保護用戶和其他重要資料不被惡意竊取�����、破壞���,是當(dāng)前商界和IT安全業(yè)界所面臨的最大挑戰(zhàn)之一。就這個問題而言�����,企業(yè)的CIO和CSO們務(wù)必確保企業(yè)的日常業(yè)務(wù)運營��、合作需求、用戶和競爭需要等處于正常運作的前提下�����,重要信息的安全性���。
Websense的技術(shù)專家曾經(jīng)指出:“企業(yè)的機密信息防護必須從網(wǎng)絡(luò)端和終端雙方面入手����,并有效阻止意外泄露和惡意竊取�����。企業(yè)的網(wǎng)絡(luò)資源管理人員必須清楚獲知機密數(shù)據(jù)在網(wǎng)絡(luò)中的精確位置�����。監(jiān)測這些數(shù)據(jù)����、信息的使用者狀況,并有力保護數(shù)據(jù)的不被竊取�����、流失和破壞,幫助企業(yè)保護財產(chǎn)�����、控制風(fēng)險����。”
信息泄露主要存在文件轉(zhuǎn)移��、網(wǎng)絡(luò)��、即時通訊�、P2P�����、郵件�����、網(wǎng)絡(luò)印刷等6種模式�����。根據(jù)目的和性質(zhì)不同也可分為惡意竊取、病毒和惡意軟件的破壞��、內(nèi)部人員的不經(jīng)意流失等三種情況�����。
Websense CIO Jim Haskin表示:我們每天都會聽到因信息泄露而給企業(yè)帶來損失的事件發(fā)生�����,這些企業(yè)涵蓋了從零售業(yè)到政府的各行各業(yè)��。盡管信息防護是企業(yè)CIO的主要責(zé)任����,但關(guān)于信息防護本身,還存在著非常多的誤解����。我們將會在本文中介紹這些誤區(qū)的具體表現(xiàn),告知企業(yè)信息泄露的具體途徑和信息泄露防護解決方案的重要組成模塊���。
誤解一:信息泄漏預(yù)防是安全管理員的事
保障公司不受外來威脅的侵擾被公認是安全管理員的職責(zé)所在�,但確保公司的信息不被外泄卻需要一個更大范圍的協(xié)作。如今���,保護企業(yè)敏感信息不被外泄是包括從IT部門到律政署�、董事會等所有人員的共同責(zé)任�。
誤解二:阻止即時通訊、電子郵件以及外部存儲設(shè)備的使用�,就不必擔(dān)心資料外泄
控制即時通訊,電子郵箱和外部存儲設(shè)備的使用可能會增加基本數(shù)據(jù)的安全性����,但我們?nèi)缃裉幱谝粋€高速發(fā)展的互聯(lián)網(wǎng)世界,嚴格限制信息流通將導(dǎo)致正常的業(yè)務(wù)流程被阻斷����,最終將制約公司的成長。充分有效的信息泄露防護需要確保公司信息的安全得到保障�����,同時不破壞它的正常使用�����。信息的管理需要取得平衡�,最佳方案就是:建立信息泄漏預(yù)防政策的同時����,開放即時通訊軟件和網(wǎng)絡(luò)的使用�����,利用越來越強大的技術(shù)如端點安全和加密技術(shù)�����、信息泄漏防護技術(shù)�,使員工���、企業(yè)的業(yè)務(wù)和信息安全都得到有力的保障�����。
誤解三:企業(yè)很清楚數(shù)據(jù)在什么位置
大部分企業(yè)并沒有沒有很好地處理的數(shù)據(jù)信息���,無論是文件服務(wù)器還是公司的筆記本電腦。清楚了解誰能夠訪問數(shù)據(jù)和數(shù)據(jù)流進流出的途徑是至關(guān)重要的����。不僅如此,企業(yè)的CIO需要清晰的界定核心機密信息所在的位置、傳播的途徑和互聯(lián)網(wǎng)使用策略���,并能夠及時更新互聯(lián)網(wǎng)使用策略�。
誤解四:企業(yè)應(yīng)該主要保護數(shù)據(jù)不被竊取和惡意破壞
惡意的數(shù)據(jù)泄漏和竊取防護工作固然重要�,但大多數(shù)的機密數(shù)據(jù)泄露都不是由惡意破壞或竊取所導(dǎo)致的。現(xiàn)有業(yè)務(wù)流程和網(wǎng)絡(luò)使用過程中的失誤���、偏差��,以及員工和服務(wù)器代理商的疏忽都可以導(dǎo)致機密信息的泄露�。
根據(jù)Forrester Research的統(tǒng)計資料顯示����,百分之七十以上的數(shù)據(jù)泄露都是無意的。電子郵件發(fā)送的不慎很有可能將公司的機密信息泄露給外界�����。企業(yè)必須制定一套有效的信息泄漏預(yù)防解決方案����,來著眼于無意的數(shù)據(jù)丟失所導(dǎo)致的日常風(fēng)險。
誤解五:員工很清楚哪些資料不能外泄
大多數(shù)的員工會在無意間將企業(yè)的重要資料泄露��,他們并不了解他們公司的策略�����。員工經(jīng)常不清楚為什么在外出差或者在家中通過Web郵箱會帶來很大的風(fēng)險���,以及為什么需要繁瑣的密碼保護程序�����。
在當(dāng)前這樣一個越來越流動的工作環(huán)境中��,員工培訓(xùn)是非常重要的��。 很有效的做法是����,給員工進行相關(guān)培訓(xùn)�,告知他們哪些資料,可在什么地方獲取以及如何使用�����。第二步即是利用信息泄漏防護技術(shù)�����,以自動加強對員工的繼續(xù)教育和策略的執(zhí)行。
