投资界有一句至理名言“不要把所有鸡蛋放在一个篮子里”,意思是投资需要分解风险,以免孤注一掷之后,发生事故,造成巨大的损失。篮子理论虽然是作为一个金融投资理念被提出,但它具有更广泛的适用性,可以用在其它风险管理领域中,比如信息泄露防护。
防泄密无“备”不全
在企业信息泄露防护中,数据灾备是其一个重要的前提,也是其重要组成部分之一。这是因为如果数据已经遭到破坏,不复可用,那么就不再有保密的必要。所谓数据灾备,简单而言就是将同样的信息在不同的地方各存一份,这样即使其中一个地方发生意外导致数据受损,其他地方的数据也能持续使用,不会影响企业正常的运营。但如果企业将所有数据[……]
古时候,赵国有个人家里老鼠成灾,于是他找人要了一只猫。此猫不仅善于捕捉老鼠,还喜欢吃鸡。为了使这只猫更好地捉老鼠,赵国人为其准备足够的鸡。一月后老鼠被捉干净了,同时也少了一些鸡。他儿子表示不解,他解释说,我们现在最需要解决的就是鼠患,因此我们应该尽量满足猫的需要,让它努力工作。在完成某个任务时,谁最重要,就应该以谁为中心,尽量满足其需求,这样才能成功。企业在进行信息泄露防护建设时,往往会走入一个误区,即以少数几个决策人为中心,IT管理人员只顾推行上面的管控策略,却不顾下面占大多数的真正的用户。其实,后者才是信息泄露防护最重要的部分。
失“道”寡助
很多企业IT管[……]
这是最好的时代,这是最坏的时代;这是最便捷的时代,这是最危险的时代;这是充满机遇的时代,这也是危机四伏的时代。各种信息化技术风起云涌,今天的IT领域乃至各行各业唯一不变的便是变。
虚拟化,云计算,移动设备等纷纷涌现,为企业的信息化操作带来新的变革,然而潜伏其中的安全威胁我们却忽视不得。机遇总是与危险并存,是“鸡蛋”还是“炸弹”,重点在于我们如何应对。
在此前的博文里我曾与大家分享了移动设备的应对策略,移动设备的发展可谓是“风生水起”,其发展速度有多猛?我们不妨来看一下市场调查机构Ponemon Institute的一项调查报告。
调查结果显示,2010年只有9%的受访者[……]
“螳螂方欲食蝉,而不知黄雀在后,举其颈欲啄而食之也“,螳螂捕蝉的故事,尽人皆知,即便如此,现实中却常有陷入螳螂困境者。譬如很多企业在进行信息泄露防护建设时,往往挂一漏万,虽反复更迭,却始终难收佳效。
心无全局势必危
相比过去,企业的防泄密意识虽然提高了许多,但是对科学的防泄密方法却知之不多。很多企业在部署信息泄露防护系统之前,并没有对自身的安全需求进行全面而细致的研究,而只是凭感觉将企业人为地划分为核心区域与其他区域。很多企业决策者往往以为只要保护好所谓的核心区域就行了,于是对其他区域则听之任之。
但事实上企业是一个有机整体,各部分紧密相连。如果说把信息安全世界比作为整个宇宙[……]
恩格斯曾说:“社会一旦有技术上的需要,则这种需要就会比十所大学更能把科学推向前进。”信息防泄漏的发展便是如此,与企业需求相伴相生。随着企业转型以及信息化程度越来越高,单一功能的安全防护产品已经难以满足企业的需求,他们提出了更复杂、更全面的需求。
笔者进入企业内网安全行业已有十年之久,见证了整个行业的跌涨起伏。回溯信息防泄漏这10年的发展历程,俨然就是用户应用需求的变迁之路。短短10年间,信息防泄漏行业从销售单一的产品如监控,加密到为企业提供整体的信息防泄漏服务。
时代的开启:以监控为目的初级安全需求萌芽
世纪之初,随着计算机的普及,企业开始以电子手段来取代原来的纸质操作,越来越多[……]
一、调查报告
