上两篇札记中,老黄分析了在核心装加密,以及各种安全产品堆砌这两个在防护举措上虽"殊途",但防泄密效果却"同归"--依旧漏洞百出的企业案例。与这两个企业不同,目前仍有部分企业内部信息仍处于"裸奔"状态,毫无任何防护措施。当然,他们大多已经意识到信息防泄漏的重要性,也将这个事摆上了工作日程,但苦于不知道如何开展。下面,老黄选取了其中一个过来问诊的企业案例,把其脉象,为其解惑,让更多遇到相似"病状"的企业早日开展防泄漏工作,防范于未然。
出诊札记
外贸企业C,企业存放着许多机密信息。企业内部没有任何防护措施,现已意识到防护的必要性,但是遇到了诸多困扰,防泄漏项目不知道该从何下手。企业内部经常用的是邮件系统和QQ,担忧经常与外界有文档往来的销售部通过邮件、QQ将核心信息如客户资料,销售额等泄露出去。想采取防护措施,但发现很容易出现防不胜防的问题,比如提供邮件系统的服务商太多了,一个个封堵不现实,但如果仅仅禁止SMTP端口,还是可能会通过webmail直接登录邮件系统,也不清楚是否还存在其他未知的泄密威胁。企业属于销售型,人员经常都有较大变动,如何应对人员的威胁。想了解一整套的防泄密方案,统一进行管理。
困扰所在
无法掌握清楚企业内部存在的威胁点
C企业有安全防护的需求,但在项目开始前不知道通过何种手段将企业内部目前存在的安全问题以及威胁都梳理清楚。
怎样才能全面封堵漏洞,避免防不胜防
在问诊过程中,C企业向老黄抱怨,互联网太丰富多彩了,技术层出不穷,顾得了这个,那边又疏忽了。困惑于如何既实现最大程度的安全,但又不会因噎废食,一刀切全封堵各种应用。
如何应对人员变动带来的安全威胁
C企业属于销售型企业,频繁的人员变动尤其是销售人员的变动实属正常,但恰恰是销售人员经常接触到大量决定企业生死存亡的内部信息。因此,如何避免离职人员在离开时机密信息带出一直是C企业的"心头大石"。
对症下药
综合C企业心存的疑惑以及向老黄提出的"一整套防泄密方案"这一需求,溢信科技领先推出的以"整体信息防泄漏"理念为核心的IP-guard三重保护信息防泄漏解决方案正是为C企业解除疑惑,满足其需求的药方。下面,老黄将结合这个整体的药方为B企业对症下药,开出合适的药单子。
利用审计,"地毡式"排查安全威胁
目前C企业尚无任何防护措施,因此当务之急是先将内部全范围的安全问题都审视清楚。除了梳理企业内部情况,如了解清楚内部使用了哪些系统,机密信息如客户资料、销售额存放的位置、使用流程。还需要借助内网安全管理产品如IP-guard的审计功能,全面探测安全病状,对企业内部的操作行为进行详细的记录,发现存在的漏洞以及威胁,从而进行有针对性的防护。
老黄接触到一些客户的做法是正式部署前,通过试用IP-guard产品,先不做任何管控,而是通过审计将企业内部的问题掌握清楚,然后再根据具体的问题利用IP-guard三重保护解决方案进行相应的部署。通过清晰明了的审计报表将问题一一呈现,不仅有利于下一步的防护,而且也更具说服力,增大企业管理者对安全管理工作的支持力度。
目前大家往往低估了"审计"的功效,认为它只是马后炮,只能用于事后追踪责任。却不知"审计"其实是信息防泄露中最重要的一环,它就如平日我们用以探测病情的CT仪器,帮助企业对内部安全问题做到可视化,并对防泄漏项目效果进行评估,为防护策略调整提供依据。
按需部署,在内部建构全面、力度轻重不一的防泄露体系
