移動設備端數據丟失防護(DLP)方面的最佳實踐和技術旨在保護離開企業網絡安全體系的數據。眾多原因會導致數據遭到破壞或泄露:設備被偷、授權用戶無意中共享,或者不法分子通過惡意軟件或惡意應用程序,公然竊取數據。
由于越來越多的員工攜帶自己的設備到工作場所――無論他們有沒有得到IT部門的許可,與移動數據丟失相關的問題變得更加嚴峻了。在自帶設備(BYOD)情形下,擁有設備的是用戶,而不是企業;這樣一來,IT部門就更難實施和維護安全了。
任何訪問或存儲企業信息的移動設備都至少應該配置用戶身份識別和強驗證機制,應該運行最新的反惡意軟件工具,必須使用虛擬專用網(VPN)連接來訪問企業網絡。
此外,IT部門應該實施下列策略,為移動環境下的企業信息提供最有效的保護。
下面逐一探討這每個策略。
1. 數據備份:你知道該怎么做。
對于數據備份這個問題,我們沒必要太過詳細地討論。簡而言之,數據備份必不可少;必須定期備份數據;還必須測試因而生成的備份文件,確保必要時備份文件能順利恢復。
2. 用戶教育:用戶知道得越多,你的數據越安全。
對于大多數用戶來說,對他們進行安全教育、了解數據泄露的種種危險,是一種有用的、有價值的方法。無論你通過年度安全培訓、午餐研討會還是每月通訊來普及安全知識,都要對員工進行安全方面的教育。告訴他們什么是敏感信息,并且讓他們知道敏感信息是什么樣的。
一旦大多數員工明白了什么是“機密”信息,就會幫助保護企業的信息資產。他們還必須明白如果這類信息公之于眾,企業所面臨的后果:名譽受損、企業間諜活動、收入損失、監管部門罰款和處罰,甚至可能危及某些員工的人身安全。可能的話,展示本企業實際遇到的一些數據泄露案例,并仔細分析其他企業之前成為報章頭條的安全泄密事件。
3. 數據分類:只有誰有權查看?
在過去幾年,移動設備越來越廣泛地用于工作場所,風頭蓋過幾乎任何技術;這樣一來,數據分類的重要性備受關注。大多數移動DLP技術(見下文)依賴某種數據分類技術來防止數據泄露。貴企業應該先建立一項數據分類標準――要是之前沒有落實這種標準的話,然后盡快實施該標準。
分類體系由界定如何處理信息的幾大類組成。美國軍方分類體系包括三個分類級別:絕密級(Top Secret)、秘密級(Secret)和機密級(Confidential)。企業或教育分類體系可能使用高度敏感(Highly Sensitive)、敏感(Sensitive)、內部(Internal)和公共(Public)這幾類。(如果貴企業必須遵守監管某幾類數據的特定法律法規,就要將合適的措詞和措施加入到貴企業的分類標準中。)
由于信息有多種不同形式:文字處理文檔、電子表格和電子郵件、市場營銷、日常業務運作、高管信件和客戶服務電子郵件等,對一些信息進行分類可能有難度。此外,如何處理已針對其他用途而改變的文檔?比如說,要是某個被分為高度敏感這一類的文檔的一些部分用在其他地方,會怎樣?這些部分也應該被認為是高度敏感,還是它們需要一輪審查、可能需要重新分類?
要小心:數據標記和數據分類是兩碼事。標識表明了所需的保護級別,通常是添加到文檔本身上或元數據中的一個標記或注釋。比如說,你可以將“機密”這個單詞插入到文檔的頁眉或頁腳,或者將該單詞添加到文件的屬性表。另一方面,如果你對文件進行分類,可能使用標記,也可能沒有使用標記。
4. 策略:保護各種形式的數據
你的數據分類標準必須納入到貴企業的整體安全政策。使用和處理數據方面的政策必須很明確,你選擇的方法將決定處理數據的成本。
安全政策、標準和程序確定了數據和信息方面的不同要求,這取決于數據在生命周期所處的狀態(創建、訪問、使用、傳輸、存儲或銷毀)。目的在于,保護在不同的處理環境(包括系統、網絡和應用程序)下,各種介質上的各種形式的數據。
確保你的政策已明確:信息使用者個人有責任遵守所有的政策、標準和程序,否則將追究其責任。
5. 移動DLP軟件:監控移動用戶。
許多移動DLP產品提供了監控功能,這讓IT部門可以查看移動用戶訪問的數據及/或從企業服務器下載的數據。移動監控的優點在于,它提供了預警信號,這讓IT部門有機會對可能違反安全或政策的行為采取行動。不過,辨別一般的干擾活動和真正的安全威脅需要時間,所以它的用途常常更像跟蹤分析行動的日志。面臨的挑戰是,首先是有選擇地防止敏感信息被傳輸到移動設備或存儲到移動設備上。
來自賽門鐵克、邁克菲和Websense等知名DLP應用軟件和設備供應商的最新產品提供了數據分類功能,可以標記信息和文檔(元數據標記),另外提供了移動設備與企業服務器進行聯系時,分析并過濾內容的功能。
這些技術被稱為內容感知技術,對企業發放的設備和員工擁有的設備都非常有用。比如說,它們基于移動DLP政策,可以防止某些電子郵件、日歷事件和任務通過微軟Exchange服務器與智能手機或平板電腦進行同步。這些技術讓管理員能夠區分個人電子郵件和企業電子郵件,并防止企業信息被存儲到移動設備上。
一些產品可以基于用戶或用戶群,而不是基于設備ID,防止敏感信息被傳輸到設備上。管理員只要為銷售用戶群和營銷用戶群,或者為用戶03、用戶04和用戶07設置移動政策。你還可以在市面上找到支持基于角色發送消息的解決方案,以滿足軍用要求。
內容感知的DLP與移動設備管理(MDM))決方案兼容。根本不需要在移動設備上安裝什么東西;DLP軟件可以利用MDM配置,強迫設備與企業網絡建立VPN連接。DLP技術負責掃描和分析內容,并執行政策。
虛擬化環境同樣可以受到保護。比如說,DeviceLock提供了名為Virtual DLP的數據泄露防護功能,這項功能可以保護本地虛擬機、基于會話的桌面和應用程序以及流桌面和應用程序。Virtual DLP支持思杰XenApp、思杰XenDesktop、微軟RDS和VMware View。
京公網安備 11010502049343號