企業(yè)信息防泄漏“處方單”
近半年,我參與到公司內(nèi)部的信息防泄漏項(xiàng)目中,雖磕磕絆絆,但一路走來(lái)也學(xué)習(xí)到不少東西,跟在座各位分享一下。
先介紹下我的情況,我就職于廣州某物流公司IT部,是一名普通的網(wǎng)絡(luò)工程師。就在今年初,公司發(fā)生了一起泄密事件 :
不知道誰(shuí)拿到了全體職工的工資表,竟然以匿名郵件的形式發(fā)給公司里每個(gè)人,公司內(nèi)部震動(dòng)很大,一些不滿薪金制度的員工還遞上了辭呈。老總勃然大怒,把我們的頭兒叫過(guò)去批了一頓,說(shuō)我們部門沒(méi)有做好信息防泄工作。
說(shuō)實(shí)話,安全這東西,首先得老板重視,如果老板不重視,我們提也是白搭。之前我們也提過(guò)要搞內(nèi)部信息防泄漏建設(shè),但預(yù)算一直沒(méi)批下來(lái),現(xiàn)在出了事兒,責(zé)任就是我們背。老板發(fā)話下來(lái),說(shuō)一定要好好管管郵件發(fā)送,決不讓信息泄漏出去,財(cái)務(wù)部、物流中心的數(shù)據(jù)要進(jìn)行重點(diǎn)保護(hù)。
病急亂用藥
“軍令如山倒”,經(jīng)過(guò)半個(gè)月匆忙的試用,我們購(gòu)買了一個(gè)郵件管控的軟件,不允許公司內(nèi)部含有例如財(cái)務(wù)、價(jià)格等關(guān)鍵字的文件發(fā)送,把發(fā)送附件的大小限制在10M以內(nèi)。同時(shí),為了不讓泄密事件發(fā)生第二次,我們還增購(gòu)了目前很熱門的透明加密軟件,把財(cái)務(wù)部、物流中心共40臺(tái)PC上常用的Excel、Word文檔都加了密,心想這下應(yīng)該不用擔(dān)心加密文檔被傳輸出去了吧。
誰(shuí)知道,更多的問(wèn)題涌現(xiàn)出來(lái)。
問(wèn)題1:維護(hù)特別麻煩。
話說(shuō)剛上這兩個(gè)軟件,技術(shù)操作上大家都不是特別熟悉。銷售部的同事接二連三地抱怨含有關(guān)鍵字或超過(guò)10M的郵件發(fā)不出去給客戶,影響了工作業(yè)務(wù);財(cái)務(wù)部、物流中心的幾個(gè)主任也要開放解密權(quán)限……我每天都要在不同的操控制臺(tái)上來(lái)回切換設(shè)置權(quán)限,應(yīng)接不暇。
并且,每天下午三點(diǎn)成為了我的恐慌時(shí)間,頭兒要我們查看郵件以及加密文檔的操作日志,即意味著我們要登陸兩個(gè)操作臺(tái)查看數(shù)千次日志記錄,忙得我們不可開交。
問(wèn)題2:軟件偶有沖突。
同時(shí)安裝兩個(gè)軟件,說(shuō)實(shí)話,我心里比較沒(méi)底。因?yàn)檫@些管理軟件一般都會(huì)注入自己的模塊到計(jì)算機(jī)上運(yùn)行的其它程序中,因此,操作可能產(chǎn)生沖突。果不其然,物流中心不時(shí)要我們幫他們解決郵件崩潰、藍(lán)屏等問(wèn)題。
部門總結(jié)會(huì)上,頭兒說(shuō)老板又提出新的需求,希望能夠掌握內(nèi)部PC的詳細(xì)操作。我把遇到的問(wèn)題提了出來(lái),同時(shí)堅(jiān)決反對(duì)再安裝第三個(gè)日志審計(jì)產(chǎn)品,因?yàn)橐坏┭b上了,不僅維護(hù)困難,還可能影響到正常的業(yè)務(wù)操作,這可是安全建設(shè)的大忌。
重診病情
之后,我們對(duì)同類產(chǎn)品做了一個(gè)重新對(duì)比,了解到溢信科技這個(gè)企業(yè),細(xì)查之下才發(fā)現(xiàn)溢信還是最早進(jìn)入到內(nèi)網(wǎng)領(lǐng)域的企業(yè)。于是頭兒聯(lián)系了溢信科技,他們派了技術(shù)專家過(guò)來(lái)進(jìn)行了考察。專家給了我們一些意見,在此我做了一個(gè)總結(jié):
1、信息防泄漏切忌“頭痛醫(yī)頭,腳痛醫(yī)腳”。
溢信的專家說(shuō),我們目前的做法是典型的“頭痛醫(yī)頭,腳痛醫(yī)腳”,哪里出現(xiàn)問(wèn)題就用哪種產(chǎn)品來(lái)解決,沒(méi)有一個(gè)統(tǒng)一的規(guī)劃。這一點(diǎn)我比較同意,確實(shí)在防泄漏這個(gè)項(xiàng)目里,因?yàn)槔习宓娜蝿?wù)比較緊急,沒(méi)有很好的規(guī)劃,后期就出現(xiàn)了如新需求無(wú)法滿足、技術(shù)操作困難、人手不夠用等情況。
專家建議,在做信息防泄漏建設(shè)之前,我們要有一個(gè)明確的安全目標(biāo),哪些部門需要達(dá)到怎樣的安全程度,再根據(jù)不同的安全程度,部署力度有所偏重,對(duì)重點(diǎn)部門進(jìn)行重點(diǎn)防護(hù);同時(shí)要站在全局的角度,整合運(yùn)用例如審計(jì)、管控、加密等多種功能,在內(nèi)部構(gòu)建起完善的防泄密體系。這樣的話,即使老板又出現(xiàn)新的需求,只要加強(qiáng)需求的部分即可。
