隨著信息技術(shù)的飛速發(fā)展,對一個企業(yè)而言,來自外部的病毒、木馬、網(wǎng)絡攻擊等種種網(wǎng)絡安全威脅我們可以用防火墻,準入技術(shù)等來進行篩查和控制。但來自企業(yè)內(nèi)部的數(shù)據(jù)泄露更是一個需要重視的問題。由于商業(yè)社會的競爭日趨激烈,企業(yè)研發(fā)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、財務數(shù)據(jù)、客戶數(shù)據(jù)、人力資源數(shù)據(jù)等核心信息是關(guān)系企業(yè)生存與發(fā)展的命脈。企業(yè)內(nèi)部監(jiān)管手段的薄弱以及安全管理體系的缺乏都會給信息泄露有可乘之機。一旦有機密數(shù)據(jù)或者信息資產(chǎn)泄密,帶來的損失和深遠影響,將無可計量。因此一套健全的企業(yè)信息安全管理制度,一個適合企業(yè)生產(chǎn)運營的數(shù)據(jù)防泄露系統(tǒng)的建立是至關(guān)重要的。
1、信息安全管理
1.1 建立信息安全管理制度。在企業(yè)的任何一個信息系統(tǒng)的落地實施過程中,技術(shù)手段再強大的系統(tǒng),沒有與之相關(guān)的管理制度,系統(tǒng)是難以在企業(yè)中真正貫徹落實的。管理制度是企業(yè)中系統(tǒng)快速,順利實施的關(guān)鍵。制度的建立要以保障信息安全,預防風險,完善控制措施以目的,范圍涉及設(shè)備的發(fā)放及管理;服務器等重大設(shè)備的管理及口令規(guī)則;移動介質(zhì)管理;數(shù)據(jù)恢復及備份管理;外來人員對本企業(yè)相關(guān)設(shè)備及數(shù)據(jù)操作的管理等。
1.2 建立信息安全管理組織機構(gòu)。如果在企業(yè)內(nèi)想要全面地落實信息安全管理制度,保證企業(yè)下發(fā)的各項政策和策略實施,以及外部人員訪問企業(yè)信息和信息處理設(shè)施的安全,需要構(gòu)建有效的信息安全組織架構(gòu)。公司首先要成立信息安全領(lǐng)導小組,決定信息安全方面的一切事宜,領(lǐng)導小組至少要包含一名企業(yè)高層領(lǐng)導,這樣下發(fā)實施應用可以更加有效。信息安全領(lǐng)導小組負責研究重大事件,落實方針政策和制定總體策略等。第二步成立信息安全工作組,設(shè)立組長及分管個塊的副組長及組員。其職責為:針對信息安全領(lǐng)導小組做出的決策按所屬管轄的區(qū)域范圍開展工作;根據(jù)信息安全領(lǐng)導小組的工作部署,對信息安全工作進行具體安排、落實。信息安全工作組中要單獨設(shè)立信息安全審計員,對各項操作工作進行日常及周期性審計,確保工作人員工作到位。
2、DLP 和文檔加解密
企業(yè)信息安全制度和組織結(jié)構(gòu)建立完成后,我們就可以著手企業(yè)防泄漏系統(tǒng)的調(diào)研了。通過技術(shù)咨詢,防泄漏管理可以通過整機管控和文檔加解密兩方面入手,這里我們先了解一下DLP 和文檔加解密。
2.1 DLP:數(shù)據(jù)泄露防護(Data leakage prevention,DLP),通過技術(shù)手段防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。DLP 所具有的功能大致分為:(1)掃描發(fā)現(xiàn)公司服務器等任意位置上存儲的機密數(shù)據(jù)。(2)通過自動隔離、復制和刪除操作來自動保護存儲數(shù)據(jù)。(3)通過提供有關(guān)使用模式和訪問權(quán)限的詳細信息來解決非結(jié)構(gòu)化數(shù)據(jù)的數(shù)據(jù)保護問題。(4)定期掃描便攜式計算機和臺式機上存儲的機密數(shù)據(jù)以保護或重新放置數(shù)據(jù)。(5)阻止違反數(shù)據(jù)安全策略的網(wǎng)絡通信發(fā)送。(6)阻止違反數(shù)據(jù)安全策略發(fā)送電子郵件通信。(7)可通過集中平臺管理所有數(shù)據(jù)泄漏防護策略。
2.2 文檔加解密:是指通過采用加密算法和各種加密技術(shù)對網(wǎng)絡或計算機中的文檔進行加密防止文檔非法外泄的技術(shù)。文檔加解密技術(shù)所具有的功能有:(1)透明加解密:針對公司有關(guān)涉密的文檔進行加密,在加密的過程中不會對公司員工的日常工作產(chǎn)生影響。(2)泄密控制:可以對涉密采取控制其拷貝,授予文檔只讀的權(quán)限,打印過程中加水印,封鎖usb 口等方式控制泄密。(3)訪問控制:公司員工如果想要查看相關(guān)涉密文檔時,可向管理員或相關(guān)人員提出申請,給與權(quán)限后方可查看。(4)認證方式:可以使用連接服務器認證,usb-key 認證等認證方式進行文件解密查看。
