心業(yè)務(wù)人員，他或者僅負責(zé)生產(chǎn)調(diào)度環(huán)境，而他有些工作卻有可能涉及到數(shù)據(jù)庫管理和系統(tǒng)管理員的用戶名和密碼。這對于任何企業(yè)而言都是一個重大潛在威脅。

這種情況看似難辦，實際上也不是很難解決。無論是最終用戶還是那些具有超級用戶權(quán)限的人，對他們賦予權(quán)限的規(guī)則是幫助誠實的人留下誠實。讓所有的人都知道，在企業(yè)中的網(wǎng)絡(luò)行為都會受到監(jiān)控，這樣就可以阻止數(shù)據(jù)泄露事故的大量發(fā)生。

停止大規(guī)模郵寄您的機密信息

“核心商業(yè)機密對于企業(yè)的價值自是不言而喻。而核心機密的頭號泄露途徑確實最為普通的電子郵件?！盤roofpoint公司 CEO 加里斯蒂爾如此認為。

上述言論正好說明了最近的一項調(diào)查的準(zhǔn)確性——據(jù)Forrester進行的調(diào)查發(fā)現(xiàn)，IT主管和經(jīng)理們認為，出站電子郵件的最容易造成數(shù)據(jù)泄露，尤其是想機密備忘錄、極具價值的知識產(chǎn)權(quán)和交易信息。

然而觀察一些泄密事件后，你就會發(fā)現(xiàn)，這些事件中惡意泄露的只占很小的一部分。絕大部分都是疏忽造成的。在加利福尼州，亞康特拉科斯塔縣的一位雇員就因為選錯了郵件列表這個疏忽，將很多機密文件通過郵件誤發(fā)給瑞典的一個朋友。法院庭審檔案無疑是機密的，而某個粗心大意的法庭聽證會書記員曾復(fù)制科比強奸案的法院謄本后，將其不小心放入了錯誤的郵件組發(fā)送了……

不可否認，現(xiàn)實生活中確實存在惡意泄露事件。企業(yè)用戶應(yīng)對此有防范意識，如采用Proofpoint這樣的保護服務(wù)器軟件等，可以幫助企業(yè)搭建信息保護平臺，防范入站郵件威脅（如垃圾郵件和病毒） ，并確保出站郵件符合公司的政策和外部法規(guī)。
#p#TELXAR公司創(chuàng)始人見首席執(zhí)行官Jeff Bowling強調(diào)說，堵住數(shù)據(jù)泄露的最好的方法是執(zhí)行一個比較好的安全計劃——應(yīng)該包括拒絕服務(wù)攻擊和內(nèi)部網(wǎng)絡(luò)的安全注意事項，同時還應(yīng)該對網(wǎng)絡(luò)管理員的指南服務(wù)。下列信息應(yīng)該包含在計劃之中，卻又被忽視的：

1. 表明獲得小時

2. 指定的登錄憑證和權(quán)利

3. 禁用外部軟件

4. 考慮內(nèi)部審計/入侵監(jiān)測應(yīng)用

5. 鎖定內(nèi)部硬件組件

6. 進行定期審計，安全和資源

7. 禁用USB或FireWire端口

8. 限制郵件大小和/或阻止所有附件

9. 不允許使用相機裝置內(nèi)限制/敏感領(lǐng)域

10. 定義一個嚴格的政策，接受設(shè)備及其使用情況

11. 確定一個聯(lián)絡(luò)點，政策問題的網(wǎng)絡(luò)和它的內(nèi)容

12. 執(zhí)行保密和保密協(xié)議

13. 確定的指揮鏈和升級程序

14. 確保管理人員和用戶了解的安全計劃和政策

非技術(shù)的方法也值得考慮

Johnson提出了另一種安全策略：“現(xiàn)在的企業(yè)太沉迷于技術(shù)手段保護數(shù)據(jù)的安全了。這是讓我非常驚訝的——實際上使用一些飛技術(shù)手段會打到意想不到的效果。在可能的情況下，企業(yè)應(yīng)該對在敏感職位上員工的真是背景進行深入調(diào)查，察看這些員工的可信度是否適宜目前的工作。這一策略并不是我的發(fā)明，我過去工作過的國防工業(yè)中，這樣的審查程序是必須的，也是絕對必要的?！?/P>

作為企業(yè)安全主管有一條原則，那就是安全系統(tǒng)是不能只由一個人負責(zé)——進入機房的時候，應(yīng)該是一對伙伴共同操作。一個人操作時，另外一個人將密切關(guān)注對方登錄和登出等動作。

【編輯推薦】

1. 數(shù)據(jù)安全：劍指移動存儲　杜絕數(shù)據(jù)泄漏
2. USB設(shè)備的危險 防止數(shù)據(jù)泄漏三策略
3. 小心筆記本也會泄漏你的信息
4. 深度保護企業(yè)敏感數(shù)據(jù)