在企业从选择信息防泄漏方案到最终部署完成,运行维护的过程中,总会遇到许多问题,这些问题是众多企业和业界共同关注的,是关系到信息防泄漏方案能否成功应用并发挥高效的关键。溢信科技作为内网安全领域企业,见证了许多企业的信息安全部署历程,也为许多企业在关键难题上提供了有力的解决方案。在溢信科技2011-2012企业级信息防泄漏大趋势中,介绍了过去的一年,内网安全行业在需求、功能、参与者等方面的变化,下面就企业在信息防泄漏方案应用过程中最常遇到的五个难题,予以分析与解答,以供参考。
·在众多的信息防泄漏方案中,哪一种才是最适合企业自身的,强审计,边界封堵,信息过滤,还是加密?
目前内网安全市场产品混杂,名号众多,企业在选择信息防泄漏方案的时候,难免会眼花缭乱,无所适从。其实企业在部署信息安全方案时,还是要从对自身实际情况出发。要想知道哪种信息防泄漏方案是最适合自己,就必须首先弄清楚企业本身的安全需求,只有清楚地知道自己需要什么,才能找到真正适合自己的信息防泄漏方案。
首先得列出企业的需要保护的机密数据,比如源代码、设计图纸等,这些数据放在什么地方?什么人会接触到这些数据?企业里面可能存在的泄密渠道有哪些?在充分了解自身的信息安全需求的基础上,企业才能针对性地对进行信息防泄漏部署。
而事实上没有哪一种单一产品可以帮助企业解决所有问题,不同的产品有不同的侧重点。加密产品对于拥有自己核心的知识产权的公司或者公司的核心部门来说效用更大,因为知识产权是这些公司的核心竞争力,安全要求高,稍有疏忽便可能损失巨大,所以必须要部署高强度的保护措施。边界封堵是对公司网络出口和各种移动设备进行控制,防护等级要比加密低,但是要防止企业的重要信息随意流出,。信息过滤更多的是国外DLP产品的思路,在国内市场实际应用性并不高。
于是有企业想到把各个领域的功能强大的产品集中到一起,以期强强联合,万无一失,但实际上简单地把各个功能强大的产品集合到一起,又往往容易发生兼容性等问题,结果强强联合之后反而发挥不出正常的效果,所以统一平台集中管理是一个企业选择信息防泄漏方案非常值得考虑的一点,这样还有利于企业的防御扩展。
总之部署信息防泄漏方案要充分考虑眼下的问题,还要考虑到未来可能的功能需求,综合考虑才能找到最适合的方案。
·企业应该如何调和部署信息防泄漏方案过程中面临的效率、安全和成本三者之间的矛盾?
效率、安全和成本的矛盾是企业经营过程中经常面对的一个命题,在信息防泄漏方面当然也不例外,如何调和三者,往往会决定企业一项部署最终的成效。
首先从理念上讲效率、安全和成本是一个既矛盾又融合的综合体,脱离任何一个去谈其他两个都意义不大。其实安全并不是一个绝对的概念,高效率的背后往往意味着高风险,安全与效率之间只能是去找到二者之间的平衡,在满足安全需求的同时,让办公效率也在可接受范畴之中,这就是***的调和。部署信息防泄漏系统必然或多或少地对企业系统有一些影响,以加密而言,除了会对计算机系统有影响,其本身的工作效率也是与稳定性挂钩的,加解密效率高,相应的稳定性与安全性就会相对低一点。但这不因此就成为一个死结,企业只要让两者处于可接受范围内即可。
其次从技术上讲,要调和效率、安全和成本三者之间的矛盾,就要针对企业的实际情况进行有的放失的部署。企业中不同的部门有不同的安全需求,所以防护力度轻重有别是必然的,越严格的安全管控对企业的办公效率的影响越大,所以企业必须非常清楚本身的安全需求的细节,从每个环节中去提高效率,最终才能追求整体上的高效率。而信息防泄漏方案的成本主要来源于加密产品,所以企业要确认真正需要高强度加密保护的核心机密信息,而不是一密全密。
另外信息防泄漏方案的顺利运行还需要相应的规章制度与管理的配合,好的管理会提高信息防泄漏系统运行的效率,人与技术加在一起才能称作效率。比如说企业中的移动存储管理,从技术上说是可以对移动存储进行识别与控制,但如果没有严格的管理制度,企业里面还是会发生U盘泛滥的现象。
企业在选择信息防泄漏方案时,只要明确自己的底线,在底线之上企业不必过于纠结三者之间的矛盾,况且随着技术的革新,这种矛盾必会得到逐步改善。
·企业怎样才能卓有成效地实施推进信息防泄漏方案?
