导读:上一篇札记中,老黄分析到,很多企业已经意识到了信息安全的重要性,但就是苦于不知如何下手来进行防护。上一篇案例中提到的外贸企业,其内部信息化结构相对简单,本次老黄选取的案例是内部信息化结构相对复杂,日常工作都是通过PDM、ERP等信息管理系统来开展的制造型企业。众所周知,随着企业业务的发展以及信息化技术的进步,越来越多企业将内部海量的信息尤其是机密信息存放于如ERP、PDM、OA等企业级管理系统上。因此保护这些系统上信息的安全成为企业亟需解决的问题。
出诊札记
制造企业D,非常关注内网信息安全,ERP/OA/PDM等系统是企业常用的系统。企业内部大部分核心机密如设计图纸以及销售数据都保存在这些系统上,而且内部人员都可以通过网络下载到本地。担忧的是信息防泄露系统会使得这些常用的管理系统效率降低。想要达到的效果是保护管理系统上销售数据以及设计图纸的安全,但是要让相关人员能看到这些信息,对工作不造成任何影响。
困扰所在
· 担心因安全失效率
ERP\OA\PDM是D企业常用的系统,因此其担忧部署防泄漏系统会降低这些管理系统的效率,影响正常工作的开展。
·如何实现“能看不能动”
如何做到让内部人员既能看到与其工作相关的信息,保证工作的顺畅开展,但无法复制,把信息外泄出去,这不仅困扰着D企业,目前大部分企业普遍都遇到这样的困惑。
对症下药
综合D企业心存的困惑以及其内部的信息化情况,溢信科技领先推出的以“整体信息防泄漏”理念为核心的IP-guard三重保护信息防泄漏解决方案正是其所需的良方。下面,老黄将结合这个药方为D企业对症下药,帮助其建立全面的信息防泄漏体系。
D企业担忧防泄漏系统会影响ERP/OA/PDM的效率,依老黄之见,性能好的信息防泄漏系统如IP-guard三重保护信息防泄漏解决方案对ERP/OA/PLM等这些管理系统的影响是很小的,因为信息防泄漏系统的一个关键目的就是要保护存储于这些系统中数据的安全,因此不会影响其正常使用。防泄漏系统对业务系统效率的影响程度是每个企业都很关心的问题,这也是挑选防泄漏系统的一个重要指标。因此在正式部署前,需要经过多次测试,选择性能较好的防泄漏系统,避免由于信息防泄漏系统而造成其他系统崩溃,影响正常工作。
· 加密与安全网关,配制出“安全与效率兼收”良药
D企业内部常用的管理系统是ERP、OA、PDM,而其向老黄提出的防护需求是在不影响正常业务的前提下,保护存放在这些系统上信息的安全。根据其具体的信息化情况以及安全需求,老黄认为最佳的防护方案是在核心部门如设计部、财务部部署透明加密,非核心部门但需要接触到核心信息如销售部部署只读加密,并在企业常用的管理系统前部署上IP-guard加密安全网关。
“只读加密”功能是溢信科技根据“文档能看但不能外泄”的客户需求设计的,并将领先市场正式推出。它实现了加密文档只允许阅读,禁止进行其他操作的效果。通过这一功能,非核心部门不需再部署透明加密,也可以需要阅读相关的加密文档,顺畅开展工作,避免了因透明加密而引起的繁重非核心文档解密工作,同时,也杜绝通过合法手段获取的信息的外泄风险。
结合IP-guard透明加密以及加密安全网关,既可对想要访问服务器的终端进行严格的身份认证,杜绝非法接入服务器而带来的信息泄露隐患。而且,还实现文档上传至服务器时自动解密,下载到本地时自动加密,装有透明加密的客户端可对文档进行修改,而只读加密客户端则只允许阅读,禁止复制、修改、截屏等操作,有效避免了文档在本地的二次泄露风险。
安全网关原理示意图
通过这样的防护方案,D企业面临的既要保护管理系统上信息的安全,但不影响工作正常开展这一困惑便可迎刃而解了。
·信息防泄漏对“面”不对“点”
鉴于D企业目前仍无任何信息安全的防护措施,老黄认为,除了对管理系统的信息以及核心部门采取上述的防护方案外,在企业全范围也需要相应的管理。信息防泄漏工作需要全面的防护,不能只顾核心部门,否则很细小的漏洞便可能导致重大的泄密事件。
首先,可借助信息防泄漏系统如IP-guard三重保护信息防泄漏解决方案的审计功能,将内部的安全问题梳理清楚,然后根据具体的问题来进行相应的防护。
在将企业内部的安全问题都审视清楚后,需要通过信息防泄漏系统如IP-guard三重保护信息防泄漏解决方案在企业全范围内部署基础审计,详细记录企业内部人员的操作,及时发现安全威胁,并形成震慑力,在一定程度上降低泄密事件发生的几率。
除了基础的审计外,还需要根据每个部门具体的安全状况以及需求,辅以适当的管控。比如人事行政部、财务部、设计部等跟外界沟通比较少的部门,可通过IP-guard的网页浏览、邮件管控、即时通讯管控等管控功能,限定邮件发送的主题、附件大小等,并严格限制在上班时间使用QQ、网络上传,防止将通过合法手段获得的信息外泄出去。对于对外窗口销售部,则可灵活处理,允许使用即时通讯与外界联系,但管控的度也需把握好,做相应的管理,比如利用IP-guard的即时通讯管控、邮件管控,限定只能使用指定账号与外界联系,发送邮件必须抄送主管/经理。
由于IP-guard采用的是模块化管理,并将所有的管理整合到同一平台实现,这样企业可根据具体的需求进行采购,集中进行管理,提高管理效率,并随时进行功能扩展,无缝集成。
出诊总结
“允许文档能看,但不能外泄出去”是企业长久以来都存在的需求,而将企业内部的信息尤其是核心机密存放于企业级管理系统上也逐渐成为趋势,IP-guard就是针对这样的市场变化以及需求,推出了加密安全网关以及只读加密。通过加密以及安全网关两者相互配合,既能实现系统上信息的安全,也不影响企业正常业务的开展。
当然,没有绝对的安全,企业的安全管理并非要达到绝对安全的效果,而是根据企业各个部门的具体问题以及安全需求,有针对性地进行防护,形成力度轻重不一的整体防护,让安全、效率和成本达到最优平衡。