在企業(yè)從選擇信息防泄漏方案到最終部署完成,運(yùn)行維護(hù)的過程中,總會遇到許多問題,這些問題是眾多企業(yè)和業(yè)界共同關(guān)注的,是關(guān)系到信息防泄漏方案能否成功應(yīng)用并發(fā)揮高效的關(guān)鍵。溢信科技作為內(nèi)網(wǎng)安全領(lǐng)域的領(lǐng)軍企業(yè),見證了許多企業(yè)的信息安全部署歷程,也為許多企業(yè)在關(guān)鍵難題上提供了有力的解決方案。在溢信科技2011-2012企業(yè)級信息防泄漏大趨勢中,介紹了過去的一年,內(nèi)網(wǎng)安全行業(yè)在需求、功能、參與者等方面的變化,下面就企業(yè)在信息防泄漏方案應(yīng)用過程中最常遇到的五個難題,予以分析與解答,以供參考。
在眾多的信息防泄漏方案中,哪一種才是最適合企業(yè)自身的,強(qiáng)審計(jì),邊界封堵,信息過濾,還是加密?
目前內(nèi)網(wǎng)安全市場產(chǎn)品混雜,名號眾多,企業(yè)在選擇信息防泄漏方案的時候,難免會眼花繚亂,無所適從。其實(shí)企業(yè)在部署信息安全方案時,還是要從對自身實(shí)際情況出發(fā)。要想知道哪種信息防泄漏方案是最適合自己,就必須首先弄清楚企業(yè)本身的安全需求,只有清楚地知道自己需要什么,才能找到真正適合自己的信息防泄漏方案。
首先得列出企業(yè)的需要保護(hù)的機(jī)密數(shù)據(jù),比如源代碼、設(shè)計(jì)圖紙等,這些數(shù)據(jù)放在什么地方?什么人會接觸到這些數(shù)據(jù)?企業(yè)里面可能存在的泄密渠道有哪些?在充分了解自身的信息安全需求的基礎(chǔ)上,企業(yè)才能針對性地對進(jìn)行信息防泄漏部署。
而事實(shí)上沒有哪一種單一產(chǎn)品可以幫助企業(yè)解決所有問題,不同的產(chǎn)品有不同的側(cè)重點(diǎn)。加密產(chǎn)品對于擁有自己核心的知識產(chǎn)權(quán)的公司或者公司的核心部門來說效用更大,因?yàn)橹R產(chǎn)權(quán)是這些公司的核心競爭力,安全要求高,稍有疏忽便可能損失巨大,所以必須要部署高強(qiáng)度的保護(hù)措施。邊界封堵是對公司網(wǎng)絡(luò)出口和各種移動設(shè)備進(jìn)行控制,防護(hù)等級要比加密低,但是要防止企業(yè)的重要信息隨意流出,。信息過濾更多的是國外DLP產(chǎn)品的思路,在國內(nèi)市場實(shí)際應(yīng)用性并不高。
于是有企業(yè)想到把各個領(lǐng)域的功能強(qiáng)大的產(chǎn)品集中到一起,以期強(qiáng)強(qiáng)聯(lián)合,萬無一失,但實(shí)際上簡單地把各個功能強(qiáng)大的產(chǎn)品集合到一起,又往往容易發(fā)生兼容性等問題,結(jié)果強(qiáng)強(qiáng)聯(lián)合之后反而發(fā)揮不出正常的效果,所以統(tǒng)一平臺集中管理是一個企業(yè)選擇信息防泄漏方案非常值得考慮的一點(diǎn),這樣還有利于企業(yè)的防御擴(kuò)展。
總之部署信息防泄漏方案要充分考慮眼下的問題,還要考慮到未來可能的功能需求,綜合考慮才能找到最適合的方案。
企業(yè)應(yīng)該如何調(diào)和部署信息防泄漏方案過程中面臨的效率、安全和成本三者之間的矛盾?
