随着各种网络应用在企业中的普及,安全问题已经是CIO必须面对第一个迫在眉睫的事情。而账户管理是做好企业网络应用安全管理的基础。
CIO在管理企业网络应用帐户的时候,主要遇到以下问题:
一是各类账户种类繁多,管理工作量大。企业现在往往不只一种信息化应用。如可能有邮件服务器、文件服务器、CRM服务器等等,登陆到这些服务器都需要用户名与密码。如一企业平均有一百名员工需要用到这些应用服务器的话,那就有300个用户名与密码。而为了信息的安全性,一般的话,各种网络用户可能用户名相同,但是,密码往往需要设置成不一样。如此的话,即使一个用户名与密码泄露了,也不会影响到其他系统的应用。如此,CIO就必须面对如此庞大的用户名与密码。如何有效的对此进行管理,这是CIO在用户名与密码管理中,遇到的头一个难题。
二是员工跳槽离职频繁。有的员工三个月试用期还没有到,就离职了。这就给CIO另一个难题,对于离职员工的账户如何进行有效的管理。在很多系统中,如ERP或者CRM管理系统,离职员工的账户往往不能一删了之。因为删除后,他们以前所建立的单据,将找不到主人。所以,系统会采取种种限制,禁止用户删除以前员工的账户。
针对这些复杂的情况,我们CIO有什么好的解决方法吗?下面,笔者提一些网络应用帐户的管理小技巧,或许能够给大家带来一些启发。
技巧一:将转正员工与非转正员工的帐号进行隔离。
相对来说,在三个月内的试用期内员工,其稳定性不是很大,而且,其对于公司的管理制度也不是很熟悉,很容易触犯IT部门的信息安全管理制度。所以,无论是出于企业信息安全的考虑,还是企业网络账户管理方面的需要,最好能够将转正员工与非转正员工的帐号进行隔离。
如笔者所在的企业,人事部门规定其试用期一般为两个月。所以,笔者在设置操作操作系统登陆账户的时候,做了两个规定。一是对于这些没有过试用期的员工,其操作系统的权限只有普通用户的权限,不能对操作系统进行任何的修改,包括安装软件。二是利用系统自己的账户管理策略,对于这些未过试用期员工的账户,其用户名与密码自动在两个月后失效。除非,在两个月员工试用期满后,人事部门通知IT部门该员工正常转正,否则的话,该员工在两个月后,将不能使用公司的电脑。
将转正员工与非转正员工的帐号密码隔离开来,可以给我们带来如下的好处。
一是可以保障离职员工的账户不被滥用。如笔者企业销售部门的编制是一个业务人员配备一个销售助理。而各个业务人员的客户信息、订单信息、价格信息在业务员之间是彼此保密的。此时,公司就要求到某个销售助理若试用期未过,其账户就要失效。否则的话,就可能给其他员工有机可乘,当其人不在的时候,就利用其账户与密码,登陆系统,偷取重要资料。而作为信息部门,本时也没有这么充裕的时间,来管理这些账户。为此,我们如果可以借助操作系统自己的密码管理策略,相信,可以帮助企业信息部门,做好非转正员工的密码管理工作。
二是可以提醒信息部门,改善安全体系。像笔者所在的企业,转正员工与非转正员工在IT管理上有很大的区别。如在员工进行转正之前,信息部门还需要单独对其进行信息化安全以及应用软件操作的培训。而此时,在员工即将要转正之前,人事部门或者员工自己将会主动提出,其试用期快要到期了。也就是说,此时信息部门不用再去关心什么时候对他们尽心培训或者更改用户权限,员工自己会自动请缨,这就方便了我们的工作。
故,笔者认为将转正员工与非转正员工的帐号与密码进行独立管理,这可以提高企业的信息的安全性。
技巧二:对于关键应用密码要进行定时更新。
笔者企业为了方便出差员工对于企业内部系统的访问,以及在家仍然可以办公,专门设立了VPN服务器。如此的话,员工无论在何时何地,只要能够上网,就可以像在公司办公室里一样,访问企业内部的网络资源,包括各种应用服务器,如文件服务器等等。
