我們常常看到媒體報道雇員在離職前盜取所供職部門的核心技術信息的事件，離職人員充當了內(nèi)鬼。那么，前雇員為什么會成為信息泄漏事件的高危人群？針對這些潛伏者，企業(yè)的IT部門又該有哪些應對策略呢？從類似事件的關鍵過程點，我們可以有一些收獲。

制度化的分級保密策略和審計機制能夠降低潛伏者得逞的概率

近期有一起引起廣泛關注的前員工盜取商業(yè)機密的案件，當事人在離職前利用其合法的使用權限，將資料打印出來并拍照存儲在私人筆記本電腦中；而在幾年前的一起影響重大的彩電技術泄漏案中，當事人則是將大量技術文檔復制到了私人移動硬盤中……這些事件中的涉案者都是利用合法的IT權限實施了非法的信息盜取行為，這表明針對合法用戶細分化的授權以及制度化的審計非常必要。

目前大大小小的企業(yè)的IT系統(tǒng)，一般將比較重要的信息存儲于內(nèi)部公共服務器中供用戶訪問，同時，在服務器以及網(wǎng)絡出口做好防護，防范來自外部的入侵。然而，簡單的內(nèi)外有別的訪問授權控制，只能防止外部的用戶突破網(wǎng)絡邊界到內(nèi)部網(wǎng)絡盜取信息，而合法用戶是否合法地使用了信息，則更像是一個"黑箱"。

現(xiàn)實的應用中，類似打印、復制等看似普通的操作，也可能是致命的信息泄漏渠道。目前發(fā)生的案例中，對"內(nèi)鬼"所在的部門而言，這些行為本應是受到嚴格限制的。重要的信息，應該得到嚴格的保護，牽涉到核心競爭力的信息，更應該輔之以嚴格的訪問控制、審批授權等權限控制機制。另外，針對信息使用的全面審計，也是必備的環(huán)節(jié)，這有助于及時發(fā)現(xiàn)違反IT策略的行為，更可以在信息未泄漏擴散之前及時發(fā)現(xiàn)并采取行動。

公私分明的安全策略可以大大減少安全風險

另外一個值得反思的環(huán)節(jié)就是，私人設備在內(nèi)部IT系統(tǒng)的應用。上面提到的兩起案件，當事人或利用私人的數(shù)碼相機拍攝資料錄入個人電腦，或利用個人移動硬盤轉(zhuǎn)移數(shù)據(jù)。這些，都暴露了企業(yè)的IT策略沒有覆蓋到私人應用的漏洞。

私人設備的應用，本意是想提升個人的工作效率，例如U盤是方便的傳播載體，私人筆記本電腦有利于移動辦公，通過網(wǎng)絡社交，可以加強企業(yè)與外部的溝通。但所有這些應用，都應該有一個前提，即私人應用應該處于企業(yè)的整體IT安全策略管理之下。任何一種新設備或者應用的使用，都該經(jīng)過事先的風險評估，并在執(zhí)行時被嚴格的監(jiān)管。在公共的IT系統(tǒng)和私人應用之間劃出邊界，在智能手機等設備普及，微博、社交網(wǎng)絡蓬勃發(fā)展的今天，顯得尤為重要。

技術與管理相結(jié)合的信息安全策略是必然的選擇

目前，很多企業(yè)采用視頻監(jiān)控等技術手段輔助安全策略，并對核心員工離職前的安全審查流程有著事先的規(guī)定，這些手段可以發(fā)現(xiàn)基于網(wǎng)絡的IT審計無法監(jiān)控的行為。在上面的兩個案例中，據(jù)外界的猜測，當事的兩家大型企業(yè)都有對核心部門采用視頻監(jiān)控和離職審查的規(guī)定。

事實上，安全本身應該是一個綜合的概念，除了通常意義上的網(wǎng)絡安全、數(shù)據(jù)安全等，通常被歸于行政安全的視頻監(jiān)控、門禁等技術，也是企業(yè)安全的重要組成部分。目前，很多成熟的組織已經(jīng)設立了首席安全官的職位，統(tǒng)領企業(yè)的安全管理。站在戰(zhàn)略的高度制定整體性的策略，更能綜合性的調(diào)動企業(yè)的資源，將安全與管理相結(jié)合，才能更大限度的提升企業(yè)的信息安全水平。