咨询热线:400-000-3720 中文 | English
您现在的位置: 安腾软件 >> ITEN博客 >> 正文

来自城防的启示 怎样做好信息防泄漏

整体信息防泄漏内网安全 三重保护

被誉为台湾“品牌教父”的Acer创始人施振荣先生,于1992年“再造宏基”时提出了“微笑曲线”的理论,理论的核心内容即是:在产业链中,附加值更多体现在两端,研发和营销,处于中间环节的制造附加值 低。因此产业未来应朝微笑曲线的两端发展,也就是在左边加强研发创造智慧财产权,在右边加强客户导向的营销与服务。

微笑曲线示意图

微笑曲线理论不仅作为宏基的策略方向,更成为台湾各产业长期发展的策略,引导台湾各行业走过转型升级的再造之路。如今台湾各行业发展赢得世人瞩目,微笑曲线功不可没。

目前,大陆的企业也纷纷走上了转型升级之路,制造业企业更是首当其冲。转型前大多企业主要依靠规模经济和廉价劳动力来赚取微博的利润,转型后则依靠设计图纸、自主研发的产品等核心智慧资产成为提升利润率的有利武器。对于此时的企业, 可怕的不是自主创新的高成本,而是对智力资产保护不力,造成信息泄露, 终导致的优势丧失。即发生目前国内常见的“山寨猛于虎”的状况。

然而,信息外泄的途径繁多,涉及的人员规模也大,我们都知道,任何一个疏漏,都可能成为一起后果严重的泄密事件。因此很多企业面对防泄问题往往找不到头绪。根据美国FBI 调查显示,80%的安全威胁来自企业内部,将近60%的离职者或被辞退者在离开时会携带企业数据。来自中国公安部的调查也显示,国内75%以上的泄密事件是由内部员工造成的。内部泄密已经成为造成企业信息泄漏的 大原因。

因此,信息防泄漏管理就如同做城防,不是防止外面的敌军攻入,而是防止从内部攻破的城防。如此一来,解决防泄漏问题的思路便清晰了:

首先,设置安全瞭望哨,洞晓城内的动静,发现安全隐患;

一说到城防,不少人首先想到的即是“安全瞭望哨”,这也是城防“基本并且必须的”设置的岗位。从现实的城防来看,也仅有“空城计”这一出戏没有设置瞭望哨(但其真实性还存在争议),因此,瞭望哨是城防当中不可缺少的一部分。

安全瞭望哨对应在信息防泄漏中即是安全审计,而这一环节恰恰又被不少企业所疏忽,企业往往误认为审计只是马后炮。其实这严重低估了审计的作用。当“生米煮成熟饭”之时,企业已经陷入被动局面、损失也已经无法挽回。

回顾一下L公司泄密事件:2005年前技术主任A先生离职,并用移动硬盘拷走千余份重要的技术资料。à2007年,A通过其前手下,共获取L公司技术资料几百份。交给新东家换取高薪。à2008年,L公司发现泄密,将A等告上法庭, 终L公司自曝经济损失高达14亿美元,A面临牢狱之灾。

其实这个事件,通过审计及早发现泄密并非难事,L公司就可以避免损失,从另外一方面来讲,A员工也避免了犯罪,总不至于造成 终这个“两败俱伤”的结局。

事后追责,仅仅是让“偷窃者”受到了应有的惩罚,对企业再无更多益处。事实上,安全管理较为成熟、完善的企业无一例外都非常重视审计,规模稍大的企业还会设立部门来专门负责各种操作、内容等审计工作,以便能及早发现泄密的苗头。

其次,城内重要区域设置关卡,有相应令牌者方可进入;

不用说城防,即使在占山为王的山寨中,也不是所有人都可以自由出入于山寨的任何地方,一些重要的区域会有专人把守,没有令牌、不知暗语者无法进入。企业信息防泄漏也是同样的道理,一来要在存有重要信息的地方设好关卡,比如财务部、文档服务器等,避免无关的人员获取到重要信息;二来要在消息的各个出口设置关卡,比如U盘、E-mail等,限制文档的传播,杜绝信息有这些出口不知不觉外流出去。

企业在进行权限管理时,需看到随着技术和应用的不断快速丰富,关卡也要及时增加,当下智能手机、移动应用的普及,给企业的信息防泄管理带来了新的挑战。企业需要灵活地新增关卡以便能够适应和覆盖新的产品或技术。

于此同时,当人事变动出现时,及时更改关卡权限也是十分必要的,三星泄密事件中其前雇员在提出离职后仍有权限访问文档服务器上的机密信息不可不说是事件得以发生的一大前提。

后,机密信息采用密报,即使被夹带出城,也无法破解。

对于异常重要的信息,审计和权限管理显然不足以让人高枕无忧,还需要更为严苛的保护方法:将其做成密报,即使被带出城去也无法破解,只有这样才让人足够安心。信息防泄漏中,透明加密即可以做到这点,它好比给每个重要的文档都配备一个专属的贴身保险柜,没有经过授权的人无法访问和使用加密文档,给机密信息带来终极防护。

加密的效果是非常诱人的,这也导致09年加密的大热潮,然而加密性烈,其副作用不可忽视,主要表现为有一定的风险,对企业运行会造成一些影响。因此企业在选用加密产品时更需谨慎,对产品的稳定性、可用性和易用性要严格的考察。

因此,企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切、不分轻重的在全公司范围内采取相同的策略,这样虽然看似达到了 为安全的效果,但实际将会为企业带来高成本、低效率以及难以使用和维护等困难。而安全没有绝对,企业必须在所需的安全程度和为此付出的成本之间取得平衡,也是俗话说的性价比。

以通常所说的加密为例,其成本要远远高于审计和控制功能,且对企业运行效率有不可忽略的影响,在实际实施时,企业全面部署加密并非明智之举,往往需要以上三种配合实施:第一步,首先全公司范围都进行安全审计,及早发现外泄隐患;其次,设置管控策略,限制信息传播,并对产生重要信息的部门设置更为严格的管控策略; 后,针对极其重要的部门,对其机密信息进行加密保护。这样既有的放矢,同时又在保证公司运行效率的前提下实现了 优化的信息防泄管理。