数据泄露防范人为因素

安全 数据安全
虽然恶意用户是企业IT团队的主要关注对象,但员工有时粗心大意也让IT团队很头疼。最近很多数据泄漏都源自于简单的人为错误,这意味着数据访问权限控制在数据泄露防范方面发挥着关键作用。

实际上数据泄露防范并不单单指的架设企业安全产品,从以往的经验而言,通过技术层面而导致的数据泄露只是一部份途径而已。而更多的是经过认为方式而导致的数据泄露。例如,今年早些时候,谷歌公司就指责因为人为错误而导致该公司遭遇严重数据泄露事故。投资于谷歌搜索服务的一位谷歌客户发现他们需要的信息,人们在点击前使用的搜索条件和其他相关数据都被发往第三方。这并不存在什么恶意攻击行为,谷歌表示只是因为某员工简单地将来自一个模版的信息复制和粘贴到错误的模版上所造成的。

但这个解释对于已经造成的损失无济于事。如果信息被发送给竞争对手,谷歌的客户将会被置身于严重的战略劣势,可能会断绝与该搜索巨头的业务往来,毕竟数据泄漏可能会严重后果。企业机密文件可能在几次简单点击后就会传遍整个世界,因此对于企业来说,当务之急应该是确保他们的敏感信息免受恶意用户和自己员工的疏忽的危害。

数据泄露防范之Sterling-Hoffman公司的数据安全策略

Sterling-Hoffman公司的数据安全策略的中心思想是,任何允许员工在视觉上再现文件的方法都应该被禁止。不管是从屏幕上复制信息到另一个文件夹或者使用拍照手机捕捉信息照片,一旦恶意入侵者获取屏幕上的数据,将一发不可收拾。尽管如此,企业不能强迫执行数据保护政策,因为这可能会导致对生产力的负面影响,使他们失去竞争优势。这也是为什么我们部署全面数据安全政策保护信息源以及位于主要通讯渠道的信息以防止泄漏的原因。

数据泄露防范之企业访问权限管理

数据安全战略的第一个要素就是强行使用企业访问权限管理(ERM)解决方案。ERM允许Sterling-Hoffman公司来执行自动化过程,当任何时候创建文件时,都会自动应用访问权限和使用用法控制。虽然对每个文件进行加密可能会有点繁重,客户的隐私是企业业务的重点。对企业来说,从安全考虑来看,必须确保敏感文件的安全。

与很多企业一样,Sterling-Hoffman公司在整个世界范围内经营业务,我们必须确保自动化加密战略能在世界各地办事处都发挥作用。企业访问权限管理提供了对从企业IT基础设施发往任何第三方的数据的可执行访问与使用控制,境外办事处和业务伙伴是主要数据泄漏漏洞的来源,因为很多国家没有像美国一样关于业务和数据安全法律。

由于不可能监控海外合作伙伴如何处理我们提供给他们的信息,企业访问权限管理可以限制用户如何使用数据(例如,禁止敏感文件被打印或者复制/粘贴),这为我们提供了除了纯粹访问控制外额外的安全保障。

数据泄露防范之企业访问权限管理案例

在我们部署企业访问权限管理之前,一名应聘者拿着我们内部培训文件(这是公司高度机密文件)表示,他从我们的海外业务往来公司收到这份文件。

这对于非常重视数据安全的Sterling-Hoffman公司而言,无疑是非常大的打击,这让我们意识到不能够与海外或者合作伙伴共享任何信息,除非我们能够从信息水平保护数据安全。不久后,我们才开始使用企业访问权限管理。

企业访问权限管理还可以帮助我们解决来自第三方的挑战,主要通过为敏感信息设置过期访问时间。这可以让我们与合作伙伴、外包商以及员工在有限时间内共享信息,并且只有在特定时间内获取IT人员的允许,才能够查看信息。之前的合作伙伴和员工将无法访问或者共享数据,这是个很好的保障措施。

数据泄露防范之规范电子通信的使用

我们部署的数据保护策略的第二个要素就是对电子通信通道进行规范,包括电子邮件和即时通信(IM)。对于后者这个电子通信方式,我们使用了赛门铁克的IM即时通信管理器来抵御与即时通信相关的数据泄漏。该解决方案要求我们的员工申请即时通信特权,并且当他们想要添加一个联系人到通讯录时需要通过申请程序。这能够帮助我们仅对需要使用即时通信用于工作需要的人提供实时通信工具。

开源即时通信应用程序可能成为主要的数据漏洞,因为新版本能够使用户传输文件给其他人而不需要通过企业虚拟网或者防火墙。即时通信管理器为我们提供了安全保障,使我们能够解决这个新型的企业挑战。

电子邮件通常都是非常难以管理的平台,因为公司非常依赖于电子邮件。任何咄咄逼人的政策都可能对生产效率造成严重影响,所以我们根据两个基本常识来确定我们的电子邮件政策,以下就是两个基本要素:

第一、我们通过某种文件格式(例如会计使用Excel)来鉴定某种工作组,并且防止用户以他们工作组以外的格式发送信息。我们还对这个规则进行了更详细的调整,将电子邮件信息内保护的某种类型的信息也划入鉴定工作组的条件。例如,市场营销人员的电子邮件如何保护社会安全号码或者其他个人识别信息的话,电子邮件将会被禁用。

第二、我们还禁止了电子邮件字符串包含多个RE:前缀,这种类型的信息通常都与恶意行为有关,所以我们宁愿选择禁止。

在经济不景气和大幅度裁员之后,薄弱的数据安全给企业生存能力和产业竞争力带来永久性的伤害。市场领导人与非领导人的区别微乎其微,因此企业必须能够控制谁拥有访问敏感信息的权限。从信息水平保护信息的全面安全方法能够保证企业的生产效率同时确保企业敏感信息安全性。
 

【编辑推荐】

  1. 简单几步确保数据库安全
  2. 你所忽视的MySQL数据库安全问题
  3. 两种策略选择开源安全产品
  4. 数据泄露的七种主要途径
  5. 保护数据安全的三种武器
责任编辑:张启峰 来源: IT168
相关推荐

2021-06-29 10:44:40

数据安全数据泄露风险

2015-06-04 10:35:39

数据中心

2023-06-26 11:37:40

2020-10-31 21:42:20

物联网医院IOT

2020-06-05 11:21:10

物联网IOT大数据

2010-09-09 08:57:28

2010-09-03 16:44:22

2020-07-07 12:15:34

数据中心能源技术

2010-09-06 10:26:30

2023-09-23 08:09:32

2021-05-15 08:58:12

数据库网络钓鱼数据

2020-02-28 10:58:27

RSACRSA大会新思科技

2023-05-18 16:34:09

数字化转型制造业

2021-12-13 06:32:52

黑客渗透测试人为因素

2012-04-11 09:42:33

DLP数据保护数据丢失防护

2023-03-10 08:39:54

2015-06-19 13:38:25

2020-06-04 14:05:56

数据泄露安全互联网

2015-10-22 13:32:42

2020-02-27 12:20:20

RSAC腾讯安全
点赞
收藏

51CTO技术栈公众号