老黃出診記(3):整體防護體系是信息防泄漏之道
上兩篇札記中,老黃分析了在核心裝加密,以及各種安全產品堆砌這兩個在防護舉措上雖"殊途",但防泄密效果卻"同歸"--依舊漏洞百出的企業案例。與這兩個企業不同,目前仍有部分企業內部信息仍處于"裸奔"狀態,毫無任何防護措施。當然,他們大多已經意識到信息防泄漏的重要性,也將這個事擺上了工作日程,但苦于不知道如何開展。下面,老黃選取了其中一個過來問診的企業案例,把其脈象,為其解惑,讓更多遇到相似"病狀"的企業早日開展防泄漏工作,防范于未然。
出診札記
外貿企業C,企業存放著許多機密信息。企業內部沒有任何防護措施,現已意識到防護的必要性,但是遇到了諸多困擾,防泄漏項目不知道該從何下手。企業內部經常用的是郵件系統和QQ,擔憂經常與外界有文檔往來的銷售部通過郵件、QQ將核心信息如客戶資料,銷售額等泄露出去。想采取防護措施,但發現很容易出現防不勝防的問題,比如提供郵件系統的服務商太多了,一個個封堵不現實,但如果僅僅禁止SMTP端口,還是可能會通過webmail直接登錄郵件系統,也不清楚是否還存在其他未知的泄密威脅。企業屬于銷售型,人員經常都有較大變動,如何應對人員的威脅。想了解一整套的防泄密方案,統一進行管理。
困擾所在
無法掌握清楚企業內部存在的威脅點
C企業有安全防護的需求,但在項目開始前不知道通過何種手段將企業內部目前存在的安全問題以及威脅都梳理清楚。
怎樣才能全面封堵漏洞,避免防不勝防
在問診過程中,C企業向老黃抱怨,互聯網太豐富多彩了,技術層出不窮,顧得了這個,那邊又疏忽了。困惑于如何既實現最大程度的安全,但又不會因噎廢食,一刀切全封堵各種應用。
如何應對人員變動帶來的安全威脅
C企業屬于銷售型企業,頻繁的人員變動尤其是銷售人員的變動實屬正常,但恰恰是銷售人員經常接觸到大量決定企業生死存亡的內部信息。因此,如何避免離職人員在離開時機密信息帶出一直是C企業的"心頭大石"。
對癥下藥
綜合C企業心存的疑惑以及向老黃提出的"一整套防泄密方案"這一需求,溢信科技領先推出的以"整體信息防泄漏"理念為核心的IP-guard三重保護信息防泄漏解決方案正是為C企業解除疑惑,滿足其需求的藥方。下面,老黃將結合這個整體的藥方為B企業對癥下藥,開出合適的藥單子。
利用審計,"地氈式"排查安全威脅
目前C企業尚無任何防護措施,因此當務之急是先將內部全范圍的安全問題都審視清楚。除了梳理企業內部情況,如了解清楚內部使用了哪些系統,機密信息如客戶資料、銷售額存放的位置、使用流程。還需要借助內網安全管理產品如IP-guard的審計功能,全面探測安全病狀,對企業內部的操作行為進行詳細的記錄,發現存在的漏洞以及威脅,從而進行有針對性的防護。
老黃接觸到一些客戶的做法是正式部署前,通過試用IP-guard產品,先不做任何管控,而是通過審計將企業內部的問題掌握清楚,然后再根據具體的問題利用IP-guard三重保護解決方案進行相應的部署。通過清晰明了的審計報表將問題一一呈現,不僅有利于下一步的防護,而且也更具說服力,增大企業管理者對安全管理工作的支持力度。
目前大家往往低估了"審計"的功效,認為它只是馬后炮,只能用于事后追蹤責任。卻不知"審計"其實是信息防泄露中最重要的一環,它就如平日我們用以探測病情的CT儀器,幫助企業對內部安全問題做到可視化,并對防泄漏項目效果進行評估,為防護策略調整提供依據。
按需部署,在內部建構全面、力度輕重不一的防泄露體系
