RSS  - 留言  -  繁體

绿盾信息安全专题网站上线! [2015-10-11]

热烈庆祝本公司网站构建成立! [2014-02-08]

蜂巢科技 官方网站 新闻中心 信息安全


联系我们/Contact Us

  • 电 话:0731-8399 9035
  • 手 机:130 7734 7733
  • 邮 箱:kf@hnbee.cn
  • 地 址:麓谷大道662号软件大楼2楼

企业机密数据如何防止泄密

     对于一个有着与人体生命体特征相似的企业来说,企业当中的机密数据就构成了它的血液。如果与企业相关的机密数据丢失,就不可能及时给企业的生存和发展带来需要的营养,也就有可能危及企业的生命。并且,一些特殊的企业还必需遵从其所在位置的地方性数据保护法规的要求,也需要解决企业数据丢失的问题。因此,如何防范企业数据的丢失,就成为现在企业信息化应用过程中最需要解决的问题之一。但是,现在的企业要想防范其机密数据不丢失,并不是一个轻而易举就能解决的任务。

    主要原因有3个:  
1、第一个原因就是随着企业和信息化应用规模的不断扩大,在企业的信息化应用过程中会产生大量的机密数据。而企业信息化应用规模的不断扩大,也就意味着网络结构越来越复杂,再加上现大各种可移动存储设备,例如笔记本电脑、PDA、智能手机和U盘等,以及WIFI无线的应用,就使得企业的信息化应用结构也越来越复杂。当这些企业机密数据在复杂的信息化系统结构中不断流转时,就会给我们控制机密数据的使用增加了难度,也就相应地增加了机密数据丢失的风险。  
2、第二个原因就是现在的企业所处的网络环境中存在越来越多的安全威胁,例如黑客入侵、特洛伊木马和网络嗅探等,这些安全威胁的攻击水平和攻击破坏力也在不断地提高。并且,现在的企业还面临一个更加严重的问题,就是企业原本部署的传统安全防范设备,只能用来防范来自企业外部的安全威胁,而现在企业数据丢失的主要原因却来自企业的内部。这是因为企业内部的员工已经处于企业网络内部,拥有一定的访问企业网络资源的权限,并且,他们知道企业中的机密数据主要分布在什么位置的什么设备之中。而且,他们对企业内部已经部署的安全防范措施有了一定的了解,更加容易知道其安全防范的死角在什么地方,也就更加容易找到突破口来得到企业中的机密数据。  这个问题在经济危机时期显得更加明显,主要是一些企业开始大规模地裁员,而这些离职的员工手上拥有大量的与企业相关的机密数据。一旦企业不能够及时妥善地处理好这些离职员工的帐户和权限,那么企业中的机密数据就有可能通过离职员工流出到竞争企业或互联网等公共场所。  
3、最后的一个原因就是企业现在正处于经济危机时期,为了能够生存下去正在想方设法地缩减各种成本。而现在许多企业原有的安全防范措施根本不能达到保护数据安全的要求,也就意味着需要企业增加相应的安全投入。增加投入也就是会增加企业的成本,这不仅与企业缩减成本的近期发展策略相互冲突,而且在追加数据保护措施时有可能会影响现在的业务。这样一来,也就将企业推到了一个两难的选择境地:到底是选择增加安全投入,还是保持现状?虽然企业在防范数据丢失的过程中还存在上述所示的诸多问题,但是,很幸运的是,现在有一些企业已经成功地在其信息化结构中部署好了防范数据丢失的解决方案,并且取得了良好的效果。因此,我们完全可以吸取这些企业在保护数据安全方面取得的成功经验,来为我们防范企业机密数据丢失提供相应的实践指导。相对于了解企业中机密数据的分布和使用情况来说,认识企业数据正面临的安全风险和其性质是同样重要的。我们只有了解了企业数据目前面临的安全风险,才能知道要防范的是什么,才能知道以什么方式去应对?同时,我们还应当了解企业在发生数据丢失的安全事件后,可能会给企业造成的损失和影响的大小,以及这些损失企业是否可以承受?  对于当前针对数据的安全威胁类型,在一些安全网站上会每天进行公布,我们完全可以去这些网站当中订购一份邮件列表,然后我们每天就会收到这些网站发送给我们的最新安全威胁、漏洞及补丁更新等信息了。另外,一些调查机构每年都会针对数据安全风险的来源作具体的调查分析,我们也可以到这些调查机构的网站阅读这些调查报告,来了解当前主要的外部和内部威胁了。  
    在这里要明白的是,最大的安全风险并不是来自企业的外部,而是来自企业内部。例如,员工的误操作,或者故意的攻击行为等等。这些来自内部的安全威胁所造成的损失要比来自外部的风险大得多,这些威胁的攻击成功率也高得多。因而,按前面所述的方式调查企业内部员工的违规行为也同样重要。 
但是,并不是每个企业当中都会存在同样的安全威胁。这是由于每个企业的网络结构不同,网络应用的目的不同,因此网络中使用的设备和软件也不会相同,以及企业中员工的安全意识和忠诚度也不相同,也就决定了每个企业中的数据安全威胁的类型和多少也不会相同。因此,我们必需结合企业自身的实际情况,以相应的安全威胁调查报告为参考,得出自己所在企业可能会面临的风险类型、数量及性质。 
   当然,能够准确了解到企业可能会面临的数据安全风险,能够让我们做到有的放矢,也能为安全投入节省成本。但是,威胁是会不断地产生的,而且我们也不可能做到预测完全准确。因此,在考虑企业可能会面临的数据安全威胁时,应按宁可错杀一千,不可放过一个的方式进行。对于企业机密数据可能会面临的安全风险,我们也可以为此构建一个风险模型来实时分析风险的类型、数量和性质。 
