盘点企业信息安全管理

    随着信息技术的飞速发展，对一个企业而言，来自外部的病毒、木马、网络攻击等种种网络安全威胁我们可以用防火墙，准入技术等来进行筛查和控制。但来自企业内部的数据泄露更是一个需要重视的问题。由于商业社会的竞争日趋激烈，企业研发数据、生产数据、财务数据、客户数据、人力资源数据等核心信息是关系企业生存与发展的命脉。企业内部监管手段的薄弱以及安全管理体系的缺乏都会给信息泄露有可乘之机。一旦有机密数据或者信息资产泄密，带来的损失和深远影响，将无可计量。因此一套健全的企业信息安全管理制度，一个适合企业生产运营的数据防泄露系统的建立是至关重要的。

    1 信息安全管理

    1.1 建立信息安全管理制度。

    在企业的任何一个信息系统的落地实施过程中，技术手段再强大的系统，没有与之相关的管理制度，系统是难以在企业中真正贯彻落实的。管理制度是企业中系统快速，顺利实施的关键。制度的建立要以保障信息安全，预防风险，完善控制措施以目的，范围涉及设备的发放及管理；服务器等重大设备的管理及口令规则；移动介质管理；数据恢复及备份管理；外来人员对本企业相关设备及数据操作的管理等。

    1.2 建立信息安全管理组织机构。

    如果在企业内想要全面地落实信息安全管理制度，保证企业下发的各项政策和策略实施，以及外部人员访问企业信息和信息处理设施的安全，需要构建有效的信息安全组织架构。公司首先要成立信息安全领导小组，决定信息安全方面的一切事宜，领导小组至少要包含一名企业高层领导，这样下发实施应用可以更加有效。信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。第二步成立信息安全工作组，设立组长及分管个块的副组长及组员。其职责为：针对信息安全领导小组做出的决策按所属管辖的区域范围开展工作；根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实。信息安全工作组中要单独设立信息安全审计员，对各项操作工作进行日常及周期性审计，确保工作人员工作到位。

    2 DLP 和文档加解密

    企业信息安全制度和组织结构建立完成后，我们就可以着手企业防泄漏系统的调研了。通过技术咨询，防泄漏管理可以通过整机管控和文档加解密两方面入手，这里我们先了解一下DLP 和文档加解密。

    2.1 DLP：数据泄露防护（Data leakage prevention，DLP），通过技术手段防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP 所具有的功能大致分为：

    （1）扫描发现公司服务器等任意位置上存储的机密数据。

    （2）通过自动隔离、复制和删除操作来自动保护存储数据。

    （3）通过提供有关使用模式和访问权限的详细信息来解决非结构化数据的数据保护问题。

    （4）定期扫描便携式计算机和台式机上存储的机密数据以保护或重新放置数据。

    （5）阻止违反数据安全策略的网络通信发送。

    （6）阻止违反数据安全策略发送电子邮件通信。

    （7）可通过集中平台管理所有数据泄漏防护策略。

    2.2 文档加解密：是指通过采用加密算法和各种加密技术对网络或计算机中的文档进行加密防止文档非法外泄的技术。文档加解密技术所具有的功能有：（1）透明加解密：针对公司有关涉密的文档进行加密，在加密的过程中不会对公司员工的日常工作产生影响。（2）泄密控制：可以对涉密采取控制其拷贝，授予文档只读的权限，打印过程中加水印，封锁usb 口等方式控制泄密。（3）访问控制：公司员工如果想要查看相关涉密文档时，可向管理员或相关人员提出申请，给与权限后方可查看。（4）认证方式：可以使用连接服务器认证，usb-key 认证等认证方式进行文件解密查看。

[page]    3 企业数据防扩散管理

    3.1 确定企业信息扩散漏洞。

    通过以上两种数据防泄漏的技术基本可以满足企业对数据安全管理的要求，技术手段有很多种，那么企业到底有哪些地方会有信息扩散的漏洞，在什么工作场景会出现哪些的泄露点并且如何管控呢？我们可以把管控场景分为公司内部及公司外部两个环境，具体泄露点及管控如下：（1）公司内部：公司内部场景也可以理解为公司局域网内的所有操作场景，它所包含的可能出现文件泄露的方式有针对应用程序的安全管控，对于公司范围内的、应用可设置为白名单，针对公司级应用的涉密数据操作不执行安全审计；电子文档传递管控，通过传递电子文档，数据会发生极高频率泄露的可能，我们需要监控邮件、web 传送、共享、即时通讯，在上述动作中进行安全监控并记录日志；打印文件的管控，对涉密文件打印进行安全监控并记录日志；移动设备的管控，可以通过移动设备全盘加密或注册使用等方式进行管控。（2）公司外部：公司外部场景是员工出差时会出现的数据泄露点，分为电子文档管控和移动设备管控两方面，建议外出人员所携带的重要文件进行加密，移动设备全盘加密，这样就算发生丢失现象也不会造成很大的损失。

    3.2 建立数据防扩散平台。

    企业的信息漏洞管控需要一个完整的防扩散平台的支撑，我们在寻求并且测试平台的过程中会发现，如果对所有的终端机进行控制，包括硬盘加密，usb 加密，各种通信端口的封锁等，员工在实际工作中会出现很大的不方便性，有时甚至会严重影响到工作。因此我们考虑大范围的应用是只需要监督的，使用日志功能，存储所有要保护点的动作及抓图，留下操作的痕迹，这样是不会影响员工的工作，一旦发生事件可以快速跟踪到相关日志查找到相关责任人。但是，还是有一批重要的文件是需要重点保护的，这时就需要文件的加解密技术了，把要重点保护的文件透明加密，这样即便有人把文件带出去，也不能打开，从而保护了重要数据。策略建立及下发也是数据防扩散平台建立的重要环节。首先建立不同的用户组，根据文档流转及操作情况建立不同的策略组，涉密的可能出现文件泄露的方式有针对应用程序的安全管控，对于公司范围内的、应用可设置为白名单，针对公司级应用的涉密数据操作不执行安全审计；电子文档传递管控，通过传递电子文档，数据会发生极高频率泄露的可能，我们需要监控邮件、web 传送、共享、即时通讯，在上述动作中进行安全监控并记录日志；打印文件的管控，对涉密文件打印进行安全监控并记录日志；移动设备的管控，可以通过移动设备全盘加密或注册使用等方式进行管控。（2）公司外部：公司外部场景是员工出差时会出现的数据泄露点，分为电子文档管控和移动设备管控两方面，建议外出人员所携带的重要文件进行加密，移动设备全盘加密，这样就算发生丢失现象也不会造成很大的损失。

    3.2 建立数据防扩散平台。

（编辑：大连站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!