提升企業數據保護意識

 

在提升企業保護數據的意識方面，武漢智融科技認為，要想讓企業重視安全首先得讓其了解安全，很多企業之所以不重視安全，是因為他們在安全方面的了解太少，而且存在許多固有的成見。因此，可以通過破除成見，普及科學安全觀來提升企業的安全意識。黃凱總結幾點企業應具備的數據泄露防護觀念：

 

第一：信息安全是企業的一種生產要素。這是針對“安全不重要，安全只花錢不賺錢”的觀念來講的，首先，在現在這樣一個高度信息化的社會里，信息對于企業的作用與人力、資金、設備等傳統生產要素相比，漸漸趨于平衡，對企業的影響力空前提高。對于有些產業如信息產業，信息就是企業的命脈。其次，既然是生產要素，就會存在一個投入產出比。在某個臨界點之前，安全投入得越多，收益就會越大，而過了這個臨界點，投入收益比就會降低。但目前國內企業的安全投入還遠遠未達到臨界點。

 

第二：未發生事故并不意味著就足夠安全。很多企業易被眼下的平靜所迷惑，看不到潛在的風險。在安全界有一個海因里希法則：當一個企業有300個隱患或違章，必然要發生29起輕傷或故障，在這29起輕傷事故或故障當中，有一起重傷、死亡或重大事故。很多企業只看到最后的一起重大事故，這樣就會錯過最佳的風險防御時機，亡羊補牢悔之晚矣。

 

第三：預防措施往往比糾正措施更節約成本。中國有個成語叫曲突徙薪，說的是一個人不聽朋友勸，結果新房子釀成火災，他感激鄰居幫他滅火，卻忘了當初提醒他的朋友?，F實中很多企業都有類似情形，忽略事先預防，結果釀成悲劇，才亡羊補牢，但付出的代價比當初預防所需的要多得多。英特爾前員工將商業機密泄露給競爭對手ARM，造成損失近10億美元。據統計美國因信息泄露造成的商業損失高達每年1000億美元，名列《財富》(Fortune)全球1000強的大公司，平均每年因信息泄露導致的損失總數高達450億美元。泄露出去的信息就如潑出去的水，覆水難收，還不如提早加強信息安全建設。

 

第四：沒有絕對的安全，需要平衡在安全上的投資與回報。很多企業認為既然花了錢，就應該確保絕對安全，不出任何問題，這顯然是不現實的。安全并不是說沒有什么問題，而是說即使出現問題，也都在企業可接受的范圍內，不會對企業造成明顯的損失。所以企業要認清自己的安全范圍，然后予以相應的投入，實現兩者之間的平衡。

 

企業該如何做好數據安全策略？

 

要做好數據安全策略，最重要的就是要對企業進行全面的風險評估，只有清楚地了解問題，才能有的放矢地解決問題。評估需要通過三大過程。一是通過內部問卷調研、人員訪談等方式，了解清楚企業各部門資產的情況，哪些資產是真正需要保護的。通常，企業中的機密數據應當包括：技術、方法、工作模式、處理流程、生產計劃等，以及各種圖表、供應商信息，新產品設計圖紙和營銷戰略，或者程序源代碼、營銷數據和客戶信息等等。這些企業機密數據中的任何一部分數據的丟失，都會給企業帶巨額的經濟和無形資產的損失;二是識別這些關鍵信息所面臨的威脅，并檢查信息系統的脆弱性，并確定系統抵抗威脅的能力。如果將信息比作一個人，那威脅就是他的敵人，而脆弱性則是到他的缺陷，如無力的拳頭等;第三，評估風險發生的可能性和所產生的影響，還是以人為例，可能性就是被敵人傷害到的機率，產生的影響是說如果被敵人傷到，會帶來多大的后果。

 

評估之后接著是確定風險處理措施。企業需要根據不同部門的涉密程度以及所面臨的風險級別，部署輕重有別的防護系統。需要強調的一點是，切忌武斷地忽視某些區域。目前雖然國內企業信息防泄露技術的發展已經日臻成熟，但還有不少企業的防泄露措施依然只集中于所謂的核心部門。但實際上非核心部門也可能接觸到機密信息，如果缺乏有效的管控措施，信息很可能就無聲無息的流失了。

 

