IT人须持有的安全观(十一):防泄密别做“埋头补网

在安全界流传着这样一个故事:在一座破旧的庙里住着两只蜘蛛,一只在屋檐下,一只在佛龛上。一天,旧庙的屋顶塌掉了,不过没有殃及两只蜘蛛,它们依然在自己的地盘上织网。可自此之后佛龛上的蜘蛛网总被弄破,每每害得这只蜘蛛修理半天。如此反复,佛龛上的蜘蛛身心俱疲,无奈之下向它小伙伴求助,屋檐下的蜘蛛反问:“你只顾埋头补网,难道就没有发现头上的屋顶已经没有了吗?”修网固然重要,但了解网破的原因更重要。采取防泄密措施固然重要,但了解风险存在的原因更重要。

 

“贪吃蛇”困境

外界推一步,里面才动一下。但你永远不知道下一个漏洞会从哪里冒出来,也可能是同时钻出来几十上百个问题,你必须像贪吃蛇一样追上这些让人糟心的东西,可是随着问题的增多,你必然越来越难跟上,最后只能像蛇一样咬住自己的尾巴。这样的信息泄露防护注定是成效低下的。

当前国内的企业信息安全情况正是如此,虽然企业对信息泄露防护的认识已经在逐步加深,但还是有很多企业,特别是中小型企业,信息泄露防护尚处于一种相当被动的状态。这种被动主要表现为缺乏对防泄密的反思与改进,信息安全问题来时则应对或者说应付,没有出现问题时则疏于管理。

 

埋头做事,更需抬头看路

信息安全也讲究“埋头做事,抬头看路”,就像佛龛上的蜘蛛一样,如果只知道埋头织网,不反思一下风险背后的原因,就会永远处在无穷无尽的补救工作中。相反,如果企业能够修修补补的同时认真反思,找出问题的根源,然后针锋相对进行解决,则会使自身的信息安全提升到一个新的等级。

 

而在信息泄露背后存在的深沉原因中,我们可以看到:

1、员工安全意识不够,比如大家总是习惯性地忘记为自己的计算机及时安装补丁;无意识地进入一些挂马、钓鱼性的网站;本能式地将开机密码、应用系统登录密码等一律设置成123456。企业可以加强对用户安全意识的培训,为大家提供易行的解决方案,并定期抽查。

2、员工对企业信息泄露防护的价值不够认可,表现出无所谓的态度。企业就应该向大家阐述清楚防泄密的好处,尤其是对员工本身的利益点。虽然理论上信息安全对所有人都有好处,但如果不将这种好处具化到每个人,大家是感受不到的。

3、信息泄露防护措施不够人性化,对员工的工作造成明显的妨碍,加上推行得过于强硬,容易激起了员工反感。企业应了解各部门的业务流程,制定更好的防泄密措施。溢信对这点深有体会,每次为企业进行防泄密诊断时,总会尽量与企业每个部门的用户进行详细而深入的交谈,以了解他们真实的想法与需求,因为这对接下来的所有工作都影响深远。

 

此外还有如缺乏统一的策略,朝令夕改,令员工不知所措;技术力量有限,管控不周;企业内部存在部分人有意制造破坏,所以故障连连等等原因,无论怎样,只要去反思、寻找,总是能够找到背后的原因。

 

了解越多越主动

当然仅凭一双肉眼,你也许无法看到全局,及时发现潜在的风险。此时你需要部署一些新的技术,比如审计产品,能让内网安全状况以可视化的形式展现自己面前,溢信旗下的IP-guard审计就能够对智能手机、刻录、IM、邮件、网络共享、计算机接入、上传/下载、微博、网页浏览、文档操作、应用程序操作、屏幕、系统操作、加密文档操作等18种项目等近1000项操作进行记录,并自动生成统计报表。或者采用大数据技术,对内网运行的数据进行更加深入的分析,来帮助自己预测风险,制定有效的防泄密措施。

 

据EMC于2013年11月1日发布的市场调查报告,在中国74%的决策者认为,在识别网络攻击、保护信息安全方面,大数据技术不可或缺。这说明越来越多的企业希望从整体上了解与把握信息泄露防护,主动出击,而不只是停留在被动的防御中。抬头看路才能让我们更加安心的埋头做事。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注