   下面是目前最常见的数据安全风险:  
1、数据存储媒介丢失或被盗。这些存储媒介包括磁盘、磁带、笔记本电脑、PDA、U盘等设备。造成丢失的原因可能是员工无意中丢失,也可能是被攻击者故意盗走。丢失的位置也可能是在员工出差的途中,或者存放这些设备的位置,例如员工家中、出差所住的宾馆,以及备份媒介保存的机房,企业内部保管室等位置。如果这些丢失的设备中包含机密的数据,攻击者就能将它们出售,以便获得非法利益。  
2、员工故意违反。一些企业的员工,尤其是手中掌握大量机密信息的特权员工,例如数据库管理员,或网络管理员,甚至是企业的营销人员手中握有大量的客户资料。他们可能将手中的机密信息出信给企业的竞争对手,也可能将它直接出售给黑客,以此获得非法的利益。例如今年央视3.15晚会上所揭露的某些地方的移动公司员工将用户隐私信息出售的事件,就是一个非常明显的员工利用自身特权违反企业数据保护条例的行为。  
3、机密数据无意公布出去。例如企业员工无意将一封包含机密信息的电子邮件,没有加密就发送给一个非授权用户,以及一些员工无意将一些企业的机密信息贴到自己的网络博客或WIKI当中,或者通过Twitter或即时聊天的方式发布到公共网络环境当中。 
4、黑客攻击。内部黑客攻击者利用自己已经拥有的某种访问权限,通过一些非常规的手段以获得企业的机密数据。例如使用网络嗅探、中间人攻击等方式来得到在企业内部局域网中传输的机密数据。以及通过物理接触的方式直接拷贝机密数据到可移动存储设备中。在使用无线局域网的企业当中,内部攻击者还可以通过无线网卡加软件的形式构造一个非法无线AP,以欺骗一些内部员工将其无线设备连接到这个非法无线AP上。而一些外部黑客也可以通过社会工程方式利益企业内部员工,或使用网络钓鱼方式欺骗内部员工感染木马,然后从内部开始入侵企业数据库或文件服务器,或者使用网络嗅探来得到机密数据。在无线局域网中,外部攻击者通过使用无线嗅探软件的方式得到经过WEP加密的机密数据是很容易的。 
5、直接物理接触方式攻击。这种攻击方式大部分也是内自企业内部。这是由于企业内部员工本身已经身处企业内部,他只需要使用一些小小的计谋,就可能会直接接触到保存有机密数据的设备位置,通过拷贝、打印、拍照、复印,发送电子邮件,甚至直接将存储媒介拆走的方式来得到机密数据。一些外部攻击者,也可以通过社会工程的方式,欺骗企业保安人员和内部员工相信他是某种身份,然后它就可以直接进入企业内部进行数据盗取操作。这样的情景我通过在一些间谍和智力犯罪的电影中看到,例如非常出名的十一罗汉系列,以及越狱等电影及电视剧中经常会出现这样的镜头。
   建立一个适合自身需求的数据控制策略 
     制定一个数据安全风险控制策略,在这个策略当中应当包括数据安全控制的具体操作流程和使用的安全技术和产品。  
一个具体的数据保护策略应当由两个主要部分构成:其一就是控制机制,也就是具体的控制类型;另一个就是控制点,也就是具体要控制的对象,例如,存储设备、数据库、文件服务器、应用程序、网络设备和终端设备等。  
一个全面的深度数据安全保护体系应当由下列三个部分构成:  
1、 访问控制  访问控制包括两个方面:认证,也就是通过一种验证机制来证明访问数据的用户就是用户申明的他自己;另一个方面就是授权,也就是当用户通过认证后,授予给他的权限,这个权限中规定了用户可以对数据进行什么样的操作。现在,许多安全产品和应用程序都使用了这种访问控制方式,例如WEB访问、双因素认证等。  
2、 数据控制  数据控制就是控制数据本身不被违规。数据控制包括相应的技术和产品,例如应用数据加密和加密密钥管理,数据丢失防范(DLP)产品和企业信息权限管理(RMS)。3、 审计  审计的目的是为了提供一种反馈机制,用来确定数据保护策略和实施的数据保护解决方案果真按我们设置的方式在运行。现在也将这种方式称为安全信息和事件管理(SIEM)。审计控制功能通过会包含在一些相应的数据保护产品当中,也可能以单独的产品形式存在,它们为我们的数据使用情况提供一种反馈和记录机制,以确保所有的数据操作行为都在预期的控制范围内进行。  
     现在,越来越多的企业开始在企业当中部署应用数据加密解决方案,或者数据丢失防范解决方案,让它们来防范数据丢失。这是由于数据加密和数据丢失防范产品都能够提供一种保护机密数据的方式,而不论机密数据是否在静止状态、在移动过程中,还是存储于终端设备之中都能够被很好地保护。  
     数据加密能够保护数据在传输过程中不被泄漏,也能防止存储设备丢失后不会泄漏其中的机密数据。而数据丢失防范产品不仅包含数据加密功能,还提供其它的数据控制方式来确保数据的安全,例如绿盾信息安全管理系统,安装了绿盾加密软件,所有重要图纸文挡文件强制自动加密,不经公司相关负责人授权解密,所有资料在公司以外的电脑上都是打不开的。做到任何人不经允许都不可能通过任何方式从公司电脑上带走一点资料!公司电脑上数据处于绝对安全的状态。
     了解更多信息请访问湖南蜂巢科技有限公司绿盾专题 M.HnBee.cn
标签: 信息安全  
相关内容:信息安全  
返回顶部