随着信息技术不断地更新,电脑终端与移动存储设备之间具备了转移海量信息的能力,这就意味着在企业不知情或不同意的情况下,把机密数据带出企业的行为变得越来越容易。从2007年所曝光的影响较大的数据泄漏案件中可以看出,信用卡卡号、医疗记录等保密数据的泄漏情况日趋严重,攻击者所针对的目标都是用户的身份识别信息,而受攻击的目标企业——主要集中在保存有大量客户信息的电子商务及零售企业,或是持有身份识别信息的政府部门。
数据安全势在必行
可见,2007年所发生的数据泄漏案件大多数是因为涉及企业数据不安全的保存传输过程所致,或者是被内外部攻击者攻入企业的内部网络窃取数据所致。从当前发展的趋势上看,安全业界及大中型企业才刚刚开始重视敏感数据的安全问题,企业内部还不能具备针对敏感数据控制措施,2008年数据泄漏案件的发生数量将会进一步上升,保密数据泄漏防护服务将成为安全市场未来的新兴业务。
从大多数数据泄漏案件中分析,经历了数据完全丢失而导致系统停止运营的企业中,有40%没有能够恢复,大约有三分之一在近一段时间宣告破产。也就是说,60%以上企业因数据完全丢失而倒闭。可见,数据泄漏,成为了企业发展的绊脚石。如今的企业IT管理人员,一方面既要对私密信息进行安全防护,另一方面又要在应用中是方便可用的;必须理解并想法设法做到防止所有人对企业敏感数据的无拘无束访问,才能防止数据泄漏。
过去企业用户在设计系统的时候往往总是首先考虑让它们方便于用户访问信息,导致的一种现象:把过多注意力放到简化访问方面,而忽略了必须确保只有授权的用户才能够访问资源。不过现在企业都已经意识到,其业务价值不可避免地与其核心系统中的信息绑定在一起,信息从核心系统泄漏,就如同水可以从有孔的热水器中泄漏一样,很快,而且会大量流失…… 因此,作为信息安全管理人员或者IT管理人员,必须想办法保护企业珍贵的信息资源,但同时不能盲目地抑制访问权限。都不得不在安全性和可用性之间寻找平衡,但通常还是没有对哪些授权客户应该看到哪些信息给予过多关注。事实上,在大多数企业组织中,大多数用户(不管是授权还是没有授权的)都可以看到比他们实际应该看到的多得多的信息。
网络规划保证安全
现在的企业开始认识到,必须与完善详尽的安全措施达到一个平衡点,以保持企业的优势不受到负面影响,信息数据才不会泄漏。
一、要想真正保障企业网络的安全,必须从网络规划开始。如果网络规划时就没有考虑到安全,后期的安全岂不是亡羊补牢,为时已晚?在网络安全形势严峻的今天,网络安全应该从网络规划开始。为了方便管理,网管还会为企业网络搭建网管平台,其目的是监控网络工作状态,也可以更改网络配置。网管平台方便网管管理网络的同时,也是一种风险,因为网管平台的权限非常大,为此,规划网管平台时,也不要忘记安全。网管平台的最大风险,来自登录验证这一块。传统的登录模式是基于用户名和密码的验证,通过嗅探及种植木马的方法,可以非常轻松的套取到用户名和密码,这样,企业网络将再无安全可言。为此,建议网管平台使用基于IP+帐号+密码的验证方式,这样最大限度的保障网管平台的安全。同时,定期更改网管平台的登录密码,定期检查日志文件,查看有无可疑的登录行为。
二、最重要的就是保护那些离开企业的信息。如果一个销售经理的笔记本电脑在车厢里被盗,你必须确保硬盘中的客户资料不被小偷获取。企业控制管理要有三大层面,除了管制使用者能否上网之外,接下来要管制使用者的上网行为,让其符合企业的安全规范;最后一个部分则是分层管理,也就是针对使用者取得内部网络使用授权之后的资源管理,像是每个部门都应该受到不同的权限要求与保障。如果你的营销经理人的PDA在她参加的某次会议上不翼而飞,你能确信这份详载了下一年将要推出产品的文件不被购买了被盗硬盘的家伙所得?解决这一问题的办法是加密数据。配置加密解决方案将提高顾客和雇员信任和忠诚的水平。他们会认识到所有的努力都是在保护他们的敏感数据,并确保设备的丢失或被窃不会导致数据的流失。
员工守则防止泄密
企业不但应该在企业内部实施物理访问控制程序,还应该强制执行有关措施。在最少的程度上,这些措施应能够处理个人访问以及信息和设备访问。为减少企业中数据泄漏的问题,员工必须遵守以下三种规则:
一、企业应有清晰的政策,明确规定了谁可以把数据带出场外,并且出门的数据必须受到保护。
二、数据不会在不知情的状况下被带出办公大楼;不要允许任何人(包括厂商、销售人员等)将其个人的笔记本电脑连接到企业的网络上。
三、任何需要带出办公楼的数据都要受到保护,以使之不会落入坏人之手。比如:实施徽章标记制度,使其可以包含雇员的照片,并对其访问的特定区域用不同色彩标记或分类。
结束语:一旦某位员工获得了对数据的物理访问权,不管是窃取笔记本电脑还是偷窃数据或介质,使得企业在面临下一步的攻击时就显得无能为力了。保密数据泄漏防护关注的重点是保密数据的流动情况,它需要找出保密数据泄漏的管道,并采用技术和管理的方法来进行封堵。