內(nèi)部人員攻擊所占的比例也許不高，但它所造成的危害卻非同小可。令人擔(dān)憂的是，內(nèi)部人員攻擊變得日益復(fù)雜，越來(lái)越多的內(nèi)部人員使用rootkit或黑客工具，并且其攻擊行為日益自動(dòng)化。本文將討論如何保護(hù)網(wǎng)絡(luò)，防御這種日益復(fù)雜的攻擊。

簡(jiǎn)述內(nèi)部人員攻擊情形

內(nèi)部人員攻擊，從其定義來(lái)說，是由可以合法訪問公司網(wǎng)絡(luò)和系統(tǒng)的人員所執(zhí)行的攻擊。這些內(nèi)部人員可能是對(duì)公司不滿的員工，受到金錢誘惑從而使用各種攻擊竊取信息的員工，臨時(shí)為公司工作同時(shí)擔(dān)當(dāng)商業(yè)間諜的雇員，或者是某個(gè)濫用網(wǎng)絡(luò)特權(quán)的其它任何人。

具體情形包括：

1、故意用惡意軟件或病毒等感染公司的計(jì)算機(jī)和網(wǎng)絡(luò)，從而影響工作效率。

2、引入間諜軟件、鍵盤記錄器及其它類似軟件，目的是為了獲得同事們正在干什么的信息。

3、竊取口令，冒充他人登錄到公司網(wǎng)絡(luò)，事實(shí)上就是竊取員工的身份。

4、在沒有獲得授權(quán)的情況下，復(fù)制公司的機(jī)密信息，并帶出去或發(fā)送出去。

制定安全策略防御內(nèi)部人員攻擊

正如零售公司都采取預(yù)防措施來(lái)防止雇員竊取現(xiàn)金或財(cái)產(chǎn)一樣，處理重要電子數(shù)據(jù)的企業(yè)需要考慮數(shù)據(jù)泄漏保護(hù)（DLP）系統(tǒng)。不同的廠商有不同的DLP產(chǎn)品和技術(shù)，但是一套全面的策略要比僅購(gòu)買和安裝一個(gè)DLP設(shè)備更具意義。

1、實(shí)施一套專用的DLP設(shè)備或軟件。DLP設(shè)備或軟件允許管理員跟蹤公司的數(shù)據(jù)流向，可通過實(shí)時(shí)方式或通過收集信息，并將其總結(jié)在每天或每周的報(bào)告中。你可能需要一個(gè)能夠截獲并讀取SSL或其它加密消息的DLP系統(tǒng)，否則用戶就可以加密數(shù)據(jù)并將其發(fā)送到網(wǎng)絡(luò)之外。注意，DLP的一個(gè)缺點(diǎn)是它可能會(huì)影響網(wǎng)絡(luò)性能。

2、配置防火墻，雙向解決通信問題。多數(shù)現(xiàn)代防火墻能夠過濾進(jìn)入和轉(zhuǎn)出的通信，不過，許多防火墻的配置卻只能控制前者。管理員需要設(shè)置防火墻的向外轉(zhuǎn)發(fā)規(guī)則，使其明確的僅準(zhǔn)許匹配標(biāo)準(zhǔn)的通信可以通過。例如，你可以阻止使用特定端口號(hào)的外發(fā)通信。

3、使用網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)包檢查。DLP設(shè)備和防火墻專注于發(fā)往網(wǎng)絡(luò)之外的通信。例如，在一個(gè)用戶從服務(wù)器下載一個(gè)他不應(yīng)當(dāng)或不需要訪問的文件到自己的電腦上時(shí)，你可以使用NAV工具，用來(lái)檢查在內(nèi)部網(wǎng)絡(luò)遷移的數(shù)據(jù)包內(nèi)容。NAV工具可以深入檢查數(shù)據(jù)包的內(nèi)容，并查找一個(gè)文檔或文件內(nèi)的特定詞語(yǔ)或數(shù)據(jù)類型（如賬號(hào)）。不過，NAV產(chǎn)品與DLP一樣，可能會(huì)降低網(wǎng)絡(luò)性能。

4、使用帶有內(nèi)容過濾功能的郵件安全產(chǎn)品。例如，你可以使用電子郵件安全產(chǎn)品中的內(nèi)容過濾特性來(lái)阻止那些包含某些關(guān)鍵字的消息，或者阻止用戶發(fā)送附件，從而防止內(nèi)部人員將機(jī)密信息發(fā)送到網(wǎng)絡(luò)外部。