(1)Gartner报告称,2017年全球将有半数企业实施BYOD不再为员工提供计算设备,并将只有15%的企业拒绝实施BYOD,40%的企业将向员工同时提供公司设备和BYOD两种选择。
(2)麦肯锡报告称,目前约有70%的IT专家和医生们已经在使用移动设备来访问电子健康记录。且越来越多的医疗保健解决方案开始使用于无线和移动设备,BYOD将成为医疗保健行业项目的一部分。
点评:BYOD逐渐成为提升企业工作效率和满足员工个性化办公需求的新模式,但享受新设备带来的便利时,安全威胁亦尾随而来。对此,企业是将设备的某些功能进行阉割还是告诉员工:“抱歉,你的设备已被锁[……]
在安全界流传着这样一个故事:在一座破旧的庙里住着两只蜘蛛,一只在屋檐下,一只在佛龛上。一天,旧庙的屋顶塌掉了,不过没有殃及两只蜘蛛,它们依然在自己的地盘上织网。可自此之后佛龛上的蜘蛛网总被弄破,每每害得这只蜘蛛修理半天。如此反复,佛龛上的蜘蛛身心俱疲,无奈之下向它小伙伴求助,屋檐下的蜘蛛反问:“你只顾埋头补网,难道就没有发现头上的屋顶已经没有了吗?”修网固然重要,但了解网破的原因更重要。采取防泄密措施固然重要,但了解风险存在的原因更重要。
“贪吃蛇”困境
外界推一步,里面才动一下。但你永远不知道下一个漏洞会从哪里冒出来,也可能是同时钻出来几十上百个问题,你必须像贪吃蛇一样追上这些让人[……]
这两三年来,i-Pad,Blackberry,Android等移动设备不断的出现在公众的日常生活中,它们让信息的存储与传播更加方便和快捷,借助移动设备,随时随地的在线生活成为了可能。
同样的,移动设备的存在,不仅仅改变了作为个体的生活方式,GigaOm的一份最新报告显示,有38%的受访企业已经不同程度的在IT中应用了移动设备,而43%的受调查企业计划在1年内引入移动设备应用,而财富500强中65%的企业,已经不同程度部署了i-Pad。用户已经习惯用Blackberry收发邮件,用平板电脑为客户做演示,用移动设备远程接入企业网络获取信息,在线沟通,或者分享日程。
移动设备作为信息[……]
什么是准入控制?
准入控制,是网络准入控制(NAC)的简称,是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查。其概念包含两个主要的方面,一是对接入网络的用户进行身份的认证和应用的授权,即用户是否有权限使用网络、信息等资源;二是对终端设备的安全状态进行合规性检查,即终端设备是否符合基本的安全策略要求,包括对防病毒设备、补丁状态等进行检查。
为什么需要准入控制?
首先,准入控制能够为内网安全建立第一道防线。
考虑到病毒、木马、黑客等安全威胁的广泛存在,以及用户安全意识水平的参差不齐,虽然企业已经普遍部署了防火墙、入侵检测、漏洞扫描等各项安全策略,由于终端设[……]
一只水桶想盛满水,必须每块木板都一样平齐且无破损,如果这只桶的木板中有一块不齐或者某块木板下面有破洞,这只桶就无法盛满水。这个经典的木桶原理就是说一只水桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。在当下社会,出于对利益的疯狂追逐,信息泄露事件越来越多。虽然很多企业开始采取了一些信息泄露防护措施,但由于缺乏规划,建设不成系统,常常漏洞百出。一旦出现故障,就会捉襟见肘,应接不暇,其信息泄露防护水平依旧处于原地踏步的状态。
可以说,无论你采取多么强大的安全技术,如果不是从整体去考虑企业的安全防护,而放任一些防护薄弱区不管,那么最终企业的防泄密水平就可能[……]