談到如何處理員工個人隱私和公司數據安全之間的矛盾時，黃凱介紹到，“近年來，企業機密被內部員工竊取而造成重大損失的案例可以說是層出不窮;但另一方面，企業被狀告侵犯員工隱私的新聞也不少見。就拿電子郵件來說吧，企業監視員工的電子郵件時，必將出現‘維護企業信息安全’和‘員工個人隱私’間的矛盾。作為一個企業，進行數據保護使必要的，但為了防止侵犯第三方的權利，就必須采取合理的措施，進行信息安全管理。但為了解決安全與隱私的矛盾，企業在實施監視時，一是要提前讓員工知道，贏得他們的理解，而且盡可能非針對性地進行監視和管理;二是在監控時采取靈活的策略，比如分時段控制，工作時間進行監控，休息時間則解除監控。”

 

企業如何做好數據安全產品選型？

 

目前，市面上存在多種DLP(數據泄露防護)產品，有些是以軟件形式存在，有的以單獨的硬件形式存在。DLP產品按適用范圍來分有兩種主要的類型：基于主機的DLP和基于網絡的DLP。

 

其中，武漢智融科技的金甲文檔加密軟件，通常直接安裝在單獨的服務器、工作站或筆記本電腦等設備當中，只提供對其運行系統中的機密數據進行保護。而基于網絡型的DLP產品通常是一些單獨的硬件產品，主要連接到企業網絡出口的關鍵位置，例如網關防火墻之后。網絡型DLP產品能夠對所有離開企業內部網絡的數據進行過濾，對違規行為進行報警、日志記錄和直接禁止;有些網絡型DLP產品還能夠用來發現網絡中的機密數據和監控這些機密數據的使用狀況。

 

但網絡型DLP產品的控制細粒度要比主機型DLP產品差，例如網絡型DLP產品有時不能對U盤等可移動存儲設備的使用進行監控和限制，而主機型DLP產品就能很好地控制整個系統上的所有接口的使用狀況。不過，主機型DLP產品需要在需要保護的每臺主機上安裝，這樣就會增加管理員的工作量。例如，管理員不得不在系統故障恢復后重新安裝和配置DLP軟件，以及還必需防止DLP軟件被終端用戶通過各種手段阻止它的運行等等。

 

其實，最好的DLP部署方式就是綜合使用基于主機型DLP軟件和基于網終的DLP產品，這樣才能夠對企業網絡中的所有需要的位置都能進行防范。黃凱談到，“企業具體需要怎么選擇，還要根據企業自身的經濟能力和實際數據保護需求來決定。”

 

總的來說，武漢智融科技的金甲文件加密軟件是一款真正適合企業自身需求的DLP產品，可以按下列所示的幾個選購要點來進行：

 

1、選擇的DLP產品必需具有監控和防御功能：這兩個功能是DLP產品最基本的要求，而且，雖然這樣的安全產品目前還不能完全消除誤報和漏，但選擇誤報和漏報率最低的產品總是首選。有些DLP產品供應商一味地以復雜的名詞來說明這兩個功能如何如何好，在選擇時不要給其迷惑，應當仔細了解產品的這一點。

 

2、選擇的DLP產品應當具有中心化管理功能：中心化管理能能夠為我們減少大量的開銷，它包括一系列的功能，例如策略創建和執行，生成報告和數據過濾等。

 

3、選擇的DLP產品應當具有保存和備份功能：如果企業需要遵從某個區域性數據保護法規，這些法規中通常要求企業必需將特定的數據保留6個月以上，那么，就要求DLP產品也具有這樣的數據保存功能。有些DLP產品本身具有這樣的保存功能，這樣就能給企業節省大量的存儲費用。而且，有時DLP產品備份功能也是必需的，這樣能防止設備在出現其它故障時造成機密數據的丟失。

 

4、選擇的DLP產品應當易于整合：我們在選擇DLP產品時，應當慎重考慮其與現有網絡結構或系統的整合性能。對于基于主機的DLP軟件，要根據目前企業需要保護的主機上運行的操作系統環境和硬件環境的影響，以及企業本身的技術能力。而對于基于網絡的DLP產品，在部署時不需要大規模改變網絡現有結構，甚至不需要停止當前業務當然最好。如果一定需要調整網絡結構，那么，一定要選擇一些易于管理，例如支持WEB管理方式的DLP產品，這樣能夠減少正常業務的停機時間。

 

5、選擇的DLP產品應當存在一個成熟的市場：這是一個選擇任何安全產品時需要考慮的因素，但往往被許多企業所忽略。如果某個DLP產品供應商所生產的產品已經存在一個很成熟的市場，那么其售后服務和產品質量一定很好，就可以解決DLP 產品在應用后的技術支持問題。有時，存在良好市場的DLP產品供應商，還可以用他們部署DLP解決方案的成功經驗來幫助企業完成DLP部署策略的建立，以及其它方面的技術指導。畢竟，我們不確定選擇的DLP產品在以后的使用過程中不會出現一點硬件或軟件故障，這些都必需有一個強大的產品售后服務來迅速正確地解決。