C企業在問診過程中向老黃提出需要尋找一整套防泄密方案,進行統一的管理。老黃認為,這樣的思路是正確的,唯有全面、整體的防泄漏體系才能實現真正的安全,這也是IP-guard三重保護信息防泄漏解決方案的核心思路。它將審計、管控、加密等防泄密技術,并將所有的防泄漏管理都整合到統一管理平臺,從而形成統一、全面的防泄漏體系。通過統一的管理平臺,不僅管理、維護簡便,提高IT管理人員的效率,而且能根據企業的需求快速進行功能擴充,無縫集成。
C企業可應用三重保護信息防泄漏解決方案,根據企業內部每個部門具體的涉密級別,對癥下藥,實現力度輕重不一的全面防御,在不影響安全的前提下,最大限度實現安全。
比如對于行政部、后勤部等這些涉密程度較低的部門,部署基礎的審計以及適當的管控即可。而對于工作中能接觸到敏感信息,但又與外部有較頻繁文件交互的銷售部,則部署詳細的審計以及嚴格的管控如嚴格控制文檔的權限,不需要看到的信息決不能讓他們看到。對于存放大量機密信息的財務部,除了審計以及管控外,如果情況允許,可考慮部署加密,多加一重安全。
C企業提到企業內部經常使用的應用程序是郵件以及QQ,因此對這兩個程序需要嚴格的管控和審計。IP-guard郵件管控功能,能夠管理普通類型郵件、Exchange以及Lotus格式郵件,并通過網頁瀏覽禁止在內部使用網頁郵件。通過IP-guard的郵件管控功能,限定內部人員只能通過指定賬戶與外界聯系,并根據具體情況進行附件名稱、大小等的限定,這就解決了C企業對于郵件"防不勝防"的困惑了。對于經常外發信息到外界的銷售部,還需要通過限定發送郵件必須抄送主管經理這一方式,最大程度避免疏漏。對QQ的管理,除了銷售部外,一律禁止在上班時間使用QQ。對于銷售部門,則通過IP-guard的即時通訊管控,限定只能使用指定賬號與外界聯系。通過IP-guard的郵件管控、即時通訊管控,便能很好地解決了C企業目前的主要泄密渠道。
除了進行相應的管控外,對內部行為進行詳細的審計、定期查看記錄也是不可忽視的。通過查看審計內容,能及時發現異常,快速應對,降低了安全事故發生的幾率。
避免離職人員泄密,須打好"預防針"
老黃在上面提到企業內部情況是在不斷發展的,C企業向老黃描述的人員頻繁流動就是其中的一個經典情況。老黃在與客戶交流中發現,離職順便帶走一些資料已經不是個例,要避免離職人員可能會引起泄密事件,老黃認為需要從技術和管理兩方面去著手。
及時收緊離職人員的權限是很重要的,有不少泄密事件都是因為沒有及時收回權限而導致的。尤其是管理層的人員,對于安全管理部門的管理員,還要及時注銷其賬號或者修改密碼,保證其在離職后無法登陸到公司的各種安全管理系統中來。除了權限調整要及時外,對于即將離職的人員,需要詳盡、高頻次的審計。這樣可以及時發現異常情況,阻止泄密事件的發生,而且還能形成心理震懾作用,降低泄密風險。
除此之外,還需要相應的一些管理,比如在內部建立并實施嚴格的管理制度,如與員工簽署保密協議等。
出診心得
目前大家都已經開始意識到了企業信息的價值所在以及泄密的危害,防護的意識都在提高,安全需求也愈加迫切。雖然每個企業的情況都是不一樣的,需要具體問題具體分析。但老黃認為,信息防泄漏萬變不離其宗,根本的防護思想是一樣,都是需要全面、整體的防護體系。
通過審計發現問題,進而根據具體的問題按需部署,有針對性的防御。部署項目后并不意味著信息防泄露就可一勞永逸了,需要定期對內部情況進行詳細審計,通過報表進行趨勢對比,評估防御效果,隨時調整安全防護策略,形成動態防護。
【編輯推薦】
