有安全,才安心

作者: yufei 分类: 成功经验 发布时间: 2011-03-28 11:02 ė 6没有评论

广日物流LOGO

世界最近一直都不太平。墨西哥湾石油泄漏了,韩朝冲突升级了,北非的突尼斯也发生政变了。开心网上的一项安全调查令人惊讶:大约只有2% 的人认为自己是拥有相当安全感的。看来,安全还真是个不小的问题。

无论是墨西哥湾、朝鲜、韩国还是突尼斯,对我们来说,都有点远。但是企业的信息资产安全问题,却跟我们息息相关。随着信息技术的飞速发展,目前企业内部已经有90%的文档实现了电子化,在网络为我们带来极高的效率和极大便利的同时,“企业机密外泄”这个词语也频繁出现在我们面前。

下面我们来看一个真实的案例:

广州广日物流股份有限公司是国有控股的中外合资企业,总资产近2亿元人民币,年运输量超过30万吨。公司在北京、上海、天津三大中心城市设立了分公司,物流业务辐射全国,获评为“AAAA级综合物流企业”。

目前,广日物流的信息化基础设施建设已经相当完善,营运中心、物流中心、管理部门网络已经渐成体系,就在广日物流利用信息化技术高速发展之时,内部发生了一起信息泄漏事件:本应该是公司机密的员工工资列表,被别有用心的人以匿名邮件的形式传送到整个公司内部。此举,不仅违反了员工签订的保密协议,更为严重的是,让广日物流面临着员工外流的危险。

“这件事让我们领导非常愤怒,也让我们重视起自己内部的信息安全问题。我们重新评估了已有的信息安全体系之后,发现内部还存在着许多以前忽略的可能导致信息外泄的漏洞,我们希望能有一个全面的方案能够帮助我们最大限度防止信息泄露,保护重要的信息资产。”广日物流的IT部林部长告诉笔者。

木桶理论与安全风险

一个全面的信息防泄漏解决方案,即要能全方位地保护企业,最大限度防止企业信息外泄。而在信息安全领域中,信息安全的整体防护强度取决于“马奇诺防线”中最为薄弱的一环。

这来源于我们熟知的木桶理论:一个由许多块长短不同的木板箍成的木桶,其容水量并不取决于最长的那块木板或全部木板的平均长度,而是取决于最短的那块木板。要想提高木桶整体效应,就必须要下功夫补齐最短的那块木板的长度。

对于广日物流来说,由于缺乏必要的技术管理手段,安全事件可能从各种地方发生。如果无法明确安全漏洞,很可能内部价值上千万的机密信息,只是因为一个U盘的不慎使用,或者是一个普通员工的无意识操作,就瞬间外泄出去。因此,广日物流必须从整体上来评估自身的信息安全状况,根据实际情况,构建一个全面的信息防泄漏体系。

安全防护与产品选型

在意识到信息安全的重要性之后,广日物流曾采用过某安全产品进行管理,但由于该产品界面操作困难,功能上难以达到他们的要求,在部署了一段时间后就被卸载下来。

在决定重新挑选内网安全产品之后,林部长强调:“功能强大、容易操作、稳定,是我们再次选型的关键。”经过半年多的选型、对比、试用,广日物流锁定了IP-guard内网安全产品,“IP-guard不仅仅提供防护功能,它的全方位信息防泄漏理念跟我们的想法不谋而合,也正是我们所需要的。”

实时掌握内部安全动态

要构建全面的信息防泄漏体系,首先必须时刻掌握企业安全动态,做到有的放矢。因此很重要的一点是要使网内操作“可视化”,随时检测整个内网环境的安全状况,做到迅速反应,甚至可以预测到风险,化被动防御为积极防御。

“我们公司与其他物流公司一样,业务流程极为复杂,内部的订单处理、采购、出货处理、配送、会计审核、营运管理、绩效管理等一系列作业流程都会生成大量的数据信息,我们不希望这些数据被外界所拿到。” 林部长表示他们需要时刻掌握文档的操作,防止有意或者无意的泄漏行为。

利用IP-guard,广日物流能够了解到内部文档的所有操作记录,包括对文档的创建、访问、修改、复制、删除以及拷贝到移动存储设备等操作等,有效审查文档被谁使用、怎么使用。

由于之前曾经出现过“邮件泄密”事件,林部长强调,领导们对于邮件的管控特别重视。IP-guard邮件管控功能,能够全面记录标准协议与Exchange格式邮件包括附件在内的接收和收发内容,以及Lotus和网页邮件的包括附件在内的发送内容,帮助广日物流备案和审计企业的往来邮件,防止类似的泄露事件再度发生,让领导非常满意。

“我们也有专门的工程师会每周查看日志记录。”林部长说他们在公司内部进行了全程屏幕监控,通过对屏幕进行实时查看,详细了解到员工的所有操作,真正做到时刻掌握企业安全动态。

封堵可能的泄密漏洞

在文档操作可视化、透明化的基础上,面对日益增多的信息泄漏手段,还必须有一个全面分析的视角,预见可能存在的泄漏方式并且进行最大限度地封堵。如果缺乏全面的分析,可能会忽略某个安全漏洞的真正威胁,相应采取的安全措施也可能无法解决真正的问题。

“我们公司的部门非常多,各个部门产生的文档各不相同,因此需要借助IP-guard建立文档的分级访问权限。”林部长表示,借助 IP-guard,对公司各部门进行了用户组的划分,如营运部、物流部、客服部、管理部……同时基于员工不同的部门和级别设置了完善的文档操作权限,控制员工对本地、网络等各种位置的文件甚至文件夹的操作权限,包括访问、复制、修改、删除等。

“现在,我们对员工用网络发送文档,也管理的比较严格。”林部长和同事们利用IP-guard及时通讯工具管控功能,在使用互联网跟外界进行联系的管理中心和物流中心,限制员工通过QQ、MSN、E-mail等网络应用发送公司内部文档,防止如车辆跟踪调度安排、运力资源调配方案、工资信息等通常以Office word、Excel格式存在的机密文档外泄。

同时,还通过IP-guard禁止内部人员随意使用U盘、3G上网卡、蓝牙等各类外部设备拷贝文档,“在设置管理策略的时候,我们也考虑到了各种特殊情况。”林部长表示个别员工由于工作需要可申请放开U盘的使用权限,但只允许拷贝到公司电脑,不允许把内部文档拷贝出公司电脑带出去。

电脑中毒、流氓软件也是曾经让林部长很头痛的问题,“通过IP-guard,我们过滤了非法、色情的网站,同时还限制员工使用公司电脑玩游戏、炒股等,不但减少了网络带来的风险还营造了积极向上的工作氛围,也让我们的维护工作轻松多了。”

最后,林部长说道,现在越来越觉得,信息资产安全是一个基础,只有内部安全了,公司才能够安心发展。目前公司的业务范围越来越广,在了北京、上海、天津、南京、西安、沈阳、重庆、成都等多个城市设立了分公司和办点,“现在领导对IP-guard建立的信息防泄漏体系比较满意,利用IP-guard进行跨区域网络管控,把这些分散的分公司和办事处集中管理起来,是下一步我们要做的事。”





Related posts:

本文出自 信息防泄露大讲堂,转载时请注明出处及相应链接。

本文永久链接: http://www.ip-guard.net/blog/?p=253

0

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Ɣ回顶部