【文章摘要】互聯網時代,一個小小的數據就可以左右公司的命運。本文介紹企業(yè)不可不知的信息防泄漏6條評估標準。
互聯網時代,一個小小的數據就可以左右公司的命運。這些數據在企業(yè)自己手里是制勝王牌,在對手手里就是毀滅自身的工具。為了保護這些機密數據,不少企業(yè)都開展了信息防泄漏項目。但是防泄漏建設就跟買保險一樣,不出安全事故,你永遠不知道項目是否完善。一直在為防泄建設評估犯難的你,接下來可要看好了,以下6條標準,讓你徹底檢查內部防泄體系究竟完善與否。
標準1:企業(yè)內部操作行為是否實現可視化
在信息防泄漏的"戰(zhàn)爭"中,相比于躲在暗處的泄密者和安全威脅,站在明處的企業(yè)顯然略失先機。但如果企業(yè)能夠做到預先防御,在對手出招之前采取針對性的保護措施,就能從根本上"轉被動為主動",做好內部數據安全防護。
因此,良好的信息防泄體系的前提就是要時刻掌握企業(yè)動態(tài),做到要有的放矢。很重要的一點是要實現內部操作的"可視化",以隨時監(jiān)測整個信息系統(tǒng)的安全狀況,做到迅速反應,甚至還能預測到潛在的風險,化被動防御為積極防御。
標準2:防泄漏建設是否從全局角度出發(fā),最大程度避免疏漏
安全領域中的木桶理論和馬其頓防線的故事相信大家都了解--無論怎么豪華的防線,一個漏洞就可以毀滅所有一切。在企業(yè)中,有時候可能是一個小小的 U盤就毀滅了幾百萬投資的努力,或者一封無意的郵件就能讓企業(yè)損失慘重。
因此,在解決安全問題之時,不能僅僅依賴透明加密等技術手段,"頭痛醫(yī)頭,腳痛醫(yī)腳"地堆砌不同安全產品及封堵安全漏洞,而是需要站在一個更高的戰(zhàn)略角度來通盤考慮。如果缺乏一個整體的分析視角,你可能會忽視或者低估某個安全攻擊的真正威脅,相應采取的安全措施也可能無法解決真正的問題。
所以,在實際的防泄漏建設中,我們必須從整體上來評估企業(yè)的信息安全狀況,運用統(tǒng)一的平臺來進行風險和安全管理,檢測出內部問題,從而描繪出整個企業(yè)當前安全情況的更清晰和更準確的圖景,采取針對性的防護措施,最大限度降低企業(yè)的安全風險。
標準3、 是否根據涉密程度不同,防護力度輕重有別
企業(yè)在構建立體化、全方位的整體信息防泄體系時并不是一刀切,不分輕重地在全公司范圍內采取相同的策略,這樣雖然看似達到了最為安全的效果,但對業(yè)務造成的巨大影響,以及因此產生的高額成本,對企業(yè)來說,都是巨大的負擔。
對信息安全來說,威脅和風險往往和高價值的信息資產聯系在一起,安全保護工作也就應該輕重有別,將重點放在高價值的信息資產上。什么是高價值信息資產?通過風險評估,你會知道,它是你業(yè)務依賴的信息系統(tǒng),無論軟件、硬件、服務還是人。那么,在安全建設過程中,對涉密程度高的部門或崗位進行力度大的防御,對涉密程度低的部門采取相應的安全防御。同時衡量提升安全性可能帶來的業(yè)務操作上的麻煩、企業(yè)安全成本等問題,是企業(yè)必須要做的事情。
比如透明加密的成本,以及對企業(yè)效率的影響遠高于審計和管控,在企業(yè)實施過程中,往往需要結合企業(yè)的實際情況,對三種技術手段整合運用:首先,在全公司范圍內進行安全審計,掌握企業(yè)操作,發(fā)現安全隱患;其次,對特殊崗位和部門,進行嚴格管控,限制信息的帶出;最后,在核心部門內部,對機密信息進行透明加密。這樣既可保證公司的正常業(yè)務運作,又能有的放矢地實現最優(yōu)化的信息防泄漏管理。對于企業(yè)來說,還大大節(jié)約了投資成本。
