數據泄漏之警示信息必不可少

針對黑客帶來的惡意攻擊，企業完全可以通過技術手段來阻止他們的惡意攻擊，但是對于員工帶來的有意或者無意的數據泄露，企業該如何防范呢?正如申強所說的那樣：“你可以不讓員工用U盤拷，不讓他進行打印，不讓他進行截屏，但你能阻止他用手機拍照嗎?”

是的，通過技術手段是無法完全阻止員工的這種行為的。既然數據已經到達了員工的手上，就說明他對這些數據已經有了知情權，同時，企業也應該承擔數據泄露方面的風險。那就應該這樣任由風險存在了嗎?其實剛才已經說到，大部分的員工是無意泄漏了數據的，惡意偷竊的比例非常小。針對這種情況，對員工的教育與管理更加有效。

在試圖解決這類風險時，申強介紹了一個非常有趣的現象。一旦用戶有意或無意的要泄漏包含隱秘信息的數據時，如果有一個明顯的警示信息去提醒他，效果非常有效。如果只是通過技術手段去攔截包含隱秘信息的數據，據統計，用戶嘗試發送這些隱秘數據的次數是不會減少的。相反，他會認為是不是網絡不好?是不是發送的文件格式不對?然后繼續進行發送。

如果，用戶發送此類數據時，公司在用技術手段進行攔截的同時，再給他一個警示說此類信息無法進行發送，或者你發送的內容屬于公司機密，這類數據發送的次數會下降很多。申強表示，這類解決方案是經過證明的非常有效的方法，屬于BlueCoat的最佳實踐方案。

這種現象表明對于員工的警示和教育必不可少，梁國賢也表示，一個使用的DLP方案應該在用戶發送可能導致數據丟失的郵件之前提醒他們。他說，安全策略不應該只是技術層面，對人員的教育和管理往往會起到事半功倍的效果。因為一個企業中，最難管理的往往是人員。

數據泄漏之Web 2.0：一把雙刃劍

之所以將Web 2.0單獨拿出來說，是因為基于Web 2.0應用的火熱程度已經完全超越了安全措施的更新程度。企業正面臨日益增多、千奇百怪的新型互聯網威脅，例如惡意軟件、網絡釣魚、木馬程序和鍵盤記錄器。然而一個新趨勢是Web 2.0應用程序及移動設備中的富媒體功能，將會使得隱蔽強迫下載及混合攻擊增加。例如，社交網站上的嵌入視頻及其連接成為了黑客頻繁植入惡意軟件的目標。

Web 2.0已經成為了一個不可或缺的商業工具，用戶在Web上沖浪、分享信息、下載文件、聊天、更新博客或觀看視頻等，這些事件平均占據每天工作時間的四分之一。無疑，Web2.0帶來了巨大的便利，但是目前的許多Web應用都存有漏洞，但廠商卻卻沒有相關的防護措施。傳統的基于IP層的防火墻和URL過濾等工具在Web2.0的環境中顯得有點捉襟見肘，因此針對應用層的安全防護就顯得尤其重要。

以深信服為例，作為一直關注應用層安全的國內廠商，在近幾年取得了持續增長的業績。歸根結底，是因為用戶對于應用層防護的關注度越來越高。深信服的AC上網行為管理設備能夠對員工訪問不當網站造成的數據泄漏風險進行防護，它能夠對掛馬網站、惡意插件、危險腳本進行過濾，還能夠識別出由網頁、郵件、文件傳輸等端口發生的黑客行為等。

數據泄漏的熱議一直沒有消退的趨勢，這證明目前網絡安全的受威脅程度仍舊很高，我們一定要更多的學習相關的防護技術才能盡可能安全的在網絡中馳騁。

【編輯推薦】

1. 危險：提防正在攻擊的黑客
2. 黑客：有億萬富翁 也有階下囚
3. 企業員工引發數據泄漏需對癥下藥
4. 你應知道的十二個名揚的白帽黑客
5. 數據泄漏事件頻繁發生 泄露途徑多樣化