防范內部安全威脅?數據長了腿，徑直走出大門

2015-11-13 09:11 作者：admin 瀏覽量：

　　剛剛成為我們客戶的一家大型診所的IT安全工作做得很差勁，簡直形同虛設。一開始，新的辦公室主任打電話給我們，說遇到了糟糕的情形，需要我們支持：一個不安全的無線接入點允許任何人都可以訪問該診所專用網絡上的數據。這位主任不知道的是，但我們的資產庫存管理工具后來查明，她所在地方少了一個銷售點終端。這個終端(Windows 7 PC)并不在樓內，但是我們用遠程監控和管理工具能夠發現它接入網絡。(網絡維護外包)

　　這種情況帶來了許多問題。比如在醫療系統中，診所在處理病人數據時，就要滿足《健康保險可攜性及責任性法案》(HIPAA)的要求：所有的電子個人健康信息(ePHI)應加以保護，以滿足嚴格的合規準則。在這種情況下，數據不僅有可能因這個不安全的接入點而泄露出去，那個失竊的銷售點終端也無疑在硬盤上含有包括病人信息的銷售發票。這兩種情況都可能會導致數據泄密，面臨政府罰金、名譽敗壞，因而讓公司蒙受慘重損失。

　　我們的遠程監控和管理工具能夠訪問那臺失竊的筆記本電腦，我們實際上遠程發現這一幕：有人使用真實姓名登錄到該筆記本電腦上。之后，我們搜索這個人，甚至查出了他的社交媒體帳戶，這讓我們知道了他的地址。你也猜到了，這個人與我們客戶之前招聘的一個人有關，那個人是合同工，擔任“IT專業人員”。由于工作性質使然，他可以攜帶設備徑直走出大門，公司管理很混亂，根本沒有注意到這個問題。我們使用工具更改了用戶的密碼，并關閉其帳戶。此后，那個人可能需要格式化硬盤，才能進一步使用那臺筆記本電腦。我們原本可以使用一款工具進去、刪除特定的ePHI文件，但客戶不知道那臺電腦上有什么，也沒有一套跟蹤記錄系統。（IT運維外包）

　　我們一直在竭力建議這家診所實施我們在IT安全方面建議采取的措施，可是到頭來，它顯然不愿意做該做的工作。由于HIPAA要求和責任同樣適用于服務于診所的IT安全提供商，我們在缺少信任后沒多久就結束了關系，覺得這家診所無法避免將來的類似問題。

　　其實防護措施很簡單

　　擁有敏感數據的企業組織明白保護自己遠離內外威脅很簡單，這點很重要。它可以采取的措施很簡單，又不費錢，也不會妨礙用戶的活動。如果公司方法得當，許多員工甚至不知道自己的數據受到了加密;就算員工突然決定實施盜竊，或者企圖以另一種方式對公司大搞破壞，也可以遠程防范。(電腦維護外包)

　　艾銻無限是中國領先IT外包服務商，專業為企業提供IT運維外包、電腦維護、網絡維護、網絡布線、辦公設備維護、服務器維護、數據備份恢復、門禁監控、網站建設等多項IT服務外包,服務熱線：400-650-7820 聯系電話：010-62684652 咨詢QQ2050684097；1548853602 地址：北京市海淀區北京科技會展2號樓16D,用心服務每一天，為企業的發展提升更高的效率，創造更大的價值。

　　更多的IT外包信息盡在艾銻無限http://www.maosdadas.net