 

企業最佳數據安全防護模型

 

1、企業內部操作行為實現可視化

 

在信息防泄漏的“戰爭”中，相比于躲在暗處的泄密者和安全威脅，站在明處的企業顯然略失先機。但如果企業能夠做到預先防御，在對手出招之前采取針對性的保護措施，就能從根本上“轉被動為主動”，做好內部數據安全防護。因此，良好的信息防泄體系的前提，即要時刻掌握企業動態，做到要有的放矢。很重要的一點是要實現內部操作的“可視化”，以隨時監測整個信息系統的安全狀況，做到迅速反應，甚至還能預測到潛在的風險，化被動防御為積極防御。

 

2、防泄建設從全局角度出發，最大程度避免了疏漏

 

安全領域中的木桶理論和馬奇諾防線的故事相信大家都了解——無論如何豪華的防線，一個漏洞就可以毀滅所有一切。在企業中，有時候可能是一個小小的 U盤就毀滅了幾百萬投資的努力，或者一封無意的郵件就能讓企業損失慘重。因此，在解決安全問題之時，不能僅僅依賴透明加密等技術手段，“頭痛醫頭腳痛醫腳”地堆砌不同安全產品及封堵安全漏洞，而需要站在一個更高的戰略角度來通盤考慮。如果缺乏一個整體的分析視角，你可能會忽視或者低估某個安全攻擊的真正威脅，相應采取的安全措施也可能無法解決真正的問題。所以，在實際的防泄漏建設中，我們必須從整體上來評估企業的信息安全狀況，運用統一的平臺來進行風險和安全管理，檢測出內部問題，從而描繪出整個企業當前安全情況的更清晰和準確的圖景，采取針對性的防護措施，最大限度降低企業的安全風險。

 

3、根據數據的涉密程度不同，設置輕重有別的防護力度

 

企業在構建立體化、全方位的整體信息防泄體系時并不是一刀切、不分輕重的在全公司范圍內采取相同的策略，這樣雖然看似達到了最為安全的效果，但對業務造成的巨大影響以及因此產生的高額成本，對企業來說，都是巨大的負擔。對信息安全來說，威脅和風險往往和高價值的信息資產聯系在一起，安全保護工作也就應該輕重有別，將重點放在高價值的信息資產上，什么是高價值信息資產?通過風險評估，你會知道，它是你業務依賴的信息系統，無論軟件、硬件、服務還是人。那么，在安全建設過程中，對涉密程度高的部門或崗位進行力度大的防御，對涉密程度低的部門采取相應的安全防御，同時衡量提升安全性可能帶來的業務操作的麻煩、企業安全成本等問題，是企業必須要做的事情。

 

比如透明加密的成本以及對企業效率的影響遠高于審計和管控，在企業實施過程中，往往需要結合企業的實際情況，對三種技術手段整合運用：首先，在全公司范圍內進行安全審計，掌握企業操作發現安全隱患;其次，對特殊崗位和部門，進行嚴格管控，限制信息的帶出;最后，在核心部門內部，對機密信息進行透明加密。這樣既保證了公司的正常業務運作，又有的放矢地實現了最優化的信息防泄漏管理，對于企業來說，還大大節約了投資成本。

 

4、能及時發現安全威脅，實現動態性的防護

 

動態性的信息泄露防護，對于目前泄密手段日益增多的企業來說，非常重要。某些企業往往在安全事件發生之后才對現在的策略進行被動的調整。這種“吃一塹、長一智”的防護模式，對于企業而言，有可能是致命的。一旦出了安全事故，恐怕亡羊補牢，為時已晚。企業需要建立一個動態性的安全防護，前瞻性地發現安全威脅，并通過對技術或管理上的策略進行及時調整更新，防范潛在的安全風險。如目前，便攜設備發展迅速，智能手機、iPad等便攜設備日益成為企業的泄密威脅，在此基礎上，企業應該調整安全策略，對便攜設備的使用進行規范。另外，企業內部的人事變動比較正常，企業應收緊即將離職的員工的文檔使用權限，確保機密文檔不被訪問和帶走。如果企業建立了動態性的信息防泄體系，就能在安全事件發生之前，從技術、管理等多方面更新措施，大大增強了安全防護的前瞻性。

 

5、能隨需而變，實現擴展性的體系

 