5、數(shù)據(jù)加密。即使他們已經(jīng)成功截獲了數(shù)據(jù)并將其帶到了網(wǎng)絡(luò)外部，加密敏感數(shù)據(jù)將會(huì)使網(wǎng)絡(luò)內(nèi)部人員在訪問和讀取信息時(shí)更為困難。

6、最少特權(quán)。為實(shí)現(xiàn)最佳的安全和對(duì)內(nèi)部人員的最好防護(hù)，務(wù)必保證僅給用戶最有限的特權(quán)，使其僅能用這些特權(quán)完成所需工作。在配置DLP產(chǎn)品或防火墻的發(fā)出規(guī)則時(shí)，該原則也適用，剛開始應(yīng)當(dāng)先阻止所有的訪問，然后僅準(zhǔn)許那些確實(shí)需要的訪問，而不應(yīng)該反過來(lái)，先準(zhǔn)許所有的訪問隨后再有選擇地限制某些訪問。同樣，訪問加密數(shù)據(jù)的密鑰只能給與那些工作職責(zé)要求訪問這些數(shù)據(jù)的用戶，而不是給所有的雇員或有特殊地位的用戶。

7、文件訪問審核。實(shí)施文件系統(tǒng)的訪問審核有助于檢測(cè)用戶是否正在訪問他們完成其工作時(shí)并不需要的信息。

8、職責(zé)或職務(wù)的分離。該策略確保任何人都無(wú)法單獨(dú)處理一項(xiàng)重要業(yè)務(wù)（如貨幣資金的轉(zhuǎn)賬）。某個(gè)人也許能夠啟動(dòng)某個(gè)過程，但如果沒有其它人的授權(quán)就無(wú)法完成。這會(huì)提供一種檢查機(jī)制，從而防止具有欺詐意圖的雇員或滲透進(jìn)入公司的間諜的不法行為。

9、控制USB設(shè)備。DLP、防火墻、郵件內(nèi)容過濾器有助于防止內(nèi)部人員將敏感的公司信息發(fā)送到網(wǎng)絡(luò)之外。然而，可移動(dòng)的USB設(shè)備常被內(nèi)部人員用于復(fù)制敏感的公司信息，并帶到公司之外。為防止這種現(xiàn)象，你可以禁用那些并不絕對(duì)需要USB設(shè)備的系統(tǒng)上的USB端口。你可以使用Windows的組策略或第三方的軟件來(lái)限制或阻止USB設(shè)備的安裝。如GFI的Endpoint Security可用于管理用戶訪問，并記錄USB設(shè)備、CD、閃存卡、MP3設(shè)備、智能電話、PDA以及通過USB端口連接到計(jì)算機(jī)的其它設(shè)備的活動(dòng)。

10、權(quán)限管理服務(wù)。權(quán)限管理允許你管理用戶的數(shù)據(jù)訪問權(quán)，有助于防止用戶與無(wú)權(quán)訪問這些數(shù)據(jù)的用戶共享數(shù)據(jù)。Windows的權(quán)限管理服務(wù)(RMS)準(zhǔn)許你阻止文檔的復(fù)制或打印，阻止轉(zhuǎn)發(fā)或復(fù)制電子郵件消息等等。Windows還可以阻止對(duì)受保護(hù)的文檔或消息執(zhí)行快照。對(duì)于內(nèi)部人員來(lái)說，盜用受保護(hù)的信息會(huì)變得更加困難。

11、變更管理。配置和變更管理工具有助于在雇員對(duì)系統(tǒng)做出配置變更時(shí)進(jìn)行確認(rèn)，防止訪問他不應(yīng)當(dāng)訪問的信息。市場(chǎng)上有不少產(chǎn)品可以跟蹤網(wǎng)絡(luò)上的變化。

12、身份管理。因?yàn)樵L問特權(quán)是根據(jù)用戶身份來(lái)授予的，所以很有必要部署一個(gè)身份管理系統(tǒng)。在當(dāng)今的網(wǎng)絡(luò)環(huán)境中，這尤為重要，因?yàn)橛捎诠镜暮喜⒒驅(qū)?shù)據(jù)遷移到云中的趨勢(shì)都會(huì)使問題復(fù)雜化。

最后，以上這些僅僅是你可用來(lái)防護(hù)內(nèi)部人員威脅的基本措施，防御內(nèi)部人員攻擊還需要完善的安全策略和各方面的共同努力。

【編輯推薦】

1. ARP攻擊方式技術(shù)總結(jié)及其防御
2. Unix系統(tǒng)的安全策略之常用命令解析
3. 建立安全策略應(yīng)對(duì)移動(dòng)設(shè)備威脅
4. 企業(yè)用戶防御網(wǎng)絡(luò)威脅十要素