隨著信息技術(shù)不斷地更新,電腦終端與移動存儲設(shè)備之間具備了轉(zhuǎn)移海量信息的能力,這就意味著在企業(yè)不知情或不同意的情況下,把機(jī)密數(shù)據(jù)帶出企業(yè)的行為變得越來越容易。從2007年所曝光的影響較大的數(shù)據(jù)泄漏案件中可以看出,信用卡卡號、醫(yī)療記錄等保密數(shù)據(jù)的泄漏情況日趨嚴(yán)重,攻擊者所針對的目標(biāo)都是用戶的身份識別信息,而受攻擊的目標(biāo)企業(yè)——主要集中在保存有大量客戶信息的電子商務(wù)及零售企業(yè),或是持有身份識別信息的政府部門。
數(shù)據(jù)安全勢在必行
可見,2007年所發(fā)生的數(shù)據(jù)泄漏案件大多數(shù)是因為涉及企業(yè)數(shù)據(jù)不安全的保存?zhèn)鬏斶^程所致,或者是被內(nèi)外部攻擊者攻入企業(yè)的內(nèi)部網(wǎng)絡(luò)竊取數(shù)據(jù)所致。從當(dāng)前發(fā)展的趨勢上看,安全業(yè)界及大中型企業(yè)才剛剛開始重視敏感數(shù)據(jù)的安全問題,企業(yè)內(nèi)部還不能具備針對敏感數(shù)據(jù)控制措施,2008年數(shù)據(jù)泄漏案件的發(fā)生數(shù)量將會進(jìn)一步上升,保密數(shù)據(jù)泄漏防護(hù)服務(wù)將成為安全市場未來的新興業(yè)務(wù)。
從大多數(shù)數(shù)據(jù)泄漏案件中分析,經(jīng)歷了數(shù)據(jù)完全丟失而導(dǎo)致系統(tǒng)停止運營的企業(yè)中,有40%沒有能夠恢復(fù),大約有三分之一在近一段時間宣告破產(chǎn)。也就是說,60%以上企業(yè)因數(shù)據(jù)完全丟失而倒閉。可見,數(shù)據(jù)泄漏,成為了企業(yè)發(fā)展的絆腳石。如今的企業(yè)IT管理人員,一方面既要對私密信息進(jìn)行安全防護(hù),另一方面又要在應(yīng)用中是方便可用的;必須理解并想法設(shè)法做到防止所有人對企業(yè)敏感數(shù)據(jù)的無拘無束訪問,才能防止數(shù)據(jù)泄漏。
過去企業(yè)用戶在設(shè)計系統(tǒng)的時候往往總是首先考慮讓它們方便于用戶訪問信息,導(dǎo)致的一種現(xiàn)象:把過多注意力放到簡化訪問方面,而忽略了必須確保只有授權(quán)的用戶才能夠訪問資源。不過現(xiàn)在企業(yè)都已經(jīng)意識到,其業(yè)務(wù)價值不可避免地與其核心系統(tǒng)中的信息綁定在一起,信息從核心系統(tǒng)泄漏,就如同水可以從有孔的熱水器中泄漏一樣,很快,而且會大量流失…… 因此,作為信息安全管理人員或者IT管理人員,必須想辦法保護(hù)企業(yè)珍貴的信息資源,但同時不能盲目地抑制訪問權(quán)限。都不得不在安全性和可用性之間尋找平衡,但通常還是沒有對哪些授權(quán)客戶應(yīng)該看到哪些信息給予過多關(guān)注。事實上,在大多數(shù)企業(yè)組織中,大多數(shù)用戶(不管是授權(quán)還是沒有授權(quán)的)都可以看到比他們實際應(yīng)該看到的多得多的信息。
網(wǎng)絡(luò)規(guī)劃保證安全
現(xiàn)在的企業(yè)開始認(rèn)識到,必須與完善詳盡的安全措施達(dá)到一個平衡點,以保持企業(yè)的優(yōu)勢不受到負(fù)面影響,信息數(shù)據(jù)才不會泄漏。