效率、安全和成本的矛盾是企業(yè)經(jīng)營過程中經(jīng)常面對的一個命題,在信息防泄漏方面當(dāng)然也不例外,如何調(diào)和三者,往往會決定企業(yè)一項(xiàng)部署最終的成效。
首先從理念上講效率、安全和成本是一個既矛盾又融合的綜合體,脫離任何一個去談其他兩個都意義不大。其實(shí)安全并不是一個絕對的概念,高效率的背后往往意味著高風(fēng)險,安全與效率之間只能是去找到二者之間的平衡,在滿足安全需求的同時,讓辦公效率也在可接受范疇之中,這就是最好的調(diào)和。部署信息防泄漏系統(tǒng)必然或多或少地對企業(yè)系統(tǒng)有一些影響,以加密而言,除了會對計(jì)算機(jī)系統(tǒng)有影響,其本身的工作效率也是與穩(wěn)定性掛鉤的,加解密效率高,相應(yīng)的穩(wěn)定性與安全性就會相對低一點(diǎn)。但這不因此就成為一個死結(jié),企業(yè)只要讓兩者處于可接受范圍內(nèi)即可。
其次從技術(shù)上講,要調(diào)和效率、安全和成本三者之間的矛盾,就要針對企業(yè)的實(shí)際情況進(jìn)行有的放失的部署。企業(yè)中不同的部門有不同的安全需求,所以防護(hù)力度輕重有別是必然的,越嚴(yán)格的安全管控對企業(yè)的辦公效率的影響越大,所以企業(yè)必須非常清楚本身的安全需求的細(xì)節(jié),從每個環(huán)節(jié)中去提高效率,最終才能追求整體上的高效率。而信息防泄漏方案的成本主要來源于加密產(chǎn)品,所以企業(yè)要確認(rèn)真正需要高強(qiáng)度加密保護(hù)的核心機(jī)密信息,而不是一密全密。
另外信息防泄漏方案的順利運(yùn)行還需要相應(yīng)的規(guī)章制度與管理的配合,好的管理會提高信息防泄漏系統(tǒng)運(yùn)行的效率,人與技術(shù)加在一起才能稱作效率。比如說企業(yè)中的移動存儲管理,從技術(shù)上說是可以對移動存儲進(jìn)行識別與控制,但如果沒有嚴(yán)格的管理制度,企業(yè)里面還是會發(fā)生U盤泛濫的現(xiàn)象。
企業(yè)在選擇信息防泄漏方案時,只要明確自己的底線,在底線之上企業(yè)不必過于糾結(jié)三者之間的矛盾,況且隨著技術(shù)的革新,這種矛盾必會得到逐步改善。
企業(yè)怎樣才能卓有成效地實(shí)施推進(jìn)信息防泄漏方案?
目前越來越多的企業(yè)意識到內(nèi)網(wǎng)安全的重要性,紛紛開始著手部署相關(guān)產(chǎn)品。但是由于內(nèi)網(wǎng)安全建設(shè)經(jīng)驗(yàn)不足,大家在選擇與部署相關(guān)產(chǎn)品和方案時很茫然,如何選擇適合自己的方案,怎樣讓方案從最開始的計(jì)劃書變成最終高效運(yùn)行的企業(yè)系統(tǒng),是大家面臨的一個重要課題。
一個項(xiàng)目的順利實(shí)施離不開全面詳細(xì)的規(guī)劃與科學(xué)的管理。要使信息防泄漏方案能夠卓有成效地實(shí)施,必須從一開始就要進(jìn)行嚴(yán)密的分析與科學(xué)的選擇。從流程上來講主要有以下幾點(diǎn):
首先最好成立專門的項(xiàng)目組,確定各自的工作內(nèi)容。
然后要弄清楚企業(yè)的信息安全需求點(diǎn)。為什么要部署信息防泄漏方案?是為滿足國家信息安全保護(hù)要求,還是身處在一個商業(yè)機(jī)密泄露高發(fā)行業(yè)?企業(yè)的重要數(shù)據(jù)在哪里?是研發(fā)部?還是設(shè)計(jì)部?誰可以接觸到它?企業(yè)中可能存在的泄密渠道有哪些?網(wǎng)絡(luò)通訊還是移動存儲設(shè)備?等等,最終落實(shí)到項(xiàng)目需求分析書中。
再根據(jù)項(xiàng)目需求分析來設(shè)計(jì)實(shí)施計(jì)劃,詳細(xì)的安全保護(hù)策略和配套的安全管理制度。這個階段涉及到產(chǎn)品選型,企業(yè)在選擇產(chǎn)品的時候,除了考慮效率、安全性、穩(wěn)定性、兼容性等技術(shù)指標(biāo)外,還應(yīng)該考慮廠商的研發(fā)能力、行業(yè)成功案例、售后服務(wù)等因素,綜合實(shí)力強(qiáng)的廠商可信度更高。
接下來是信息防泄漏方案的部署與測試。這個環(huán)節(jié)要注意科學(xué)的管理,人員的選擇,進(jìn)度的把握等等。如果是按模塊進(jìn)行部署的,可以在每個模塊部署后及時進(jìn)行測試與驗(yàn)證,以便發(fā)現(xiàn)問題與解決。
最后在信息防泄漏系統(tǒng)運(yùn)行與維護(hù)時,要注意與管理相結(jié)合,正所謂“七分技術(shù),三分管理”,只有與管理配合,信息防泄漏方能達(dá)到最佳效果。
信息防泄漏解決方案怎樣才能囊括對企業(yè)原有的ERPPLMOA等業(yè)務(wù)系統(tǒng)中數(shù)據(jù)的保護(hù)?
