站在网络安全的角度看员工入职和离职

admin 2024年11月27日16:56:28评论30 views字数 1458阅读4分51秒阅读模式

今天去客户现场,有个相熟的工程师给我爆料了一个信息:该客户一个重要系统的大量数据被红队拿到,原因是一个做外包开发项目离职人员的账户密码不知道怎么被社工库捕捉到了。。。。。

幸好只是红队拿到而已,如果是被恶意人员拿到,后果真的让人不愿多想。

我比较了解这家客户,他们基本上不太严格按照安全制度来执行的,甚至可以说基本上也没啥安全制度(每次遇到啥检查,我都一把鼻涕一把泪的给他们赶制度材料)原因主要还是和负责人的安全意识有关系,我就不多说了。

因为这个事件让我想起了员工入职和离职需要注意的问题,所以这篇文章我主要站在安全的角度说说员工入职和离职的问题。

理想情况下,我认为,不管是这家单位的正式编制人员还是说外包团队人员,只要做了这家单位的相关开发运维工作,在入职时就需要签署保密协议(NDA nondisclosure agreement)。然后参加安全意识相关培训,使其知道哪些可以做哪些不可以做,做了不该做的事情引发了严重后果应该承担什么样的责任,防止在职或已离职的员工泄露机密信息。

接着需要给其一个账号,这个账号应该按最小特权原则分配访问权限,而不是大家在访问服务器的操作系统时都用root或其他共享账号登录(我所知的这家单位的开发团队在访问操作系统时,都是用共享账号root登录的)

员工离职时,需要把其账号保留半年后从系统中删除(当然,其他的门禁卡、电脑啥也要回收了),有的账号可能不好删除,那么需要禁用或做别的操作,比如拿走他手里的Ukey或更换密码等。

为啥我建议账号还要保留半年,因为如果员工离职后发现了安全问题但是日志事件无法关联到实际账户,会导致追溯非常麻烦,难以问责。

这家单位数据被红队拿到的原因就是离职员工的账号居然还能使用(离职员工的账号密码是否被离职员工蓄意或无意传到网上也不得而知了),虽然我用了"居然"这个词,但实际上确实有很多这种情况发生,比如很多小公司员工离职了,但是仍然可以用管理员的身份登陆到内部系统中,不发生问题还好,一旦发生问题就。。。。

站在安全的角度,列一下入职和离职的流程:

入职流程:

  1. 背景调查和资格验证:对被聘用人员的身份、安全背景、专业资格或资质等进行审查

  2. 签署网络安全承诺书所有安全相关工作岗位员工均需签署《网络安全岗位承诺书》,明确其在岗位上的安全责任

  3. 网络安全培训新员工在正式上岗前,应接受网络安全培训,明确岗位所要求遵守的网络安全管理制度、技术规范以及操作流程

  4. 配置账号:设置权限,最小权限设置。

离职流程:

  1. 终止访问权限及时终止离岗人员所涉及网络或信息系统的访问权限。

  2. 离职交接包括收回岗位相关身份证件、钥匙、USB令牌以及为其提供的其他软硬件设备等,对设备上保留的数据进行安全处理,包括备份需要留存的数据以及删除不必要的数据。确保离职接替人员能够获取与离职人员岗位相关的资料。

  3. 调整身份属性和访问权限根据身份变化,调整相关信息系统中的人员身份属性和访问权限

  4. 工作秘密信息处理离职时须根据工作要求将所持有的工作秘密信息移交指定人员,并办理相关手续,包括但不限于删除与工作秘密相关信息,并承诺离职后不在任何场所使用或者披露工作秘密信息

 

转岗流程:

  1. 签署保密协议:如转为安全相关岗位的人员在转岗期间应签署保密承诺书。

  2. 调整身份属性和访问权限根据身份变化,调整相关信息系统中的人员身份属性和访问权限

  3. 保密协议对于转岗人员,根据岗位需要,重新签署保密协议

 

接下来出几道题目考考大家。

站在网络安全的角度看员工入职和离职

站在网络安全的角度看员工入职和离职

答案是啥呢?请留言。

 

原文始发于微信公众号(透明魔方):站在网络安全的角度看员工入职和离职

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月27日16:56:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   站在网络安全的角度看员工入职和离职http://cn-sec.com/archives/3442065.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息