老黄坐诊（1）：信息防泄漏，如何避免“防不胜防”？

老黄坐诊（1）

老黄前段时间举办了“信息防泄漏的选型与实施”线上技术门诊活动，与网友们一起交流信息防泄漏建设的难题、看法等。网友们对此反响皆很热烈，超过了100位网友在线上向老黄“问诊”，为企业防泄漏建设寻求良方妙药。

 

根据网友们提出的问题，老黄将其归结为如下几大类，1）不够完善：加密了/做管控，但还是发生泄漏事件；2）新威胁的应对：云安全、非法连入 （包括移动设备、3G无线上网卡等）；3）管理困扰：怎样协调信息安全与内部人员的满意度；4）实际应用：怎样规避审计潜在的法律风险；5）产品、方案的 选择

 

在这里，老黄将摘取每个类别中的经典问题，与大家分享，一起看一下，如今企业中都遇到怎样的防泄漏难题。并根据老黄多年来为客户服务的经验，提出一些个人的见解，希望为遇到相似“病情”的博友们排忧解难。本篇文章，老黄与大家分享的是企业防泄却“防不胜防”这一难题。

 

问题回放（部分）：

 

18 楼

怎样才能做到真正的信息防泄漏？ 我们公司也部署了网康和防火墙等，还对个别部门网络进行了物理的隔离，甚至对重要部门 网卡插口进行了物理固定， mac ip的绑定记录，对访问地址进行了严格限制。   但是这些操作，对维护运维 增加了工作量， 对信息的防泄漏，我个人觉得并没有起到绝对的作用。 所以请问怎样才能做到真正的信息防泄漏，并且便于日常的维护，特别是有新需求 变更时，能快速应对。

 

30 楼

我公司前两年部署了一套透明文档加密系统，使用以来，兼容性和加解密性能问题也一直存在，而且也还有泄密事件发生。近期准备部署准入及终端管理系统，目前还在测试试用阶段，请教黄老师，在使用的技术和部署方面，有什么方面需要注意的呢？

 

47 楼

技术部门200台电脑用以设计单位的设备图纸，所有的机器USB 、光驱是被拿掉的，用以防止操作员将图纸带出。但是我们在实际过程中发现，操作员还是使用PC对考的方式利用笔记本与PC机相连，还是可以将图纸带出。虽然图纸都是加密的，但是外泄这个问题还是存在的。

我想问问专家，在不使用无盘站的情况下，是否有其他方法可以解决此问题。

 

6 楼

我们是做研发的，除了软件代码、还有设计方案、图纸。目前有了文档和代码加密，确实如这次讨论的我们的信息保密还是漏洞百出。希望得到更多关于评估和信息防泄的方案及实施经验。

 

从网友们提出的问题可以看出，大部分企业已经开始意识到信息安全的重要性，也已采取了一些防护措施。但企业进行防泄漏工作时仍存在误区，比较片 面和盲目，往往是看到一个问题解决一个问题，缺少全局观，对加密等概念较好的产品分析判断不足，这导致了部署了不少产品，问题没能真正解决，同时也给IT 的维护带来了麻烦。

 

诚然，在众多防泄密技术、功能里，加密的功效是最强的，其理念非常诱人，“丝毫不影响工作，非授信环境下，带得走，也看不了”。但只用加密，企业安全管理是否就可以一劳永逸了呢？上述网友的提问告诉我们，答案是否定的。

 

由于加密的成本以及其对工作效率的影响，在企业全范围内部署加密是不现实的。而在企业的实际应用中，这样的做法也是很少见的，目前企业普遍的做 法是只在核心部门上加密。这样做的问题在于只在核心部门装加密，没有对企业的情况了于指掌，更无法控制和掌握内部所有信息的使用及流转，只能保障加密信息 在非授信情况下的安全。而一旦加密信息以合法手段变成明文后，核心机密的安全就无从谈起。就如6楼的网友提到的，虽然企业有了加密，但保密工作还是漏洞百 出。

 

打个比方，加密就好象是把你的机密信息装进一个保险柜，虽然保险柜很安全，但你也不愿意你的保险柜被偷走或者随意丢在大街上。防泄密工作需要的是各种技术的整合应用，而不是一招吃天下。

 

还有一部分企业，在处理安全问题缺乏全局的视角，处于被动的状态，出现了问题才去处理，头痛医头脚痛医脚。这样导致防泄漏工作“防不胜防”，安 全威胁一波未平一波又起，而且不同产品无法形成整体体系，多个平台的维护也让管理员疲于管理。而这样的结果往往是吃力不讨好，钱花去了，事情也做了，但不 见成效。

 

通过与客户的交流，老黄了解到，有部分企业采取多种产品堆砌，是因为他们认为最好的A家厂商的产品A和最好的B家厂商的产品B组合，能打造出 “强强+强强=最强”的效果。但依老黄之见，多种产品理念和技术体系可能不完全相同，相互之间很可能会有兼容性的问题，一味的选择不同领域最好的产品，可 能造成各自为政的局面，顾此失彼。并且，还可能存在单一产品间功能重复等问题，造成了成本浪费。

 

只在核心装加密，以及各种产品堆砌都不是真正完善、整体的防泄漏体系。那应如何真正构全面、整体的防泄漏体系，避免上述网友提到的问题呢？以下是老黄的一些见解，与大家分享。

 

首先要做到知己知彼。对应到安全上，首先要从全局的角度梳理清楚企业内部的安全问题；

 

然后统一管理。在全面掌握企业内部的安全状况之后，进行统一的规划。而不是今天发现一个问题，采购一个产品。明儿发现另一个问题，再手忙脚乱去找解决方案。做安全犹如作战，要运筹帷幄，才能决胜千里。

 

再者，是按需部署，一个也不能少。企业每个部门各司其职，一碗水端平的部署方式显然是不可取的。需要根据每个部门的具体情况以及涉密程度，整合应用审计、权限控制、加密等手段进行管理。

 

最后，“越不繁，越不凡”，一个管理平台。在各个部门采取了相应的管理措施后，需要将这些管理都整合到同一平台内实现，一来形成整体、全面的防泄漏体系，再者，避免了如18楼网友所提到的“增加了运维工作量”这一问题，提高管理效率。

 

在门诊中，也有一些网友提出了加密产品的选型疑问（如30楼）。兼容性和稳定性都是加密系统中的重要考核指标，老黄认为在正式部署前，以下两步是不可忽视的：

 

1.       测试环节是非常重要的，考察产品的适用性、稳定性。首先选取具有代表性的机器首先进行全面的测试。当第一步测试没问题后再将部署范围逐步推进，最终做到对所有的电脑进行管理。

 

2.       除了技术以外，还要多重视厂商的市场表现和服务能力。信息防泄漏产品，尤其会涉及到企业的核心机密，来不得半点的耽搁和马虎，选择服务能力跟的上的厂商，能够保证产品的正常使用。

 

各位博友如果想了解更多关于此期门诊的信息，请点击：

http://doctor.51cto.com/develop-234.html

 

若大家有任何关于信息防泄漏的想法或问题，欢迎与我交流。

【原文出处】http://techk.blog.51cto.com/3177718/775451