老黄坐诊(1)

老黄前段时间举办了“信息防泄漏的选型与实施”线上技术门诊活动,与网友们一起交流信息防泄漏建设的难题、看法等。网友们对此反响皆很热烈,超过了100位网友在线上向老黄“问诊”,为企业防泄漏建设寻求良方妙药。

 
根据网友们提出的问题,老黄将其归结为如下几大类,1)不够完善:加密了/做管控,但还是发生泄漏事件;2)新威胁的应对:云安全、非法连入 (包括移动设备、3G无线上网卡等);3)管理困扰:怎样协调信息安全与内部人员的满意度;4)实际应用:怎样规避审计潜在的法律风险;5)产品、方案的 选择
 
在这里,老黄将摘取每个类别中的经典问题,与大家分享,一起看一下,如今企业中都遇到怎样的防泄漏难题。并根据老黄多年来为客户服务的经验,提出一些个人的见解,希望为遇到相似“病情”的博友们排忧解难。本篇文章,老黄与大家分享的是企业防泄却“防不胜防”这一难题。
 
问题回放(部分):
 
18
怎样才能做到真正的信息防泄漏? 我们公司也部署了网康和防火墙等,还对个别部门网络进行了物理的隔离,甚至对重要部门 网卡插口进行了物理固定, mac ip的绑定记录,对访问地址进行了严格限制。   但是这些操作,对维护运维 增加了工作量, 对信息的防泄漏,我个人觉得并没有起到绝对的作用。 所以请问怎样才能做到真正的信息防泄漏,并且便于日常的维护,特别是有新需求 变更时,能快速应对。
 
30
我公司前两年部署了一套透明文档加密系统,使用以来,兼容性和加解密性能问题也一直存在,而且也还有泄密事件发生。近期准备部署准入及终端管理系统,目前还在测试试用阶段,请教黄老师,在使用的技术和部署方面,有什么方面需要注意的呢?
 
47
技术部门200台电脑用以设计单位的设备图纸,所有的机器USB 、光驱是被拿掉的,用以防止操作员将图纸带出。但是我们在实际过程中发现,操作员还是使用PC对考的方式利用笔记本与PC机相连,还是可以将图纸带出。虽然图纸都是加密的,但是外泄这个问题还是存在的。
我想问问专家,在不使用无盘站的情况下,是否有其他方法可以解决此问题。
 
6
我们是做研发的,除了软件代码、还有设计方案、图纸。目前有了文档和代码加密,确实如这次讨论的我们的信息保密还是漏洞百出。希望得到更多关于评估和信息防泄的方案及实施经验。
 
从网友们提出的问题可以看出,大部分企业已经开始意识到信息安全的重要性,也已采取了一些防护措施。但企业进行防泄漏工作时仍存在误区,比较片 面和盲目,往往是看到一个问题解决一个问题,缺少全局观,对加密等概念较好的产品分析判断不足,这导致了部署了不少产品,问题没能真正解决,同时也给IT 的维护带来了麻烦。
 
诚然,在众多防泄密技术、功能里,加密的功效是最强的,其理念非常诱人,“丝毫不影响工作,非授信环境下,带得走,也看不了”。但只用加密,企业安全管理是否就可以一劳永逸了呢?上述网友的提问告诉我们,答案是否定的。
 
由于加密的成本以及其对工作效率的影响,在企业全范围内部署加密是不现实的。而在企业的实际应用中,这样的做法也是很少见的,目前企业普遍的做 法是只在核心部门上加密。这样做的问题在于只在核心部门装加密,没有对企业的情况了于指掌,更无法控制和掌握内部所有信息的使用及流转,只能保障加密信息 在非授信情况下的安全。而一旦加密信息以合法手段变成明文后,核心机密的安全就无从谈起。就如6楼的网友提到的,虽然企业有了加密,但保密工作还是漏洞百 出。
 
打个比方,加密就好象是把你的机密信息装进一个保险柜,虽然保险柜很安全,但你也不愿意你的保险柜被偷走或者随意丢在大街上。防泄密工作需要的是各种技术的整合应用,而不是一招吃天下。
 
还有一部分企业,在处理安全问题缺乏全局的视角,处于被动的状态,出现了问题才去处理,头痛医头脚痛医脚。这样导致防泄漏工作“防不胜防”,安 全威胁一波未平一波又起,而且不同产品无法形成整体体系,多个平台的维护也让管理员疲于管理。而这样的结果往往是吃力不讨好,钱花去了,事情也做了,但不 见成效。
 
通过与客户的交流,老黄了解到,有部分企业采取多种产品堆砌,是因为他们认为最好的A家厂商的产品A和最好的B家厂商的产品B组合,能打造出 “强强+强强=最强”的效果。但依老黄之见,多种产品理念和技术体系可能不完全相同,相互之间很可能会有兼容性的问题,一味的选择不同领域最好的产品,可 能造成各自为政的局面,顾此失彼。并且,还可能存在单一产品间功能重复等问题,造成了成本浪费。
 
只在核心装加密,以及各种产品堆砌都不是真正完善、整体的防泄漏体系。那应如何真正构全面、整体的防泄漏体系,避免上述网友提到的问题呢?以下是老黄的一些见解,与大家分享。
 
首先要做到知己知彼。对应到安全上,首先要从全局的角度梳理清楚企业内部的安全问题;
 
然后统一管理。在全面掌握企业内部的安全状况之后,进行统一的规划。而不是今天发现一个问题,采购一个产品。明儿发现另一个问题,再手忙脚乱去找解决方案。做安全犹如作战,要运筹帷幄,才能决胜千里。
 
再者,是按需部署,一个也不能少。企业每个部门各司其职,一碗水端平的部署方式显然是不可取的。需要根据每个部门的具体情况以及涉密程度,整合应用审计、权限控制、加密等手段进行管理。
 
最后,“越不繁,越不凡”,一个管理平台。在各个部门采取了相应的管理措施后,需要将这些管理都整合到同一平台内实现,一来形成整体、全面的防泄漏体系,再者,避免了如18楼网友所提到的“增加了运维工作量”这一问题,提高管理效率。
 
在门诊中,也有一些网友提出了加密产品的选型疑问(如30楼)。兼容性和稳定性都是加密系统中的重要考核指标,老黄认为在正式部署前,以下两步是不可忽视的:
 
1.       测试环节是非常重要的,考察产品的适用性、稳定性。首先选取具有代表性的机器首先进行全面的测试。当第一步测试没问题后再将部署范围逐步推进,最终做到对所有的电脑进行管理。
 
2.       除了技术以外,还要多重视厂商的市场表现和服务能力。信息防泄漏产品,尤其会涉及到企业的核心机密,来不得半点的耽搁和马虎,选择服务能力跟的上的厂商,能够保证产品的正常使用。
 
各位博友如果想了解更多关于此期门诊的信息,请点击:
http://doctor.51cto.com/develop-234.html
 
若大家有任何关于信息防泄漏的想法或问题,欢迎与我交流。

【原文出处】http://techk.blog.51cto.com/3177718/775451