近几年信息泄漏事件接二连三,层出不穷,仅以2011为例,RSA遭入侵安全令牌被窃取、索尼连续被黑客入侵窃取用户信息、韩国农商行遭入侵宕机三天、CSDN、天涯等遭遇大型用户密码泄漏事件······一次又一次的泄密浪潮对企业信息安全发出了前所未有的挑战。在如此高密度的信息安全反面炮弹的轰炸下,多数企业意识到了防护企业信息安全的紧迫性,并已开始部署信息防泄漏的措施。
企业本身的积极关注与需求也会促进信息安全技术的发展。对于企业内网安全,从开始的网络监控,到后来的上网行为管理、终端管理,到再后来的加密,直到现在的整体信息防泄漏方案,大家的信息安全意识越来越成熟,同时企业对内网安全的需求也越来越多样化与精细化。
目前内网安全市场存在以下几种方案,一是信息防泄露方案,二是系统运维方案,三是桌面管理方案,四是内网安全综合方案。根据溢信科技2011-2012信息防泄漏趋势调查结果显示,在以上四种方案中,信息防泄漏方案热度最高,并占绝对优势。这表明企业对内网安全的需求已逐步明确,信息安全成为大家的共识。
但是具体到如何部署适合自己的信息防泄漏方案,相信每个企业都有自己的困境。由于对信息安全接触不多,大多数企业对信息防泄漏的认识还不够深,因此往往是摸着石头过河,而在这个过程中,不少企业走了弯路,甚至变得有点投鼠忌器。还有些企业对于信息防泄漏的理解又存在诸多误区。有人认为在企业IT安全上投入太多不值得,安全投入的回报看不见摸不着;有人会期待单一功能强大的产品能够解决所有问题,一招定乾坤;还有人将来自多个不同厂商的强大产品联合在一起,以望能够所向无敌。
事实证明这些观点都是片面的,信息安全虽然并没有直接为企业产生利润,但是它为企业创造价值保驾护航,属于企业发展的基础性设施。单一产品再如何厉害也只能解决一方面的问题,混杂的安全问题只有综合能力强的方案才能应对。强强联合固然有其霸气,但是不兼容等于什么也不是。信息安全是企业在商场竞争的盾牌,必须要加固。而要保护好企业的信息安全,最佳方案应该是统一平台集中管理的整体信息防泄漏方案。
那么如何去从整体上部署信息防泄露系统?个人觉得需要遵循以下几方面。首先企业应该对内网的现状进行一次全面摸底,弄清楚企业的重要信息存放的位置,运用审计看看这些信息的日常流转渠道,并对企业信息可能面对的威胁进行分级;其次在对企业信息安全需求清晰的基础上,对各种可能的泄密渠道进行严格的管控,按其风险系数部署轻重有别的防护措施,比如按文件的重要程度或者不同部门的涉密程度设置不同的控制策略;再次企业中特别重要的信息,如自主开发的源代码或者工程设计图纸,需要高强度的保护措施,则可以对其进行加密,并严格控制可接触这些重要信息的人员,如此逐步建立起企业的整体防泄漏系统。当然并不是部署完就可以不管了,信息防泄漏是一个长期的工程,应根据企业发展的实际需求与时俱进。审计是改进企业信息防泄漏系统的关键,运用审计不仅可以知道企业内网的操作情况,还可以对信息防泄漏方案实施的效果进行评估,从而查漏补缺,不断对现有的系统进行改进与完善。
企业所部署的信息防泄露方案是否能发挥效用,还需要检验,个人认为可以从六个方面对其进行评估。第一是看企业内部操作行为是否实现了可视化。信息安全建设必须居高临下,总观全局,对企业内部操作行为了然于胸,然后才能化被动为主动,游刃有余,所谓“知己知彼,百战不殆”,潜在的安全威胁就是彼。
第二要看企业的防护范围是否够全面。即是要防,就得都防,不能将企业某部分割裂开,将其弃置。企业不能抱侥幸心理,对于不重要的地方就不管不问,结果很可能让小处成为安全的短板,因小失大,千里之穴,溃于蚁穴,不可不牢记于心。
第三须看是否根据文档或区域的涉密程度,进行轻重有别的防护。不管不问,那很危险,但简单地对所有对象设置统一的策略,则又显得粗糙。企业应该针对不同对象的涉密程度设置不同的管控策略,保证安全的同时,尽量减小对企业业务正常运行的影响,同时也节约了IT成本。
第四要看信息防泄漏系统是否具有前瞻性,当企业发现新威胁时,能否第一时间采取防护措施。比如目前便携设备发展迅速,智能手机、iPad等的出现对企业信息安全也带来一定的威胁,企业是否能够及时对这些新设备进行管控。
第五要看企业所部署的信息防泄露体系是否具备可扩展性。当新的需求出现时,现行系统是否可以顺畅地在管理平台上实现功能扩展,而不是重新选择一款不相容的新产品,后者将会使企业走入歧途。
第六要看安全体系是否容易使用与维护。这个问题不用多说,任何给大众用的东西在操作上都应该简单易行,否则必然会被抛弃。用户体验非常重要,繁杂的操作不仅增加IT维护人员的工作量,也是企业成本加大的表现。
目前越来越多的企业加入到信息防泄漏的行列中来,这是大势所趋。要说的是企业对自己的安全状态应该拥有清晰的把握,部署信息防泄漏方案不仅仅是跟随时代的潮流,更是企业在信息安全问题上自觉自知的体现。真正的主动防御不应该只是停留在技术上,而是企业整体安全意识的提高。人往往是任何防护系统上最薄弱的环节,你可以造一个最坚固的锁,但是你挡不住心不在焉不锁门的人;你可以做一个全世界最高端的防御系统,但是你挡不住忘记启动的人,与诸君共勉!