IT人须持有的安全观(十):企业防泄密三大“短板”你有吗?

一只水桶想盛满水,必须每块木板都一样平齐且无破损,如果这只桶的木板中有一块不齐或者某块木板下面有破洞,这只桶就无法盛满水。这个经典的木桶原理就是说一只水桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。在当下社会,出于对利益的疯狂追逐,信息泄露事件越来越多。虽然很多企业开始采取了一些信息泄露防护措施,但由于缺乏规划,建设不成系统,常常漏洞百出。一旦出现故障,就会捉襟见肘,应接不暇,其信息泄露防护水平依旧处于原地踏步的状态。

 

可以说,无论你采取多么强大的安全技术,如果不是从整体去考虑企业的安全防护,而放任一些防护薄弱区不管,那么最终企业的防泄密水平就可能会被这些薄弱的地方无限拉低,低出你的想象。溢信在对大量企业的信息泄露防护建设进行分析与服务中,发现企业在防泄密上存在诸多不足,而在这三方面表现尤为突出。

 

防泄密“三短”之相

第一是在计算机系统上,很多企业无法兼顾到系统层、应用层与数据层,有的部署了加密系统,在底层系统的基础配置、漏洞管理上却乏善可陈;有的进行了应用权限管控,但对核心机密却又缺乏更有力的防护。实际上,这三层对于信息泄露防护都是缺一不可的。

 

第二在防护区域上,很多企业在没有对自身安全状态进行全面评估的前提下,就凭感觉人为地划分出所谓的核心区、重点区以及普通区。然而往往只对核心区、重点区部署信息泄露防护措施,而对其他区域则放任自流不管不问。殊不知,企业内部所谓核心部门与非核心部门,从来都是动态的。而信息技术应用越深入,核心部门与其它部门之间的信息交流就越多。核心部门的文档一旦流转到非核心部门,防护薄弱的非核心部门,可能仅仅由于一个U盘的误用,或者一封邮件的外发,就有可能导致价值不菲的智力资产一瞬间被外泄出去。

 

第三在防护人员上,很多企业的防泄密工作往往是IT部寥寥数人在忙活,力量有限。其实非IT部门的人才是信息泄露防护的主要使用者,没有这些部门的支持协作,信息泄露防护就成了IT部门的独角戏。不仅达不到效果还不受人待见。

 

防泄密破局之策

无论你采用多么先进的信息泄露防护技术,制订多么严格的安全管理制度,如果不将这三块“短板”补齐,再美好的安全愿景也会变成无法实现的幻想。如何补短?作为业内知名的信息泄露防护专家,溢信对此提出自己的建议。

 

三管齐下

首先要保证系统层、应用层、数据层都要顾及,缺一不可。系统安全,可保证系统能够连续可靠地运行;应用安全,可保证合理授权应用权限,分配信息系统资源,保证系统应用效率;数据安全,使企业免于承受信息被盗取、泄露、破坏的风险。

 

因地制宜

防护区域要全面,不能简单地设置防护盲区。只有对自身安全需求进行整体评估,全面洞悉可能的泄密风险,才能更好地弥补自身的缺陷。我们可以对于行政部等涉密程度较低的部门,部署基础的审计以及适当的管控即可。对于经常接触到敏感信息又频繁与外界交互的部门,除了审计之外同时必须有严格的管控,对于文档的使用权限、移动设备的使用、邮件等可能外泄的渠道进行管理。针对核心部门,除了详细的审计和管控之外,更要考虑部署文档透明加密,让核心信息得到进一步的保护。

 

聚力而行

防护人员上,需要尽力使不同部门的力量都参与进来。部署信息防泄露项目免不了会对企业原来的网络系统产生一定的影响,而且还可能遭到员工的不理解甚至反对。如果事先能够获取企业高层的强力支持,势必会提高沟通的效率,减小项目实施的阻力。

 

部署信息防泄露系统,虽然是IT部门的工作,但是使用者更多的是非IT部门。IT部除了拟定一份具体的项目计划,明确项目实施的流程,如安全需求调查、产品选型、安装部署等等外。对这些非IT部门人员,也要使其明白信息安全的重要性以及对其部门的意义和收益所在,最大程度争取他们的理解和支持。在项目实施时,也要让每个部门都参与进来。遇到问题时相互之间多沟通,以加强协作。

 

行而不思,无以进焉。知而不行,犹如不知。以上信息泄露防护三块“短板”你的企业有吗?是否也该有意识地进行弥补了呢。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注