一、要想真正保障企業(yè)網(wǎng)絡(luò)的安全,必須從網(wǎng)絡(luò)規(guī)劃開始。如果網(wǎng)絡(luò)規(guī)劃時就沒有考慮到安全,后期的安全豈不是亡羊補(bǔ)牢,為時已晚?在網(wǎng)絡(luò)安全形勢嚴(yán)峻的今天,網(wǎng)絡(luò)安全應(yīng)該從網(wǎng)絡(luò)規(guī)劃開始。為了方便管理,網(wǎng)管還會為企業(yè)網(wǎng)絡(luò)搭建網(wǎng)管平臺,其目的是監(jiān)控網(wǎng)絡(luò)工作狀態(tài),也可以更改網(wǎng)絡(luò)配置。網(wǎng)管平臺方便網(wǎng)管管理網(wǎng)絡(luò)的同時,也是一種風(fēng)險,因為網(wǎng)管平臺的權(quán)限非常大,為此,規(guī)劃網(wǎng)管平臺時,也不要忘記安全。網(wǎng)管平臺的最大風(fēng)險,來自登錄驗證這一塊。傳統(tǒng)的登錄模式是基于用戶名和密碼的驗證,通過嗅探及種植木馬的方法,可以非常輕松的套取到用戶名和密碼,這樣,企業(yè)網(wǎng)絡(luò)將再無安全可言。為此,建議網(wǎng)管平臺使用基于IP+帳號+密碼的驗證方式,這樣最大限度的保障網(wǎng)管平臺的安全。同時,定期更改網(wǎng)管平臺的登錄密碼,定期檢查日志文件,查看有無可疑的登錄行為。
二、最重要的就是保護(hù)那些離開企業(yè)的信息。如果一個銷售經(jīng)理的筆記本電腦在車廂里被盜,你必須確保硬盤中的客戶資料不被小偷獲取。企業(yè)控制管理要有三大層面,除了管制使用者能否上網(wǎng)之外,接下來要管制使用者的上網(wǎng)行為,讓其符合企業(yè)的安全規(guī)范;最后一個部分則是分層管理,也就是針對使用者取得內(nèi)部網(wǎng)絡(luò)使用授權(quán)之后的資源管理,像是每個部門都應(yīng)該受到不同的權(quán)限要求與保障。如果你的營銷經(jīng)理人的PDA在她參加的某次會議上不翼而飛,你能確信這份詳載了下一年將要推出產(chǎn)品的文件不被購買了被盜硬盤的家伙所得?解決這一問題的辦法是加密數(shù)據(jù)。配置加密解決方案將提高顧客和雇員信任和忠誠的水平。他們會認(rèn)識到所有的努力都是在保護(hù)他們的敏感數(shù)據(jù),并確保設(shè)備的丟失或被竊不會導(dǎo)致數(shù)據(jù)的流失。
員工守則防止泄密
企業(yè)不但應(yīng)該在企業(yè)內(nèi)部實施物理訪問控制程序,還應(yīng)該強(qiáng)制執(zhí)行有關(guān)措施。在最少的程度上,這些措施應(yīng)能夠處理個人訪問以及信息和設(shè)備訪問。為減少企業(yè)中數(shù)據(jù)泄漏的問題,員工必須遵守以下三種規(guī)則:
一、企業(yè)應(yīng)有清晰的政策,明確規(guī)定了誰可以把數(shù)據(jù)帶出場外,并且出門的數(shù)據(jù)必須受到保護(hù)。
二、數(shù)據(jù)不會在不知情的狀況下被帶出辦公大樓;不要允許任何人(包括廠商、銷售人員等)將其個人的筆記本電腦連接到企業(yè)的網(wǎng)絡(luò)上。
三、任何需要帶出辦公樓的數(shù)據(jù)都要受到保護(hù),以使之不會落入壞人之手。比如:實施徽章標(biāo)記制度,使其可以包含雇員的照片,并對其訪問的特定區(qū)域用不同色彩標(biāo)記或分類。
結(jié)束語:一旦某位員工獲得了對數(shù)據(jù)的物理訪問權(quán),不管是竊取筆記本電腦還是偷竊數(shù)據(jù)或介質(zhì),使得企業(yè)在面臨下一步的攻擊時就顯得無能為力了。保密數(shù)據(jù)泄漏防護(hù)關(guān)注的重點是保密數(shù)據(jù)的流動情況,它需要找出保密數(shù)據(jù)泄漏的管道,并采用技術(shù)和管理的方法來進(jìn)行封堵。