隨著企業(yè)信息管理系統(tǒng)的普及,應(yīng)用系統(tǒng)的安全問題日漸成為企業(yè)的一個重要需求點(diǎn),這些系統(tǒng)往往存儲著企業(yè)重要的數(shù)據(jù),而且訪問量大,用戶身份雜,所以必須進(jìn)行控制。實(shí)際上內(nèi)網(wǎng)安全系統(tǒng)與企業(yè)原來的應(yīng)用系統(tǒng)并不存在不相容的問題,內(nèi)網(wǎng)安全系統(tǒng)的作用之一就是要保護(hù)存儲于ERP/OA/PLM這些系統(tǒng)中數(shù)據(jù)的安全。目前來說可以從以下兩方面進(jìn)行安全部署:
一是充分利用好這些應(yīng)用系統(tǒng)本身的權(quán)限控制機(jī)制,嚴(yán)格分配不同人員的權(quán)限及流動人員的權(quán)限管理,這是最基本的。
二是可以在這些系統(tǒng)前部署加密安全網(wǎng)關(guān),對系統(tǒng)訪問的權(quán)限進(jìn)行嚴(yán)格的控制,確保只有經(jīng)過認(rèn)證的程序和用戶可以訪問,這樣既可以保證數(shù)據(jù)的正常使用,又可避免數(shù)據(jù)在終端泄露;同時也要對打印、復(fù)制等行為進(jìn)行適當(dāng)管控,并且對操作進(jìn)行詳盡的審計(jì),便于隨時核查。
企業(yè)應(yīng)該怎樣看待審計(jì)在信息防泄漏體系中的角色?如何才能避免審計(jì)帶來的隱私難題?
雖然審計(jì)功能已經(jīng)出現(xiàn)一段時間,但其實(shí)一直處于被忽視的位置。不少企業(yè)認(rèn)為審計(jì)除了在事故發(fā)生后用于溯尋原因,無其他重要用處。是一個誤解,實(shí)際上審計(jì)應(yīng)該說是企業(yè)部署信息防泄漏方案的基礎(chǔ)。部署前審計(jì)幫助企業(yè)發(fā)現(xiàn)存在的問題,應(yīng)用過程中審計(jì)幫助企業(yè)掌握網(wǎng)絡(luò)實(shí)況,最后審計(jì)是企業(yè)檢驗(yàn)效果與實(shí)行改進(jìn)的依據(jù)。可以說,審計(jì)就是企業(yè)信息安全的晴雨表,但如何將審計(jì)的作用發(fā)揮到最大,同時避免有關(guān)隱私的法律問題,需要企業(yè)做好以下幾方面。
1、要明確審計(jì)的范圍,比如是不是需要審計(jì)所有的內(nèi)容,還是只審計(jì)上網(wǎng)就夠了?從安全角度來說是越全越好,但從合理性角度來說,不該審計(jì)的,就不應(yīng)該去碰;
2、對審計(jì)人員的權(quán)限,要有所限制。誰有審計(jì)的權(quán)限,什么情況下可以審計(jì),需要走什么樣的流程,都該有成文的規(guī)定。由于審計(jì)人員擁有直接查看可能涉及到隱私的信息的權(quán)限,就有必要對其審計(jì)行為進(jìn)行再審計(jì)。
3、要合理利用審計(jì)的來的信息,善于將得到的信息根據(jù)自己的需要做成高度可視化的報表,反映出關(guān)鍵的問題,為決策提供指導(dǎo)。
4、從實(shí)施的角度來說,最好做到告知義務(wù),同時形成制度性,在員工入職時進(jìn)行保密協(xié)議等的簽署和公司制度、安全制度的培訓(xùn)。
相信隨著審計(jì)本身的功能(如報表)的強(qiáng)大,越來越多的企業(yè)會認(rèn)可它的重要性,也會花更多時間與精力去研究與應(yīng)用它。
以上五個問題是溢信科技在2011-2012調(diào)研數(shù)據(jù)中精選出來的,企業(yè)在部署信息防泄漏方案時最常面對的幾個難題,但是答案顯然是不足以解決所有問題的。信息防泄漏建設(shè)不是一蹴而就的,需要企業(yè)結(jié)合自身的實(shí)際情況慢慢地去探索。未來隨著新技術(shù)的發(fā)展,企業(yè)面臨的網(wǎng)絡(luò)必然更加復(fù)雜,而業(yè)務(wù)的發(fā)展也必然會要求企業(yè)的內(nèi)網(wǎng)具有更大的開放性,信息安全是企業(yè)發(fā)展一項(xiàng)基礎(chǔ)性工作,企業(yè)必須真正重視起來,并投入足夠的人力物力進(jìn)行研究與執(zhí)行,才能找到適合自己的卓有成效的信息防泄漏方案。