C企业在问诊过程中向老黄提出需要寻找一整套防泄密方案,进行统一的管理。老黄认为,这样的思路是正确的,唯有全面、整体的防泄漏体系才能实现真正的安全,这也是IP-guard三重保护信息防泄漏解决方案的核心思路。它将审计、管控、加密等防泄密技术,并将所有的防泄漏管理都整合到统一管理平台,从而形成统一、全面的防泄漏体系。通过统一的管理平台,不仅管理、维护简便,提高IT管理人员的效率,而且能根据企业的需求快速进行功能扩充,无缝集成。
C企业可应用三重保护信息防泄漏解决方案,根据企业内部每个部门具体的涉密级别,对症下药,实现力度轻重不一的全面防御,在不影响安全的前提下,最大限度实现安全。
比如对于行政部、后勤部等这些涉密程度较低的部门,部署基础的审计以及适当的管控即可。而对于工作中能接触到敏感信息,但又与外部有较频繁文件交互的销售部,则部署详细的审计以及严格的管控如严格控制文档的权限,不需要看到的信息决不能让他们看到。对于存放大量机密信息的财务部,除了审计以及管控外,如果情况允许,可考虑部署加密,多加一重安全。
C企业提到企业内部经常使用的应用程序是邮件以及QQ,因此对这两个程序需要严格的管控和审计。IP-guard邮件管控功能,能够管理普通类型邮件、Exchange以及Lotus格式邮件,并通过网页浏览禁止在内部使用网页邮件。通过IP-guard的邮件管控功能,限定内部人员只能通过指定账户与外界联系,并根据具体情况进行附件名称、大小等的限定,这就解决了C企业对于邮件"防不胜防"的困惑了。对于经常外发信息到外界的销售部,还需要通过限定发送邮件必须抄送主管经理这一方式,最大程度避免疏漏。对QQ的管理,除了销售部外,一律禁止在上班时间使用QQ。对于销售部门,则通过IP-guard的即时通讯管控,限定只能使用指定账号与外界联系。通过IP-guard的邮件管控、即时通讯管控,便能很好地解决了C企业目前的主要泄密渠道。
除了进行相应的管控外,对内部行为进行详细的审计、定期查看记录也是不可忽视的。通过查看审计内容,能及时发现异常,快速应对,降低了安全事故发生的几率。
避免离职人员泄密,须打好"预防针"
老黄在上面提到企业内部情况是在不断发展的,C企业向老黄描述的人员频繁流动就是其中的一个经典情况。老黄在与客户交流中发现,离职顺便带走一些资料已经不是个例,要避免离职人员可能会引起泄密事件,老黄认为需要从技术和管理两方面去着手。
及时收紧离职人员的权限是很重要的,有不少泄密事件都是因为没有及时收回权限而导致的。尤其是管理层的人员,对于安全管理部门的管理员,还要及时注销其账号或者修改密码,保证其在离职后无法登陆到公司的各种安全管理系统中来。除了权限调整要及时外,对于即将离职的人员,需要详尽、高频次的审计。这样可以及时发现异常情况,阻止泄密事件的发生,而且还能形成心理震慑作用,降低泄密风险。
除此之外,还需要相应的一些管理,比如在内部建立并实施严格的管理制度,如与员工签署保密协议等。
出诊心得
目前大家都已经开始意识到了企业信息的价值所在以及泄密的危害,防护的意识都在提高,安全需求也愈加迫切。虽然每个企业的情况都是不一样的,需要具体问题具体分析。但老黄认为,信息防泄漏万变不离其宗,根本的防护思想是一样,都是需要全面、整体的防护体系。
通过审计发现问题,进而根据具体的问题按需部署,有针对性的防御。部署项目后并不意味着信息防泄露就可一劳永逸了,需要定期对内部情况进行详细审计,通过报表进行趋势对比,评估防御效果,随时调整安全防护策略,形成动态防护。
【编辑推荐】