谈企业敏感信息泄密的防护

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

龙源期刊网谈企业敏感信息泄密的防护作者:牟健君来源:《软件和信息服务》2012年第09期目前国内外信息安全形势严峻,多起信息安全或泄密事件接连发生,从CSDN互联网用户账号泄密开始,多家互联网机构被暴露也存在账号外泄问题,2012年央视315晚会曝光了国内一些金融机构员工向外兜售、泄露客户信息的事件,信息泄密直接造成了企业或用户的经济损失,甚至影响了企业公众形象及品牌价值,加强敏感信息的管理已经成为企业信息安全管理的重中之重。本文列举了企业敏感信息泄密的渠道、防护措施、管理要素,系统地阐述企业内网信息防泄密的方法。敏感信息的泄密防护是一个复杂的工程,无法采用单一的技术或管理规范来实现,在信息安全管理中只有建立一个人员、技术、管理相和谐的体系,才能有效保护企业的敏感信息数据。一、信息泄密的途径1、互联网。互联网高速发展的今天,企业很难和互联网隔绝,互联网泄密是信息泄密的主要渠道,常见的如下:即时通讯软件如QQ、MSN等。主要表现在利用即时消息软件文件传输功能、QQ空间,这些软件的不当使用会传播木马,好奇和无知有助于木马的传播,当然这些软件也给主动泄密者提供了很大的方便。文件共享与传输软件。BT、迅雷等P2P传输软件,FTP文件传输,邮件,互联网“云”资源,如网盘、云盘的不当使用。BBS、论坛、微博。木马控制内部机器后,将窃取的信息从内部由互联网传出。互联网对外服务(如网站或论坛),其系统或应用漏洞被暴露或被黑客攻破。2、电脑外设接口。电脑外设接口是文件传输的物理渠道,常见的主要有USB、蓝牙、无线网卡、串口、SD卡、红外接口、1394口、MMC卡。龙源期刊网、移动存储。U盘、移动硬盘、各类flash、数码相机、mp3/4等,值得一提的是手机及智能移动设备,也是需要重点关注的存储介质。4、移动终端。企业使用的笔记本电脑,由于其移动性应是企业泄密防控的重点管理对象。这些电脑染毒、木马或者设备本身丢失和被盗会导致员工存在本地存档的电子邮件和文件或将永久丢失,由于员工可能在本地保存重要或敏感数据,对企业也带来非常大的风险。此外,自带设备办公(BYOD)被越来越多企业关注,一些企业已经开始BYOD应用,这种环境下企业信息流入个人设备也是一个泄密途径。5、非法外联。一些企业对内部网和外部网进行了物理或逻辑隔离,统一互联网出口的管控策略,但是内部机器利用拨号、代理、WI-FI无线路由非法连接,同时使用内外网。6、非法接入。不合规的终端和无权用户的非法访问网络资源,通过植入木马或人为故意窃取企业内部信息。7、维修或报废的电脑或硬盘。残留数据造成泄密。8、人。数据的产生、存储、传递、使用、销毁,数据生命周期管理中,人是最重要的参与者和数据的使用者,人员的信息安全意识差,安全策略的执行力就很低。因此,人员管理是信息泄密管理的难点。二、信息泄密的类型信息的泄密可分为被动泄密和主动泄密。被动泄密是指信息资产拥有者或使用人非主观意愿下泄密的风险,包括计算机硬件(笔记本电脑、硬盘、移动存储)的遗失或被窃风险;计算机感染病毒或木马导致的文件被外泄风险,或无意识的信息泄密,而主动泄密指主观故意泄露或窃取信息,具赛迪网统计80%的泄密为主动泄密,主动泄密是信息防护的主要目标。龙源期刊网三、信息泄密的防护1、信息泄密的防护策略。安全分级,适度保护的策略。信息安全的目标是保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害。信息资产安全管理的重点是信息资产的安全分级和基于分级的安全保护,企业必须明确定义出敏感信息全生命周期的保护策略,并使相关人员知悉。制定安全策略,并使企业人员知悉是企业信息安全一切工作的基石。