防御內(nèi)部人員攻擊安全策略

1、最少特權(quán)。為實(shí)現(xiàn)最佳的安全和對內(nèi)部人員的最好防護(hù)，務(wù)必保證僅給用戶最有限的特權(quán)，使其僅能用這些特權(quán)完成所需工作。在配置DLP產(chǎn)品或防火墻的發(fā)出規(guī)則時，該原則也適用，剛開始應(yīng)當(dāng)先阻止所有的訪問，然后僅準(zhǔn)許那些確實(shí)需要的訪問，而不應(yīng)該反過來，先準(zhǔn)許所有的訪問隨后再有選擇地限制某些訪問。同樣，訪問加密數(shù)據(jù)的密鑰只能給與那些工作職責(zé)要求訪問這些數(shù)據(jù)的用戶，而不是給所有的雇員或有特殊地位的用戶。

2、文件訪問審核。實(shí)施文件系統(tǒng)的訪問審核有助于檢測用戶是否正在訪問他們完成其工作時并不需要的信息。

3、職責(zé)或職務(wù)的分離。該策略確保任何人都無法單獨(dú)處理一項(xiàng)重要業(yè)務(wù)(如貨幣資金的轉(zhuǎn)賬)。某個人也許能夠啟動某個過程，但如果沒有其它人的授權(quán)就無法完成。這會提供一種檢查機(jī)制，從而防止具有欺詐意圖的雇員或滲透進(jìn)入公司的間諜的不法行為。

4、控制USB設(shè)備。DLP、防火墻、郵件內(nèi)容過濾器有助于防止內(nèi)部人員將敏感的公司信息發(fā)送到網(wǎng)絡(luò)之外。然而，可移動的USB設(shè)備常被內(nèi)部人員用于復(fù)制敏感的公司信息，并帶到公司之外。為防止這種現(xiàn)象，你可以禁用那些并不絕對需要USB設(shè)備的系統(tǒng)上的USB端口。你可以使用Windows的組策略或第三方的軟件來限制或阻止USB設(shè)備的安裝。如GFI的Endpoint Security可用于管理用戶訪問，并記錄USB設(shè)備、CD、閃存卡、MP3設(shè)備、智能電話、PDA以及通過USB端口連接到計算機(jī)的其它設(shè)備的活動。

5、權(quán)限管理服務(wù)。權(quán)限管理允許你管理用戶的數(shù)據(jù)訪問權(quán)，有助于防止用戶與無權(quán)訪問這些數(shù)據(jù)的用戶共享數(shù)據(jù)。Windows的權(quán)限管理服務(wù)(RMS)準(zhǔn)許你阻止文檔的復(fù)制或打印，阻止轉(zhuǎn)發(fā)或復(fù)制電子郵件消息等等。Windows還可以阻止對受保護(hù)的文檔或消息執(zhí)行快照。對于內(nèi)部人員來說，盜用受保護(hù)的信息會變得更加困難。

6、變更管理。配置和變更管理工具有助于在雇員對系統(tǒng)做出配置變更時進(jìn)行確認(rèn)，防止訪問他不應(yīng)當(dāng)訪問的信息。市場上有不少產(chǎn)品可以跟蹤網(wǎng)絡(luò)上的變化。

7、身份管理。因?yàn)樵L問特權(quán)是根據(jù)用戶身份來授予的，所以很有必要部署一個身份管理系統(tǒng)。在當(dāng)今的網(wǎng)絡(luò)環(huán)境中，這尤為重要，因?yàn)橛捎诠镜暮喜⒒驅(qū)?shù)據(jù)遷移到云中的趨勢都會使問題復(fù)雜化。

以上這些僅僅是你可用來防護(hù)內(nèi)部人員威脅的基本措施，防御內(nèi)部人員攻擊還需要完善的安全策略和各方面的共同努力。

【編輯推薦】

1. 用注冊表防止病毒復(fù)活
2. 木馬控制惡意廣告程序
3. 給你預(yù)防病毒的八個忠告
4. 史上最全木馬防治手冊（1）
5. 史上最全木馬防治手冊（2）
6. 防御內(nèi)部人員攻擊的基本措施 上篇
7. 加強(qiáng)電子郵件安全的防范措施之郵件木馬技術(shù) 

 

網(wǎng)站名稱：防御內(nèi)部人員攻擊的基本措施下篇
標(biāo)題URL：http://uogjgqi.cn/article/cceghdo.html