目前越来越多的企业意识到内网安全的重要性,纷纷开始着手部署相关产品。但是由于内网安全建设经验不足,大家在选择与部署相关产品和方案时很茫然,如何选择适合自己的方案,怎样让方案从最开始的计划书变成最终高效运行的企业系统,是大家面临的一个重要课题。
一个项目的顺利实施离不开全面详细的规划与科学的管理。要使信息防泄漏方案能够卓有成效地实施,必须从一开始就要进行严密的分析与科学的选择。从流程上来讲主要有以下几点:
首先***成立专门的项目组,确定各自的工作内容。
然后要弄清楚企业的信息安全需求点。为什么要部署信息防泄漏方案?是为满足国家信息安全保护要求,还是身处在一个商业机密泄露高发行业?企业的重要数据在哪里?是研发部?还是设计部?谁可以接触到它?企业中可能存在的泄密渠道有哪些?网络通讯还是移动存储设备?等等,最终落实到项目需求分析书中。
再根据项目需求分析来设计实施计划,详细的安全保护策略和配套的安全管理制度。这个阶段涉及到产品选型,企业在选择产品的时候,除了考虑效率、安全性、稳定性、兼容性等技术指标外,还应该考虑厂商的研发能力、行业成功案例、售后服务等因素,综合实力强的厂商可信度更高。
接下来是信息防泄漏方案的部署与测试。这个环节要注意科学的管理,人员的选择,进度的把握等等。如果是按模块进行部署的,可以在每个模块部署后及时进行测试与验证,以便发现问题与解决。
***在信息防泄漏系统运行与维护时,要注意与管理相结合,正所谓“七分技术,三分管理”,只有与管理配合,信息防泄漏方能达到***效果。
·信息防泄漏解决方案怎样才能囊括对企业原有的ERP\PLM\OA等业务系统中数据的保护?
随着企业信息管理系统的普及,应用系统的安全问题日渐成为企业的一个重要需求点,这些系统往往存储着企业重要的数据,而且访问量大,用户身份杂,所以必须进行控制。实际上内网安全系统与企业原来的应用系统并不存在不相容的问题,内网安全系统的作用之一就是要保护存储于ERP/OA/PLM这些系统中数据的安全。目前来说可以从以下两方面进行安全部署:
一是充分利用好这些应用系统本身的权限控制机制,严格分配不同人员的权限及流动人员的权限管理,这是最基本的。
二是可以在这些系统前部署加密安全网关,对系统访问的权限进行严格的控制,确保只有经过认证的程序和用户可以访问,这样既可以保证数据的正常使用,又可避免数据在终端泄露;同时也要对打印、复制等行为进行适当管控,并且对操作进行详尽的审计,便于随时核查。
·企业应该怎样看待审计在信息防泄漏体系中的角色?如何才能避免审计带来的隐私难题?
虽然审计功能已经出现一段时间,但其实一直处于被忽视的位置。不少企业认为审计除了在事故发生后用于溯寻原因,无其他重要用处。是一个误解,实际上审计应该说是企业部署信息防泄漏方案的基础。部署前审计帮助企业发现存在的问题,应用过程中审计帮助企业掌握网络实况,***审计是企业检验效果与实行改进的依据。可以说,审计就是企业信息安全的晴雨表,但如何将审计的作用发挥到***,同时避免有关隐私的法律问题,需要企业做好以下几方面。
1、要明确审计的范围,比如是不是需要审计所有的内容,还是只审计上网就够了?从安全角度来说是越全越好,但从合理性角度来说,不该审计的,就不应该去碰;
2、对审计人员的权限,要有所限制。谁有审计的权限,什么情况下可以审计,需要走什么样的流程,都该有成文的规定。由于审计人员拥有直接查看可能涉及到隐私的信息的权限,就有必要对其审计行为进行再审计。
3、要合理利用审计的来的信息,善于将得到的信息根据自己的需要做成高度可视化的报表,反映出关键的问题,为决策提供指导。
4、从实施的角度来说,***做到告知义务,同时形成制度性,在员工入职时进行保密协议等的签署和公司制度、安全制度的培训。
相信随着审计本身的功能(如报表)的强大,越来越多的企业会认可它的重要性,也会花更多时间与精力去研究与应用它。
以上五个问题是溢信科技在2011-2012调研数据中精选出来的,企业在部署信息防泄漏方案时最常面对的几个难题,但是答案显然是不足以解决所有问题的。信息防泄漏建设不是一蹴而就的,需要企业结合自身的实际情况慢慢地去探索。未来随着新技术的发展,企业面临的网络必然更加复杂,而业务的发展也必然会要求企业的内网具有更大的开放性,信息安全是企业发展一项基础性工作,企业必须真正重视起来,并投入足够的人力物力进行研究与执行,才能找到适合自己的卓有成效的信息防泄漏方案。