信息防泄漏可以看成一場永無止盡的戰爭——你剛剛應對完一次安全威脅，下一個威脅又接踵而至。IT部門作為企業信息防泄的神經中樞，必須能夠適應安全需求的不斷變化，迅速滿足新需求、快捷響應新威脅。如果企業只單純使用加密或監控某一種技術手段，當新需求出現之時，IT部門不得不求助于新產品，重新選型、試用，操作流程復雜且安全風險增加。所以，企業在建立信息防泄漏體系中，要確保該體系能夠根據新的需求實時擴展，無需重新選擇新的產品，只需加固同一管理平臺上的功能，就能進行更多防泄密功能的擴展，做到無縫集成，消除因選型遲緩而產生的安全風險。

 

6、安全體系容易使用和維護

 

如今，市場上五花八門的信息防泄漏產品讓企業眼花繚亂，某些企業為了確保自己信息防泄漏高枕無憂，盲目地為自己配備上各種的安全產品，并企望這種“強強組合”能給企業套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業必須付出較高的成本，并增加了技術的復雜性，還容易產品軟件沖突等問題，企業雖然“裝”了安全產品，但根本“用”不了。目前，能夠提供整體解決方案的單一安全產品成為一種優良選擇，它能夠幫助企業建立統一的安全管理平臺，無論是對企業安全邊界防護到內部使用都做了整體、全面的考慮，而且簡化了日常的操作與管理，降低系統的資源占用，避免了軟件沖突等多種問題，使用和維護起來非常方便，大大節約了IT人員的時間和精力。這種產品為企業帶來這些多功能集成方案的易管理和高性價比優勢，對于企業將具有更大的吸引力。

 

數據安全未來發展趨勢探討

 

武漢智融科技認為，未來數據安全的發展會有以下趨勢：一是數據安全的容量空前增長，二是數據安全向移動化發展，數據安全向服務化發展。

 

1、數據安全的容量空前增長

 

全球數據總量這幾年呈現指數級的增長，過去3年里的數據量比以往400年加起來還要多。隨著大數據挖掘與分析技術的成熟，對這些數據加以利用的可能性也相應提高，加速了數據向財富轉化的進程。但在將數據變成有價值的信息之前，必須保證這些數據是安全可靠，否則不真實的數據也只會得出錯誤的結論。

 

但擺在企業面前的一個難題是，這些數據數量龐大，結構多樣，包括文檔、圖片、視頻、web頁面、電子郵件、微博等不同的類型，并且只有20%是結構化數據，80%是非結構化數據，如果企業想要利用這些信息必須花費相當的時間與資金。無論現在還是未來，對這樣龐大的數據進行安全保護都是一件極具挑戰的任務。

 

2、數據安全向移動化發展

 

如今，企業員工使用自己的移動設備辦公(BYOD，Bring Your Own Device)已經是非常普遍的現象。BYOD提升了企業員工效率和使用體驗，正在被越來越多的企業接受，平板電腦和其他便攜式智能終端正在逐漸取代筆記本電腦的位置。Websense公司與美國市場研究機構波耐蒙研究所聯合發布的《全球移動風險的研究報告》顯示，77%的受訪者將移動設備視為高效完成工作的得力助手之一。

 

然而，正是這種逐漸流行起來的移動辦公方式，為企業敏感數據帶來了空前的風險，正在架空企業現行的安全體系和安全策略，日益成為信息泄露的主要渠道?！度蛞苿语L險的研究報告》指出，76%的人認為，員工在采用移動設備辦公的同時增加了企業的安全風險。但是，只有36%的受訪者表示企業已經采取了必要的安全控制手段。未來企業在移動安全的需求將會越來越大。

 

3、數據安全向服務化發展

 

隨著云計算的落地，SaaS(軟件即服務)也逐漸走入企業的日常辦公中。SaaS提供商為企業搭建信息化所需要的所有網絡基礎設施及軟件、硬件運作平臺，并負責所有前期的實施、后期的維護等一系列服務，企業無需購買軟硬件、建設機房、招聘IT人員，即可通過互聯網使用信息系統。就像打開自來水龍頭就能用水一樣，企業根據實際需要，從SaaS提供商租賃軟件服務。我認為，未來數據安全也會向服務化方向發展，最終實現安全即服務，安全廠商為客戶提供的內容包括安全咨詢與方案、安全軟硬件、安全維護等等一條龍服務，客戶打開安全服務的“水龍頭”即可享受更可靠、更便利、更具性價比的服務。
本文武漢智融科技提供，如需轉載請注明出處。