对不同安全级别的信息资产施以相应程度的保护手段是实现“适度保护”的思路之一,“适度保护”并非中庸之道,而是指建立与企业信息安全要求相适应的安全防控体系,具体到信息资产保护策略是指要和企业信息资产的安全分级相适应的安全防护策略,矫枉过正,防护过度,给员工日常办公带来极大不便。需要说明的是,安全分级比较复杂,根据不同的管理需要分类方法也比较多,常见的有基于系统的分级、基于信息或数据的分级、基于信息风险的分级等。目前大多数企业使用较多的分级是基于系统的等保分级,但采用单一的维度进行安全分级仍然难以提供有针对性的保护,对于信息的泄密防护,针对数据安全分级将使管理目标更为明确和直接,但较难实施,建议关注受保护数据的生命周期管理,包括数据产生、数据传输使用、数据变更、数据存储、数据处置或销毁。2、信息泄密防护技术企业内部的防泄密管理手段从根本上可以归结成四类:泄密渠道及边界管控,数据隔离,数据加密,审计(含身份管理)。审计可以说是“跨界”手段,通过审计可找到泄密事件的线索和证据,从而震慑恶意泄密者,而身份管理是将信息打上身份标记,确定归属,是审计的基础。企业网边界的管控企业网络边界管控分为外网(互联网、企业间网络)的管控,和内网接入的管控。互联网边界管控。需要控制主流即时通讯软件如QQ、MSN的文件传输,P2P软件的使用,过滤和审计上网关键字,并留存记录,记录和控制文件传输、论坛发帖、控制互联网邮件使用,过滤不良网站,发现木马和发现异常行为。一般可以在互联网边界部署上网行为管控产品,配合网络防毒墙实现上述控制功能,这类产品通常有强大审计回放功能。内网边界管控。当前内网边界管控的主要技术是“网络安全准入”,通过准入技术可实现防止非授权、非合规接入、实现非法外联检测和控制。采用了安全准入技术的网络会对接入设备进行检查和控制,对终端使用者的身份进行确认(身份认证),或终端进行MAC或其它认证,对电脑安装的软件进行检查,如是否安装防病毒、是否安装合适的补丁、是否安装企业桌龙源期刊网面管理软件,判断电脑是否合规,确保合规的终端才能真正接入。“网络安全准入”系统可以对终端的非法外联进行检查,会自动阻止用户私自连接互联网络或者其它网络。此外,非法外联管理还可以有效防止跳板攻击。“网络安全准入”技术是企业网络终端安全管理的基础和前提,其强制合规功能可帮助企业强制部署其它终端加固或管理软件,保障终端持续合规。互联网、办公网、生产网的隔离。一些需要使用互联网而又对安全要求较高的企业,建立了办公网、生产网、互联网三套物理网络。三网物理分离看起来十分安全,但建设资金和管理投入大、数据使用不便是物理隔离的最大问题。更加需要关注的是三网之间的数据交换有时是必须的,由于网络上做了隔离,使一些个人试图采用一些其它渠道进行文件交换,文件在交换过程的丢失、染毒、很可能对企业信息安全造成威胁,往往会出现“堵”比“疏”更加难以管控的情形,因此企业要实施三网分离,应尽量详尽地做好需求调研,制定好合理疏导措施,并采取有效技术控制手段,来防止故意“越界”的行为。企业内网终端的管理企业内网终端管理包括电脑安全加固、软件管理、外设管理、移动存储、硬盘等管理,终端管理产品较多如桌面管控软件、防病毒软件、个人防火墙、数据泄密防护DLP、安全准入系统,但一些产品技术功能重叠,管控范围职责不清,一些企业个人电脑需要安装4-5个终端电脑运行缓慢,重复投资,出现这个问题一方面由于厂家产品定位不清,另一方面也有企业内部分工不明确的问题。桌面管理软件。主要功能为资产管理、安全加固、外设管理、软件黑白名单管理、远程协助、软件分发等,并能和安全准入产品相配合阻止不健康、不合规的PC接入,领先厂商的桌面管理软件和准入软件已经合二为一。数据泄密防护DLP。最初主要被国内外一些自主研发企业、军队、科研单位使用,用于防范数据的泄密。由于目前互联网安全形势严峻,目前该技术开始在商业和金融机构推广。DLP技术重点关注数据,综合采用加密、身份验证、隔离、审计等技术对数据产生、复制、外流、外设文件交换等过程及渠道进行控制和干预,保障非授权数据的复制和流转后无法打开,文件外泄需要审计和授权。