构建信息泄露防护体系,企业需要做什么?有效的信息泄露防护体系,可以从软硬件基础安全各方面提供防护措施,大幅提升了企业内部网络及系统的安全健壮性。但是仅凭防护软件就可以堵住所有漏洞,保证我们的内网安全吗?其实不然,就像再坚固的城墙,也离不开人为的力量。所以信息泄露防护并不是一项简单的技术工作,而是一个集合技术人力的立体工作,我们无法像防病毒一样,仅仅通过搭建一套系统安装一个软件就可以做到有效防护,如何推动信息泄露防护成为企业面临的难题,构建一套通用的信息泄露防护立体体系已迫在眉睫!
成功信息泄露防护体系需要设定清晰业务目标
构建信息泄露防护体系,企业需要做些什么?IP-guard认为,为了有效管理信息泄露风险,必须设定清晰
的业务目标推动信息泄露计划的实现,设定计划目标前,我们首先要明白,信息泄露的三种途径:
(1) 使用状态下的泄密:包括操作失误导致技术数据泄露或损坏,例如本地计算机临时内存中的数据,工作站中正在运行的报告或查询、已写好但尚未发送的电子邮件、正在复制到USB驱动器上的文件、正在从一个本地文档复制粘贴到另一个本地文档的数据等等。
(2) 存储状态下的数据泄密:包括存储在IT基础设施中和媒体上的数据。例如通过U盘、CD/DVD、移动硬盘随意拷贝的机密资料,移动笔记本等移动存储设备的丢失造成的泄密
(3) 传输泄露动态数据:是指正在内部网络中流动并将传送至外界的数据,即缆线中正在传输和正处于空中流转的数据的泄露
基于以上分析,IP-guard认为设定清晰的业务目标之前,至少应确定包括以下内容:
ü 防止像未经授权方有意或无意地泄露静态的,使用中的或动态的敏感数据
ü 维护充分的安全保障体系并提供可用性
ü 保护客户数据和品牌声誉
ü 保护个人身份信息和知识产权
ü 降低企业风险和合规成本
信息泄露防护对企业政策与准则的要求
构建信息泄露防护体系,企业需要做些什么?明确了企业信息泄露防护的业务目标,IP-guard认为企业应该进一步制定包含敏感数据保护要求在内的高标准政策,该政策无疑应该与数据分类政策紧密联系,将信息泄露防护概念融入现有政策当中。
企业政策需明确规定的信息泄露防护概念:
ü 限制通过电子邮件和互联网传输敏感数据
ü 控制在移动设备、笔记本电脑、工作站和非公司所有的设备上存储敏感数据
ü 在公司文件和文档存储库中明确存储敏感数据的位置
ü 适当使用远程访问技术
ü 规范使用非企业提供的技术如个人邮件、存储设别等
ü 确保用户创建的敏感数据包含在相关数据/信息库中
企业安全要求需要根据信息泄露防护准备制定:
ü 不得使用没有经过充分加密的公共网络传输敏感数据
ü 在与第三方交换数据时只能使用公司批准的技术
ü 在适当情况下必须记录并监控对敏感数据的访问
ü 建立明确访问敏感数据的人员权限
ü 与第三方共享敏感数据要严格遵守保密协议及对第三方使用数据行为监督和控制
ü 在数据产生及使用所有周期内都要给予充分保护
IP-guard信息泄露防护措施重点是分区域治理
构建信息泄露防护体系,企业需要做些什么?根据信息泄露三种途径分析,IP-guard建议企业信息泄露防护重点是对不同泄露途径的不同领域进行重点控制。
u 使用状态下的使用中数据:重点关注数据环境的外围安全
IP-guard支持技术:详细的加密文档操作审计与备份,可以完整记录和查询文档生命周期操作;同时IP-guard使用可靠而高效的透明加密技术加密各种格式的电子文档,在加密文档使用过程中默认禁用截屏、打印、剪贴板等可能造成泄密的功能,以防范使用状态下的数据安全。
u 传输中的动态数据:重点关注敏感数据的访问使用监控,用户使用权限,即时通讯的传输
IP-guard支持技术:IP-guard能够帮助对文档按部门和按级别分配密级;授予不同的用户差异化的加密文档使用权限,方便根据文档涉密程度不同进行授权; 为出差、在家工作等暂时或长期离线的用户提供离线授权,还可以单独为离线用户设定加密文档离线使用权限,如时段、权限大小等;提供完善的外发申请审批流程,。以防范任何形式的文件外发造成的泄密。
u 存储状态下的静态数据:重点关注移动设备的应用、网络存储及客户端点安全
IP-guard支持技术:IP-guard安全网关限制外来非授权的非法入侵,对文档实施透明加密,设置访问使用
权限,且文档透明加密只可以在授信环境中使用,在非授信环境中打开乱码,确保文档在任何使用环境下都可以时刻在保护范围,实时安全无间断!
企业构建信息泄露防护体系需要信息安全流程的支持
构建信息泄露防护体系,企业需要做些什么?假设企业实施了有效的逻辑访问控制措施,但无控制政策支持,
敏感信息仍有可能会被带走,为了有效执行信息泄露防护计划,企业必须理解与其他信息安全流程的联系,以便建立和管理多层防护措施。这些措施能够影响企业在管理信息泄露风险时的整体有效性。IP-guard多年经验建议,企业信息泄露防护成功需具备五个关键因素:
1. 企业管理人员的全员参与。规范的员工行为及业务流程,需要获得高层及全体人员支持
优先保护最为关键的信息。企业应找出风险等级最高、最需要保护的信息,给予政策及流程和要求重点保护
全员参与。离业务数据最近的业务部门,需要加强保护意识,同时企业IT人员也应配合,协同合作,制定完善的信息泄露防护策略
建立职责明确的事件响应团队。事件补救及时,来自企业各个主要业务部门,在事件响应中,明确职责分工,清晰流程。有助于企业内部在信息保护上达成一致。
加强员工培训,提高保密意识。在信息泄露频发的今天,仅靠技术手段是远远不够的,加强安全制度培训,强化员工安全意识,通过管理手段切实落实信息泄露责任也是十分必要的。
构建信息泄露防护体系,企业需要做些什么?不断扩大的风险正变的越来越难以管理,在数据泄露问题上,防患于未然总好过问题发生再去恢复,除了一套有效的信息泄露防护措施,企业也需要从整体运营层面来考虑,推动全员参与,力求不断改进和完善,集成各方面的因素才能构建起覆盖全局的防护体系,并在事故发生时可以做出迅速、有效地响应。