今天去客户现场,有个相熟的工程师给我爆料了一个信息:该客户一个重要系统的大量数据被红队拿到,原因是一个做外包开发项目离职人员的账户密码不知道怎么被社工库捕捉到了。。。。。
幸好只是红队拿到而已,如果是被恶意人员拿到,后果真的让人不愿多想。
我比较了解这家客户,他们基本上不太严格按照安全制度来执行的,甚至可以说基本上也没啥安全制度(每次遇到啥检查,我都一把鼻涕一把泪的给他们赶制度材料)。原因主要还是和负责人的安全意识有关系,我就不多说了。
因为这个事件让我想起了员工入职和离职需要注意的问题,所以这篇文章我主要站在安全的角度说说员工入职和离职的问题。
理想情况下,我认为,不管是这家单位的正式编制人员还是说外包团队人员,只要做了这家单位的相关开发运维工作,在入职时就需要签署保密协议(NDA nondisclosure agreement)。然后参加安全意识相关培训,使其知道哪些可以做哪些不可以做,做了不该做的事情引发了严重后果应该承担什么样的责任,防止在职或已离职的员工泄露机密信息。
接着需要给其一个账号,这个账号应该按最小特权原则分配访问权限,而不是大家在访问服务器的操作系统时都用root或其他共享账号登录(我所知的这家单位的开发团队在访问操作系统时,都是用共享账号root登录的)
员工离职时,需要把其账号保留半年后从系统中删除(当然,其他的门禁卡、电脑啥也要回收了),有的账号可能不好删除,那么需要禁用或做别的操作,比如拿走他手里的Ukey或更换密码等。
为啥我建议账号还要保留半年,因为如果员工离职后发现了安全问题但是日志事件无法关联到实际账户,会导致追溯非常麻烦,难以问责。
这家单位数据被红队拿到的原因就是离职员工的账号居然还能使用(离职员工的账号密码是否被离职员工蓄意或无意传到网上也不得而知了),虽然我用了"居然"这个词,但实际上确实有很多这种情况发生,比如很多小公司员工离职了,但是仍然可以用管理员的身份登陆到内部系统中,不发生问题还好,一旦发生问题就。。。。
站在安全的角度,列一下入职和离职的流程:
入职流程:
-
背景调查和资格验证:对被聘用人员的身份、安全背景、专业资格或资质等进行审查
-
签署网络安全承诺书:所有安全相关工作岗位员工均需签署《网络安全岗位承诺书》,明确其在岗位上的安全责任。
-
网络安全培训:新员工在正式上岗前,应接受网络安全培训,明确岗位所要求遵守的网络安全管理制度、技术规范以及操作流程。
-
配置账号:设置权限,最小权限设置。
离职流程:
-
终止访问权限:及时终止离岗人员所涉及网络或信息系统的访问权限。
-
离职交接:包括收回岗位相关身份证件、钥匙、USB令牌以及为其提供的其他软硬件设备等,对设备上保留的数据进行安全处理,包括备份需要留存的数据以及删除不必要的数据。确保离职接替人员能够获取与离职人员岗位相关的资料。
-
调整身份属性和访问权限:根据身份变化,调整相关信息系统中的人员身份属性和访问权限。
-
工作秘密信息处理:离职时须根据工作要求将所持有的工作秘密信息移交指定人员,并办理相关手续,包括但不限于删除与工作秘密相关信息,并承诺离职后不在任何场所使用或者披露工作秘密信息。
转岗流程:
-
签署保密协议:如转为安全相关岗位的人员在转岗期间应签署保密承诺书。
-
调整身份属性和访问权限:根据身份变化,调整相关信息系统中的人员身份属性和访问权限。
-
保密协议:对于转岗人员,根据岗位需要,重新签署保密协议。
接下来出几道题目考考大家。
答案是啥呢?请留言。
原文始发于微信公众号(透明魔方):站在网络安全的角度看员工入职和离职
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论