解析内部人员破坏网络安全的五种途径

　　随着IT和通信系统在组织内的日益复杂，就需要更多数量的雇员、合约人、托管服务供应商来维护系统和网络。一些单位对于内部人员可以自由地访问公司重要网络资源的现象漠然视之，并没有意识到这种做法造成的高风险。

　　企业应当像监视外部人员一样监视内部人员。然而由于工作上的原因，内部人员可以对公司资源拥有一些特许的访问，这样规范内部人员的网络行为就成为一件极具有挑战性的事情。下面我们列示内部人员访问网络资源的五种方法及其可能造成的威胁，IT管理人员应当对此采取相应的防护措施。

　　宽带modem

　　现在许多单位仍采用宽带modem上网，但对此却缺乏集中管理，再加上口令简单、容易猜测，有的单位长期不更换口令，这就为某些雇员提供了随意进入网络的机会。有的单位为了解决这个问题，在不用modem时就将其拨掉，需要时再安装上去。但有时企业需要做一些维护，如在发生灾难时需要从远程恢复关键系统。

　　考虑到modem是必须的，企业必须将运用于其它远程网络访问点的安全措施和身份验证措施扩展到modem上。企业可以将双因素认证措施扩展到modem上，或者用更新的设备替换旧设备，也可以采用支持多因素认证的更安全设备。这些措施都可以提供恰当的、高效的保护。

　　开放的文件传输

　　多数单位使用开放的文件传输。内部的技术人员和厂商利用这种不安全的、未受限的访问来诊断故障，并实施恰当的修复并纠正问题。然而，他们也可能利用这种自由改变文件、删除关键的组件或破坏系统(不管是有意为之还是无意这样做)，结果导致系统无法运行、网站受到破坏、数据被窃及其它的损害。

　　不满的内部员工或者以前的雇员可能拥有做出上述举动的知识和动机，但是，一个内部人员的威胁可能会造成更棘手的问题。即使雇员的意图是好的，他也有可能粗心大意或犯一些无意的错误。同样地，保护信息资产要求企业可以控制谁可以上传和下载文件，并可以很轻易地记录对系统文件的改变及作出这种改变的人员。

　　从传统上看，限制和监视开放的文件传输要求在每台机器上都设置独立的许可，这给IT部门造成了诸多麻烦。然而，新的技术，如厂商访问和控制(VAC)系统，可以限制访问和监视特定系统的活动，有的产品还可以监视整个组织范围内的活动。

　　开放的telnet和SSH端口

　　使用第三方系统来远程访问及诊断系统故障的公司应当保障telnet和SSH端口的安全，或完全关闭这些端口。如果没有设置恰当的保护，远程技术人员就可以通过一个内部的IP地址而到达网络上的任何位置，而公司却对此毫不知情。

　　假定远程技术人员拥有公司IP地址分配方案是危险的事情。基础结构设备经常要共享容易猜测的设备，这使得内部人员访问可以轻易地未获得授权的设备。

　　我们建议公司限制第三方通过telnet或ssh访问公司典型的服务范围之外的系统，除非这种会话能够得到记录或有团队成员的保护。作为选择，许多组织使用中间系统来构建这些会话的一个代理服务器，这就提高了控制和跟踪的必要水平。

　　服务器控制台端口

　　技术人员经常要连接到控制台端口，特别是在路由器和Linux/Unix服务器上。为了提供可升级的服务，公司典型情况下会用终端服务器连接到串行端口。然而，默认情况下，终端服务器提供了最少的安全性。

　　通