標準4、 能否及時發(fā)現安全威脅,實現動態(tài)性的防護
動態(tài)性的信息泄露防護,對于目前泄密手段日益增多的企業(yè)來說,非常重要。某些企業(yè)往往在安全事件發(fā)生之后才對現在的策略進行被動的調整。這種"吃一塹、長一智"的防護模式,對于企業(yè)而言,有可能是致命的。一旦出了安全事故,恐怕亡羊補牢,為時已晚。
企業(yè)需要建立一個動態(tài)性的安全防護,前瞻性地發(fā)現安全威脅,并通過對技術或管理上的策略進行及時調整更新,防范潛在的安全風險。如目前便攜設備發(fā)展迅速,智能手機、iPad等便攜設備日益成為企業(yè)的泄密威脅,在此基礎上,企業(yè)應該調整安全策略,對便攜設備的使用進行規(guī)范。
另外,企業(yè)內部的人事變動比較正常,人員的流動屢見不鮮,企業(yè)應收緊即將離職員工的文檔使用權限,確保機密文檔不被訪問和帶走。如果企業(yè)建立了動態(tài)性的信息防泄體系,就能在安全事件發(fā)生之前,從技術、管理等多方面更新措施,大大增強安全防護的前瞻性。
標準5、能否隨需而變,實現擴展性的體系
信息防泄漏可以看成是一場永無止境的戰(zhàn)爭--你剛剛應對完一次安全威脅,下一個威脅又接踵而至。IT部門作為企業(yè)信息防泄的神經中樞,必須能夠適應安全需求的不斷變化,迅速滿足新需求、快捷響應新威脅。如果企業(yè)只單純使用加密或監(jiān)控某一種技術手段,當新需求出現之時,IT部門不得不求助于新產品,重新選型、試用,操作流程復雜且安全風險增加。
所以,企業(yè)在建立信息防泄漏體系時,要確保該體系能夠根據新的需求實時擴展,無須重新選擇新的產品,只需加固同一管理平臺上的功能,就能進行更多防泄密功能的擴展,做到無縫集成,消除因選型遲緩而產生的安全風險。
標準6、 安全體系是否容易使用和維護
如今,市場上五花八門的信息防泄漏產品讓企業(yè)眼花繚亂,某些企業(yè)為了確保自己信息防泄漏高枕無憂,盲目地為自己配備上各種安全產品,并企望這種"強強組合"能給企業(yè)套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本,并增加了技術的復雜性,還容易導致產品軟件沖突等問題,企業(yè)雖然"裝"了安全產品,但根本"用"不了。
目前,能夠提供整體解決方案的單一安全產品成為一種優(yōu)良選擇,它能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺,無論是對企業(yè)安全邊界防護,到內部使用都做了整體、全面的考慮,而且簡化了日常的操作與管理,降低系統(tǒng)的資源占用,避免了軟件沖突等多種問題。使用和維護起來非常方便,大大節(jié)約了IT人員的時間和精力。這種產品為企業(yè)帶來諸多功能集成方案的易管理和高性價比優(yōu)勢,對于企業(yè)將具有更大的吸引力。
如果你的信息防泄漏建設符合以上6條檢測標準,那么你已經建立了一個完善的整體信息防泄漏體系,機密信息也得到了最大化的保護,實現了"成本、效率、安全"三者的最佳平衡,這也是近年來被大家認可的"整體信息防泄漏"理念的核心。實際上,信息防泄本身就是一種博弈,是企業(yè)和人的博弈。它是一場思維的交鋒,企業(yè)只有掌握了內部的行為操作,同時針對內部安全威脅建立全面、立體化的安全防護,信息防泄才會立于不敗之地。
京公網安備 11010502049343號