企业安全：员工行为难管控〔一〕.docx

《企业安全：员工行为难管控〔一〕.docx》由会员分享，可在线阅读，更多相关《企业安全：员工行为难管控〔一〕.docx（7页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、企业安全：员工行为难管控一-网络安全频道次元立方网-国内领先安全技术频道-最新IT资讯_电脑知识大全_网络安全教程-次元立方网最近想讲一些我看到企业安全最严重威胁和运营痛点，不出意外，这会是一个系列，里面讲到的所有观点和案例，都是通过实践而来，会基本覆盖我的核心安全观。天天只写1000字左右，没写完的痛点拆开写，文章后面附上一张我们给客户的安全意识墙面小贴士。以往，不管是安全甲方还是乙方，安全工作都是围绕应用跟操作系统去做，比方WAF、IPS、SDL等，解决的都是系统跟应用的问题，所以应用跟操作系统的漏洞越来越少。而唯独只要我跳出来做一家公司解决人的问题，由于在近年我通过浸透测试服务发现，最大

2、的问题不在于系统和应用，而在于人，一切问题都源自于人，人的行为和意识错误导致漏洞频出，今天就讲讲员工的行为难管控的问题。员工行为难管控体如今如下几个方面，有没有发生过此类事件可自行对号：1、滥用云笔记及网盘重灾区将vpn密码、wifi密码、服务器密码、阿里云或运营后台密码记录在个人云笔记、网盘、icloud，技术岗位的人最爱干这事，而且这个行为一旦犯了就会导致企业被直接入侵，什么waf、ips在这种情况下都是摆设。互联网企业的员工，基本上70%以上的员工都会用这些东西，十分是权限多的研发、运维岗位，在以往给客户施行浸透测试服务时，通过这种方式屡试不爽，越是大公司在这块威胁越大，为什么？由于员工

3、多啊，总有X一样的队友。假如员工在公司办公，则能在路由上就能对这些云服务进行禁止访问，但是有几个员工不会把电脑带回家办公呢？这种情况下很难限制员工的行为。来看看乌云上的案例。a、极客学院某员工印象笔记b、豌豆荚某员工印象笔记2、将公司代码存储在Github、oschina、Bitbucket等。这个行为是研发岗位常犯的错误，略微大一点的互联网企业几乎无一幸免，能够去乌云网搜索一下github看看结果。这些泄露的代码有什么危害呢？代码里面包含的邮箱密码、数据库密码，一旦被搞浸透的人拿到，直接登陆企业邮箱，翻到VPN密码，连接数据库，轻轻松松就能把数据库给拖掉，这样的案例过多过多。a、金立员工将代

4、码存放到github。3、员工企业邮箱与外部个人账号密码一致。密码通用的习惯，据经历大概95%以上的人都这么干，在早之前曝光的网易5亿的会员数据泄露等此类事件，曝光的任何一份数据其实在N年前就已经在地下流传，只是有的人不多，民间有的人甚至将国内知名企业都入侵了个遍，手上偷回来的数据达大几十亿条。试想，中国网民才多少，也就意味着，你只要一出生，别人手里就拿着你的信息，你只要一上网，别人就知道你密码是多少！永远都不要在这些人面前谈隐私两个字，人家只会在心里呵呵一下。一个技术岗位的员工，像研发、运维、测试、安全，或者非技术岗位的客服、运营，员工入职的时候，交接文档有没有？交接文档里面有什么？服务器密码、后台地址密码、阿里云密码等等，不仅有，还注释的清清楚楚、明明白白。另外技术岗位基本都有VPN权限，邮件列表里面一搜VPN，密码妥妥的，就算没有，随意编个理由给网络负责人发个申请VPN的邮件，一会儿的时间妥妥的给你把VPN开通好。今日结束，等待明日，敬请关注微信公众号【互联网安全与创业】。企业安全墙面小贴士：