该技术应用推广主要针对终端,对于终端上的数据管控有一定效果,但也会为企业员工灵活使用终端上的数据带来一定麻烦,企业选择这项技术制定安全策略需要权衡方便与安全,而从整体上讲让企业敏感数据流入个人电脑尤其是笔记本等移动设备是不明智的,数据泄密的长期管理成本会比较高,企业敏感数据的集中管理是好的选择。龙源期刊网建立一体化管理体系。内网安全管理应以身份识别为基础、以准入控制为手段、以桌面管理、数据防泄密为补充,实施一体化的防控和管理体系,各种手段相互呼应配合,主动防御,从源头消除漏洞和威胁。企业终端管理水平既体现了企业的执行力又能看出管理者的智慧,信息安全管理其根本在可操作性和安全保护措施的经济成本之间寻求平衡。云存储、虚拟化技术,沙箱隔离技术虚拟化技术。虚拟应用交付是指将客户端应用程序集中部署在服务器端,通过专用的技术和协议将应用程序发布到客户端,使客户端无需安装程序即可使用应用,客户端可以是瘦终端、PC、智能平板电脑、手机,数据传输加密,并进行了图形化转换,传输安全,同时可对鼠标、键盘、外设接口、数据传输通道进行控制,可以实现有效的数据隔离。云桌面采用虚拟化技术及专用硬件终端,将PC远程部署在服务器上,客户根据需要访问虚拟PC,虚拟PC集中管控,客户按需申请各种PC资源。两种技术可以有效对数据进行隔离和控制,在下面的场景被大范围使用:1、开发测试环境开发人员使用机器,可以有效对开发代码进行保护,同时也可动态分配硬件资源;2、企业外包人员配备用机;3、互联网访问隔离。采用虚拟技术或云桌面进行管理由于数据集中、交付可控,可有效提升数据安全性和降低管理难度,但初期建设成本相对较高。企业级“沙箱”虚拟机技术。沙箱技术最早应用在谷歌的浏览器上,目前在互联网浏览器、杀毒软件、网银开始应用。沙箱虚拟机技术是在PC起一个虚拟机,虚拟机上应用和本机应用及数据隔离,访问后虚拟机中数据被自动删除。企业级“沙箱”虚拟机通常有统一的控制策略设备,可控制虚拟机的运行程序及访问权限,沙箱虚拟机方案部署简单、成本低,可用于隔离办公网与互联网、办公网与生产网,尤其是互联网的隔离见效非常快。但沙箱虚拟机的隔离实现是靠驻留在PC端的软件,存在被攻破的可能,对比虚拟技术,数据在网络上发生了实际的传递,对于安全性要求极高的场景,建议结合网络访问控制手段,确保隔离有效。私有云存储与虚拟数据交换。云存储。云技术最为成熟的应用就是云存储,架构简单且易于被大众接受,但云存储面临最大的挑战是如何赢得信任,互联网企业公有云基础设施参差不齐,互联网企业也“云聚云散”变化无常,目前还不适合将企业数据放置在公有云设施上,而择机进行基于私有云的文件存储、电子邮件、文件交换的建设是一个比较好的选择。虚拟数据交换。企业的数据产生后主要是用于使用和交换的,企业数据云化存储后,采用虚拟数据交换技术可以进行方便的数据交换,而交换过程的加密、认证和授权取决于数据的安全等级,虚拟数据交换可以减少数据流转渠道,如我们日常传输文件通过邮件、通过网络、文件传输应用、移动存储,而虚拟数据交换可能仅仅是在存储端授权,甚至不改变文件的实际存龙源期刊网储位置,企业内部数据交换将不会再有U盘的需求。这两项技术将是企业数据安全管理的一个方向。四、人员管理:“另类”主动泄密的应对通过相机拍照,复印、打印资料外泄敏感信息的事件也时有发生,降低这类事件的发生关键在于人员的管理,也是安全管理范畴中的一个重要模块,因企业信息安全管理责任一般在IT部门,这个模块经常被忽视,人员管理是信息安全运作的重要组成部分,是信息安全体系工作中的一项基础性工作,其范围包括人员雇佣生命周期安全管理、信息安全意识培训和教育。如在人员雇佣前,应该确保员工、合同方和第三方用户了解他们的责任并适合于他们所考虑的角色,减少盗窃、滥用或设施误用的风险。员工、合同方和信息处理设施的第三方用户要签署关于他们的安全角色和

1 / 6
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功