保護用戶和其他重要資料不被惡意竊取�����、破壞��,是當(dāng)前商界和IT安全業(yè)界所面臨的最大挑戰(zhàn)之一�。就這個問題而言,企業(yè)的CIO和CSO們務(wù)必確保企業(yè)的日常業(yè)務(wù)運營��、合作需求�、用戶和競爭需要等處于正常運作的前提下,重要信息的安全性����。
Websense的技術(shù)專家曾經(jīng)指出:“企業(yè)的機密信息防護必須從網(wǎng)絡(luò)端和終端雙方面入手,并有效阻止意外泄露和惡意竊取�。企業(yè)的網(wǎng)絡(luò)資源管理人員必須清楚獲知機密數(shù)據(jù)在網(wǎng)絡(luò)中的精確位置。監(jiān)測這些數(shù)據(jù)��、信息的使用者狀況��,并有力保護數(shù)據(jù)的不被竊取�����、流失和破壞�,幫助企業(yè)保護財產(chǎn)、控制風(fēng)險�。”
信息泄露主要存在文件轉(zhuǎn)移�����、網(wǎng)絡(luò)���、即時通訊���、P2P、郵件���、網(wǎng)絡(luò)印刷等6種模式����。根據(jù)目的和性質(zhì)不同也可分為惡意竊取�、病毒和惡意軟件的破壞���、內(nèi)部人員的不經(jīng)意流失等三種情況。
Websense CIO Jim Haskin表示:我們每天都會聽到因信息泄露而給企業(yè)帶來損失的事件發(fā)生��,這些企業(yè)涵蓋了從零售業(yè)到政府的各行各業(yè)�����。盡管信息防護是企業(yè)CIO的主要責(zé)任��,但關(guān)于信息防護本身��,還存在著非常多的誤解�。我們將會在本文中介紹這些誤區(qū)的具體表現(xiàn),告知企業(yè)信息泄露的具體途徑和信息泄露防護解決方案的重要組成模塊��。
誤解一:信息泄漏預(yù)防是安全管理員的事
保障公司不受外來威脅的侵?jǐn)_被公認是安全管理員的職責(zé)所在�����,但確保公司的信息不被外泄卻需要一個更大范圍的協(xié)作����。如今,保護企業(yè)敏感信息不被外泄是包括從IT部門到律政署����、董事會等所有人員的共同責(zé)任。
誤解二:阻止即時通訊��、電子郵件以及外部存儲設(shè)備的使用���,就不必擔(dān)心資料外泄
控制即時通訊��,電子郵箱和外部存儲設(shè)備的使用可能會增加基本數(shù)據(jù)的安全性��,但我們?nèi)缃裉幱谝粋€高速發(fā)展的互聯(lián)網(wǎng)世界��,嚴(yán)格限制信息流通將導(dǎo)致正常的業(yè)務(wù)流程被阻斷��,最終將制約公司的成長���。充分有效的信息泄露防護需要確保公司信息的安全得到保障,同時不破壞它的正常使用�����。信息的管理需要取得平衡��,最佳方案就是:建立信息泄漏預(yù)防政策的同時����,開放即時通訊軟件和網(wǎng)絡(luò)的使用�����,利用越來越強大的技術(shù)如端點安全和加密技術(shù)���、信息泄漏防護技術(shù),使員工��、企業(yè)的業(yè)務(wù)和信息安全都得到有力的保障�����。
誤解三:企業(yè)很清楚數(shù)據(jù)在什么位置
大部分企業(yè)并沒有沒有很好地處理的數(shù)據(jù)信息���,無論是文件服務(wù)器還是公司的筆記本電腦�。清楚了解誰能夠訪問數(shù)據(jù)和數(shù)據(jù)流進流出的途徑是至關(guān)重要的�。不僅如此,企業(yè)的CIO需要清晰的界定核心機密信息所在的位置��、傳播的途徑和互聯(lián)網(wǎng)使用策略�,并能夠及時更新互聯(lián)網(wǎng)使用策略。
誤解四:企業(yè)應(yīng)該主要保護數(shù)據(jù)不被竊取和惡意破壞
惡意的數(shù)據(jù)泄漏和竊取防護工作固然重要�,但大多數(shù)的機密數(shù)據(jù)泄露都不是由惡意破壞或竊取所導(dǎo)致的?����,F(xiàn)有業(yè)務(wù)流程和網(wǎng)絡(luò)使用過程中的失誤��、偏差,以及員工和服務(wù)器代理商的疏忽都可以導(dǎo)致機密信息的泄露���。
根據(jù)Forrester Research的統(tǒng)計資料顯示�����,百分之七十以上的數(shù)據(jù)泄露都是無意的���。電子郵件發(fā)送的不慎很有可能將公司的機密信息泄露給外界。企業(yè)必須制定一套有效的信息泄漏預(yù)防解決方案��,來著眼于無意的數(shù)據(jù)丟失所導(dǎo)致的日常風(fēng)險���。
誤解五:員工很清楚哪些資料不能外泄
大多數(shù)的員工會在無意間將企業(yè)的重要資料泄露����,他們并不了解他們公司的策略����。員工經(jīng)常不清楚為什么在外出差或者在家中通過Web郵箱會帶來很大的風(fēng)險���,以及為什么需要繁瑣的密碼保護程序。
在當(dāng)前這樣一個越來越流動的工作環(huán)境中����,員工培訓(xùn)是非常重要的。 很有效的做法是�����,給員工進行相關(guān)培訓(xùn)���,告知他們哪些資料��,可在什么地方獲取以及如何使用�����。第二步即是利用信息泄漏防護技術(shù)����,以自動加強對員工的繼續(xù)教育和策略的執(zhí)行。
