1987年，意大利經(jīng)濟學(xué)者帕累托在對英國人財富與收益模式進行調(diào)查時發(fā)現(xiàn)，大部分的財富流向了少數(shù)人手里。在對大量事實進行研究后，他得出結(jié)論：社會上20%的人占有80%的財富。隨后人們驚奇地發(fā)現(xiàn)在社會各個領(lǐng)域，都存在這樣一種二八定律。一個企業(yè)20%的客戶貢獻80%的銷售額；一個國家20%的人口消耗80%的醫(yī)療資源。而在信息泄露防護中我們可以發(fā)現(xiàn)，其實80%的泄密事件發(fā)生于20%的風(fēng)險點。

    根據(jù)國際知名內(nèi)網(wǎng)安全管理先鋒溢信科技(www.ip-guard.net)的觀察，這20%的高風(fēng)險點主要包括以下三個關(guān)鍵層面：

    一、關(guān)鍵人群

    在企業(yè)中存在這樣一群人，他們或手握企業(yè)機密，或者熟悉企業(yè)機密的存儲與信息泄露防護策略，只要他們想拷走企業(yè)的機密數(shù)據(jù)，就能輕易地繞過障礙找到目標(biāo)，達到目的，并對企業(yè)造成十足的威脅與損害。

    A、離職人員

    據(jù)美國信息安全公司Cyber-Ark最新調(diào)查，大部分的IT人員在辭職后，會竊取公司的一些敏感信息，包括CEO的帳戶密碼、客戶資料等機密。高達88%的IT管理員承認(rèn)，如果突然被公司辭退，他們將盜取公司機密信息，這些信息主要包括有CEO的帳戶密碼，客戶資料數(shù)據(jù)庫，公司戰(zhàn)略計劃，財務(wù)報告，并購計劃和特權(quán)密碼清單等。而在中國，數(shù)據(jù)顯示離職人員拷走資料的比例達到70%以上，很多人在離職時會將公司機密資料拷走，以作為尋找下一份工作的籌碼，或者用于創(chuàng)業(yè)。

    B、涉密人員

    機密文檔管理員、網(wǎng)絡(luò)超級管理員、高層等等，這些都屬于企業(yè)的涉密人員。對于設(shè)有專門檔案管理部門的企業(yè)來說，他們會將該部門與其他部門隔離開來，但對文檔管理人員的權(quán)限卻缺乏有效的控制。而網(wǎng)絡(luò)超級管理員在很多企業(yè)中都存在，他們審計與管控其他所有部門，但其本身卻不被審計，即使違規(guī)操作也無人察覺，成為企業(yè)信息泄露防護體系的一個大BUG。至于高層則不用說，在2012東軟泄密、2013HTC泄密等多個事件中，主要涉案人員都是公司副總級以上人員。

    C、特殊合作方

    包括共享文檔共同開發(fā)的戰(zhàn)略合作伙伴，重要業(yè)務(wù)的外包商等，如果對方利用共享數(shù)據(jù)私下開發(fā)，或者將數(shù)據(jù)泄露，無疑會對企業(yè)造成難以預(yù)料的傷害。2012年上海市數(shù)十萬新生兒信息泄露，正是因為委托醫(yī)院對外包項目的防泄密疏于管理，結(jié)果導(dǎo)致外包數(shù)據(jù)庫維護人員在自己家中即完成了數(shù)據(jù)下載，隨后進行販賣。

    二、關(guān)鍵載體

    A、移動存儲設(shè)備

    如U盤、移動硬盤、智能手機等。為了享受所謂的業(yè)務(wù)便利性，相當(dāng)多的公司對移動存儲設(shè)備都缺乏良好的管理。這些設(shè)備數(shù)量眾多、種類各異、分布零散，且使用頻繁，同時存儲著公司很多機密資料，對企業(yè)的信息泄露防護工作提出極大的挑戰(zhàn)。據(jù)調(diào)查，每2個USB盤中就有1個包含敏感信息，而在所有泄密事件中，因U盤泄密的比例超50%。

    B、應(yīng)用服務(wù)器

    很多公司通過OA/ERP/CVN/CRM/PLM等信息管理系統(tǒng)對技術(shù)資料、市場策略等數(shù)據(jù)進行集中存儲，但對這些業(yè)務(wù)系統(tǒng)的訪問權(quán)限卻沒有制定合理的管理策略。什么人該訪問什么系統(tǒng)，可以瀏覽哪種級別的文檔，這些都沒有成文的規(guī)定。有的甚至一個人就可以看到整套技術(shù)的信息，一旦泄密將對公司形成直接的威脅。

    C、網(wǎng)絡(luò)服務(wù)器

    如網(wǎng)盤、網(wǎng)絡(luò)郵箱等。很多人都習(xí)慣用郵箱與客戶交流信息，而當(dāng)工作未完成時也往往習(xí)慣性將相關(guān)文檔發(fā)到自己郵箱或者網(wǎng)盤中，以便回家繼續(xù)完成。但從信息泄露防護的角度來看，發(fā)出去的資料就如潑出去的水，企業(yè)是無法收回的。據(jù)調(diào)查，每 400 封郵件中就有1封包含敏感信息，每50 份通過網(wǎng)絡(luò)傳輸?shù)奈募�中就�?份包含敏感數(shù)據(jù)。一旦雙方脫離雇傭關(guān)系，這些資料可能會成為公司巨大的隱患，成為企業(yè)防泄密的硬傷。

    三、關(guān)鍵部門

    每個企業(yè)都有自己核心的部門，這些部門存儲著核心機密，比如研發(fā)部：自主開發(fā)的工藝與配方、研發(fā)計劃、軟件源代碼等；財務(wù)部：業(yè)績考核表、資產(chǎn)負債表、薪酬表等；設(shè)計部：設(shè)計方案、圖紙等等。這些機密關(guān)系著公司的生死存亡，若泄密勢必元氣大傷，企業(yè)信息泄露防護尤其需要注重對這些特別區(qū)域的防護。

    對很多企業(yè)尤其中小企業(yè)而言，在防泄密意識上可以說是外防充足，但內(nèi)控虛弱。而當(dāng)眾多內(nèi)部泄密事件如驚雷般連連在耳邊炸響時，頓時慌了手腳不知所措，于是臨時選系統(tǒng)搭防線，卻又感覺力不從線，找不到重點，顧此失彼。溢信科技建議，不如從以上三個關(guān)鍵點入手，也許能夠讓企業(yè)的信息泄露防護達到事半功倍之效。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：拓步ERP資訊：高效防泄密須緊抓三個重點

本文網(wǎng)址：http://www.ezxoed.cn/html/news/10515111834.html