2、***選擇能夠提供全面解決方案的單一產(chǎn)品。
目前,應(yīng)用市場(chǎng)細(xì)分得很厲害,安全市場(chǎng)也是如此。如果盲目擇挑選多種產(chǎn)品,可能會(huì)產(chǎn)生很多預(yù)料不到的問(wèn)題,比如不同控制臺(tái)的操作困難、軟件沖突等問(wèn)題。選擇能夠提供整體解決方案的單一產(chǎn)品除了可避免上述情況外,還能為企業(yè)節(jié)省投入成本,實(shí)現(xiàn)投入和安全回報(bào)的***化。
3、購(gòu)買之前試用測(cè)試很重要。
在企業(yè)做信息防泄漏建設(shè),大家都明白,領(lǐng)導(dǎo)的認(rèn)可很重要,但是不能為了博得領(lǐng)導(dǎo)的認(rèn)可就急于求成,倉(cāng)促測(cè)試之下就大規(guī)模部署產(chǎn)品。從目前的情況來(lái)看,半個(gè)月的試用顯然不夠發(fā)現(xiàn)問(wèn)題。特別是部署透明加密這種對(duì)業(yè)務(wù)操作要求嚴(yán)格的產(chǎn)品,企業(yè)需要搭建足夠復(fù)雜的測(cè)試環(huán)境,模擬企業(yè)應(yīng)用實(shí)際操作,通過(guò)極限測(cè)試和壓力測(cè)試來(lái)判斷。只有足夠的測(cè)試確保安全產(chǎn)品的穩(wěn)定性和安全性,才能在全公司推廣。
終得良方
目前,公司已經(jīng)開始采用IP-guard內(nèi)網(wǎng)安全管理系統(tǒng)。由于供應(yīng)商溢信科技的經(jīng)驗(yàn)足、配合度高,過(guò)程挺順利的,現(xiàn)在實(shí)施的效果也還不錯(cuò):
我們首先評(píng)估了內(nèi)網(wǎng)所存在的風(fēng)險(xiǎn)因素,根據(jù)各個(gè)部門甚至不同崗位所產(chǎn)生的信息價(jià)值的高低,及外泄后對(duì)企業(yè)的影響力,制定風(fēng)險(xiǎn)值。如財(cái)務(wù)部、物流中心產(chǎn)生的機(jī)密文檔,風(fēng)險(xiǎn)系數(shù)高;運(yùn)營(yíng)中心、研發(fā)中心等風(fēng)險(xiǎn)系數(shù)次之;管理部、行政部等其他一些部門較低。
在充分評(píng)估風(fēng)險(xiǎn)系數(shù)的情況下,利用IP-guard信息防泄漏三重保護(hù)解決方案,根據(jù)涉密輕重不同,按需部署:為了及時(shí)發(fā)現(xiàn)安全漏洞,抵御安全風(fēng)險(xiǎn)以及為安全事件的追查保留證據(jù),我們對(duì)公司內(nèi)部所有操作行為進(jìn)行審計(jì);并且,為了規(guī)范信息的帶出行為,對(duì)一些操作行為進(jìn)行了特殊管控,例如只允許使用公司指定類型的郵件,禁止Web郵件,且所有郵件在發(fā)送前必須抄送一份給主管,由主管親自把關(guān);***,在安全性要求***的財(cái)務(wù)部、物流中心部署了力度很強(qiáng)的透明加密。
總體來(lái)看,目前公司內(nèi)部的信息防泄漏體系算是比較完善,在不影響業(yè)務(wù)的情況下,郵件等泄密渠道管理的比較到位,機(jī)密資料也得到了較強(qiáng)的保護(hù),老板對(duì)項(xiàng)目的審計(jì)報(bào)表也挺滿意的,還把報(bào)表作為績(jī)效評(píng)估的參考之一。另外,通過(guò)IP-guard單一的控制臺(tái)進(jìn)行操作,也簡(jiǎn)化了我們?nèi)粘5牟僮髋c管理,降低了系統(tǒng)的資源占用,避免了多種產(chǎn)品堆砌產(chǎn)生的軟件沖突等問(wèn)題。
半年下來(lái),本人可謂獲益良多,***的感觸是信息防泄漏項(xiàng)目是一個(gè)長(zhǎng)期的過(guò)程,急不得,所以我們必須花時(shí)間挑選一個(gè)有經(jīng)驗(yàn)、有實(shí)力的廠商合作,千萬(wàn)不能做安全領(lǐng)域的“白老鼠”,一個(gè)有經(jīng)驗(yàn)豐富供應(yīng)商可以傳遞很多經(jīng)驗(yàn)給我們,給我們提供合適的方案,讓我們少走彎路,少摔跤,這對(duì)信息防泄漏這種敏感度較高項(xiàng)目來(lái)說(shuō)非常關(guān)鍵;其次好的產(chǎn)品也非常重要,我覺(jué)得好的產(chǎn)品就是能滿足老板、技術(shù)人員等多種角色需求的產(chǎn)品,有實(shí)力的廠商提供的產(chǎn)品、服務(wù)也比較讓人放心;另外,因?yàn)樾畔⒎佬孤┑拈L(zhǎng)期性以及需要實(shí)時(shí)更新調(diào)整,在未來(lái)的長(zhǎng)期合作中,有實(shí)力的廠商也能夠給我們提供比較多的技術(shù)以及安全建議。