3、企業(yè)數(shù)據(jù)防擴散管理
3.1 確定企業(yè)信息擴散漏洞。通過以上兩種數(shù)據(jù)防泄漏的技術(shù)基本可以滿足企業(yè)對數(shù)據(jù)安全管理的要求,技術(shù)手段有很多種,那么企業(yè)到底有哪些地方會有信息擴散的漏洞,在什么工作場景會出現(xiàn)哪些的泄露點并且如何管控呢?我們可以把管控場景分為公司內(nèi)部及公司外部兩個環(huán)境,具體泄露點及管控如下:(1)公司內(nèi)部:公司內(nèi)部場景也可以理解為公司局域網(wǎng)內(nèi)的所有操作場景,它所包含的可能出現(xiàn)文件泄露的方式有針對應用程序的安全管控,對于公司范圍內(nèi)的、應用可設(shè)置為白名單,針對公司級應用的涉密數(shù)據(jù)操作不執(zhí)行安全審計;電子文檔傳遞管控,通過傳遞電子文檔,數(shù)據(jù)會發(fā)生極高頻率泄露的可能,我們需要監(jiān)控郵件、web 傳送、共享、即時通訊,在上述動作中進行安全監(jiān)控并記錄日志;打印文件的管控,對涉密文件打印進行安全監(jiān)控并記錄日志;移動設(shè)備的管控,可以通過移動設(shè)備全盤加密或注冊使用等方式進行管控。(2)公司外部:公司外部場景是員工出差時會出現(xiàn)的數(shù)據(jù)泄露點,分為電子文檔管控和移動設(shè)備管控兩方面,建議外出人員所攜帶的重要文件進行加密,移動設(shè)備全盤加密,這樣就算發(fā)生丟失現(xiàn)象也不會造成很大的損失。
3.2 建立數(shù)據(jù)防擴散平臺。企業(yè)的信息漏洞管控需要一個完整的防擴散平臺的支撐,我們在尋求并且測試平臺的過程中會發(fā)現(xiàn),如果對所有的終端機進行控制,包括硬盤加密,usb 加密,各種通信端口的封鎖等,員工在實際工作中會出現(xiàn)很大的不方便性,有時甚至會嚴重影響到工作。因此我們考慮大范圍的應用是只需要監(jiān)督的,使用日志功能,存儲所有要保護點的動作及抓圖,留下操作的痕跡,這樣是不會影響員工的工作,一旦發(fā)生事件可以快速跟蹤到相關(guān)日志查找到相關(guān)責任人。但是,還是有一批重要的文件是需要重點保護的,這時就需要文件的加解密技術(shù)了,把要重點保護的文件透明加密,這樣即便有人把文件帶出去,也不能打開,從而保護了重要數(shù)據(jù)。策略建立及下發(fā)也是數(shù)據(jù)防擴散平臺建立的重要環(huán)節(jié)。首先建立不同的用戶組,根據(jù)文檔流轉(zhuǎn)及操作情況建立不同的策略組,涉密文件打上標記,不同用戶組及用戶下發(fā)其相應的策略。策略下發(fā)后,用戶客戶端將監(jiān)控涉密文件的使用流轉(zhuǎn)情況,及時記錄文檔狀態(tài)。
3.3 日志審計。日志審計,數(shù)據(jù)防泄漏管理的重點。
對于用戶的操作,數(shù)據(jù)防泄漏系統(tǒng)能夠?qū)⒉僮魅罩敬嬖跀?shù)據(jù)庫中。存儲的數(shù)據(jù)可以提供報表以及圖表等形式供審計員使用,發(fā)現(xiàn)可疑的地方及時上報。提前預防好過事后補救,在可能發(fā)生泄密前就切斷泄密渠道。一旦泄密情況發(fā)生,用戶操作記錄,可以第一時間作為最有力的證據(jù)拿出。有了日志審計功能,員工對文檔的操作也就不會像沒有防泄漏系統(tǒng)時的那么隨意了,也加強了員工對文件自我保護的意識。
4、結(jié)束語
信息安全管理制度及數(shù)據(jù)防泄漏系統(tǒng)的構(gòu)建對企業(yè)高效運行具有重要意義,企業(yè)在提升核心競爭力的同時,必須強化信息安全意識,采取相應的措施,建立一個綜合性的防御安全體系。DLP 和文檔加密兩種方式結(jié)合應用,既加強了數(shù)據(jù)保護,又寬松了使用人員的環(huán)境,策略上的下發(fā)靈活多變,比較適合當前大多數(shù)企業(yè)的應用。并且隨著應用的深入,策略隨時可更改以適應當時的工作環(huán)境需求。這種方式比較符合大多數(shù)企業(yè)對于信息安全管控的要求。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:企業(yè)信息安全之數(shù)據(jù)防泄漏管理
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839513434.html