但是,虽然这给员工带来了工作上的便利,但是,其也给公司的安全工作带来了非常大的隐患。
如有的员工不小心把账户名与密码泄露出去,导致非法的用户登陆企业的内部网络进行访问,给企业的数据安全与网络安全造成了不小的破坏。如有的员工在网吧中利用VPN服务器登陆企业的内部网络,这对于VPN文件服务器来说,是一种非常不安全的访问方法。就像网上银行一样,在公共场所使用这些技术,都会有非常大的安全隐患。
为了保障VPN服务器的安全,笔者在VPN服务器的管理上,对于用户名与密码,进行了强制的定时更新策略。
如笔者采用VPN服务器的登陆密码每天强制更新一次。服务器会把更新后的密码发送到员工的邮箱中。如此的话,用户需要登陆文件服务器的话,只需要打开邮箱就可以看到邮件的内容。这么设计的话,就算员工在不经意之间把VPN服务器的密码泄露出去,第二天也就失效了。也就是说,其取道密码的时候,这个密码很可能已经失效,一无用处了。
其实,不仅在VPN服务器上可以采取这种策略,在其他应用服务器上,如邮箱服务器、操作系统登陆账户等等,都可以采取强制密码更新策略。当密码快到期的时候,提醒用户更改密码。若到期不更改密码的话,员工将不能再登陆系统。通过这种强制的方法,可以提高员工的安全观念,也可以把密码泄露的损失降至到最低。
技巧三:确保公司离职员工的权限及时撤销。
在平时的帐号管理中,我们要及时把离职员工的权限取消掉,因为我们不想让公司受到心怀不满的员工的威胁。
由于系统的本身限制,我们可能不能够直接把离职员工的账户与密码删除。如笔者企业上了ERP系统。在ERP系统中,是不能把员工帐号直接删除的。因为其可能建立过单据。若把他们的帐号删除的话,则该单据将不会显示创建者。故,ERP系统在设计的时候,若找到该员工创建过其他单据,就不允许用户删除该账户。故,此时,员工若离职的话,我们无法直接把该账户删除。
但是,基于WEB模式的ERP系统,即使员工不在企业办公室内,员工只要有用户名与帐号,则其也可以正常的对ERP系统进行访问。而有些员工在离职后,可能会对公司抱有不满情绪,就可能会做一些破坏工作。不怕一万,就怕万一,我们要对这种情况进行有效的防治。故,笔者企业员工在离职的时候,需要到我们的IT部门进行签字。除了收回电脑相关的硬件设备之外,重要的一个因素,就是信息部门可以及时掌握离职员工的信息,可以取消他们的权限。如员工离职后,可以在ERP系统中,把该员工的帐号改为“不活跃”或者“更改密码”。如此的话,该员工离职后,就部门再访问这个ERP系统了,如此,也就可以避免他们离职后因为不满情绪而给企业造成不可挽回的损失。
对于账户与密码管理,还有以下几个原则或许大家可以借鉴。
一是在有必要的时候,可以采用密码复杂性验证。一些容易记忆的密码,如666666等等,这些密码设置了等于没有设置。在企业安全性比较高的应用上,如文件服务器上,我们可以考虑设置一些密码复杂性验证,如用户设置密码的时候,必须数字与字符结合的方式等等。
二是不要为了管理上的方便,设置一些容易破解的密码。如公司上了邮件服务器,有些IT管理人员为了工作的方便,喜欢在公司内部采用统一的密码或者跟账户名相同的密码。这种设置的话,密码设置了等于没用。任何员工,只要掌握这个规律的话,则就可以随意的登陆他人的邮箱。这是一个非常危险的不作为。
三是不要为所有的应用设置同一个用户名与账户。如企业可能只有经理级别才能够使用VPN服务器。若此时,在VPN服务器上账户名与密码与ERP系统一样的话,则万一ERP系统的帐户名与密码泄露的话,则其他员工就也可以利用这个账户登陆VPN服务器了。而有时候,经理为了工作的方便,可能会把自己的ERP帐号与密码告诉给手下的员工。所以,在任何情况下,把要把各种应用的帐号与密码设置成一致,这会给企业的信息安全带来极大的隐患。