企業(yè)信息安全之?dāng)?shù)據(jù)防泄漏管理

　　隨著信息技術(shù)的飛速發(fā)展，對(duì)一個(gè)企業(yè)而言，來(lái)自外部的病毒、木馬、網(wǎng)絡(luò)攻擊等種種網(wǎng)絡(luò)安全威脅我們可以用防火墻，準(zhǔn)入技術(shù)等來(lái)進(jìn)行篩查和控制。但來(lái)自企業(yè)內(nèi)部的數(shù)據(jù)泄露更是一個(gè)需要重視的問(wèn)題。由于商業(yè)社會(huì)的競(jìng)爭(zhēng)日趨激烈，企業(yè)研發(fā)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、客戶(hù)數(shù)據(jù)、人力資源數(shù)據(jù)等核心信息是關(guān)系企業(yè)生存與發(fā)展的命脈。企業(yè)內(nèi)部監(jiān)管手段的薄弱以及安全管理體系的缺乏都會(huì)給信息泄露有可乘之機(jī)。一旦有機(jī)密數(shù)據(jù)或者信息資產(chǎn)泄密，帶來(lái)的損失和深遠(yuǎn)影響，將無(wú)可計(jì)量。因此一套健全的企業(yè)信息安全管理制度，一個(gè)適合企業(yè)生產(chǎn)運(yùn)營(yíng)的數(shù)據(jù)防泄露系統(tǒng)的建立是至關(guān)重要的。

　　1、信息安全管理

　　1.1 建立信息安全管理制度。在企業(yè)的任何一個(gè)信息系統(tǒng)的落地實(shí)施過(guò)程中，技術(shù)手段再?gòu)?qiáng)大的系統(tǒng)，沒(méi)有與之相關(guān)的管理制度，系統(tǒng)是難以在企業(yè)中真正貫徹落實(shí)的。管理制度是企業(yè)中系統(tǒng)快速，順利實(shí)施的關(guān)鍵。制度的建立要以保障信息安全，預(yù)防風(fēng)險(xiǎn)，完善控制措施以目的，范圍涉及設(shè)備的發(fā)放及管理；服務(wù)器等重大設(shè)備的管理及口令規(guī)則；移動(dòng)介質(zhì)管理；數(shù)據(jù)恢復(fù)及備份管理；外來(lái)人員對(duì)本企業(yè)相關(guān)設(shè)備及數(shù)據(jù)操作的管理等。

　　1.2 建立信息安全管理組織機(jī)構(gòu)。如果在企業(yè)內(nèi)想要全面地落實(shí)信息安全管理制度，保證企業(yè)下發(fā)的各項(xiàng)政策和策略實(shí)施，以及外部人員訪問(wèn)企業(yè)信息和信息處理設(shè)施的安全，需要構(gòu)建有效的信息安全組織架構(gòu)。公司首先要成立信息安全領(lǐng)導(dǎo)小組，決定信息安全方面的一切事宜，領(lǐng)導(dǎo)小組至少要包含一名企業(yè)高層領(lǐng)導(dǎo)，這樣下發(fā)實(shí)施應(yīng)用可以更加有效。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)研究重大事件，落實(shí)方針政策和制定總體策略等。第二步成立信息安全工作組，設(shè)立組長(zhǎng)及分管個(gè)塊的副組長(zhǎng)及組員。其職責(zé)為：針對(duì)信息安全領(lǐng)導(dǎo)小組做出的決策按所屬管轄的區(qū)域范圍開(kāi)展工作；根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對(duì)信息安全工作進(jìn)行具體安排、落實(shí)。信息安全工作組中要單獨(dú)設(shè)立信息安全審計(jì)員，對(duì)各項(xiàng)操作工作進(jìn)行日常及周期性審計(jì)，確保工作人員工作到位。

　　2、DLP 和文檔加解密

　　企業(yè)信息安全制度和組織結(jié)構(gòu)建立完成后，我們就可以著手企業(yè)防泄漏系統(tǒng)的調(diào)研了。通過(guò)技術(shù)咨詢(xún)，防泄漏管理可以通過(guò)整機(jī)管控和文檔加解密兩方面入手，這里我們先了解一下DLP 和文檔加解密。

　　2.1 DLP：數(shù)據(jù)泄露防護(hù)（Data leakage prevention，DLP），通過(guò)技術(shù)手段防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。DLP 所具有的功能大致分為：（1）掃描發(fā)現(xiàn)公司服務(wù)器等任意位置上存儲(chǔ)的機(jī)密數(shù)據(jù)。（2）通過(guò)自動(dòng)隔離、復(fù)制和刪除操作來(lái)自動(dòng)保護(hù)存儲(chǔ)數(shù)據(jù)。（3）通過(guò)提供有關(guān)使用模式和訪問(wèn)權(quán)限的詳細(xì)信息來(lái)解決非結(jié)構(gòu)化數(shù)據(jù)的數(shù)據(jù)保護(hù)問(wèn)題。（4）定期掃描便攜式計(jì)算機(jī)和臺(tái)式機(jī)上存儲(chǔ)的機(jī)密數(shù)據(jù)以保護(hù)或重新放置數(shù)據(jù)。（5）阻止違反數(shù)據(jù)安全策略的網(wǎng)絡(luò)通信發(fā)送。（6）阻止違反數(shù)據(jù)安全策略發(fā)送電子郵件通信。（7）可通過(guò)集中平臺(tái)管理所有數(shù)據(jù)泄漏防護(hù)策略。

　　2.2 文檔加解密：是指通過(guò)采用加密算法和各種加密技術(shù)對(duì)網(wǎng)絡(luò)或計(jì)算機(jī)中的文檔進(jìn)行加密防止文檔非法外泄的技術(shù)。文檔加解密技術(shù)所具有的功能有：（1）透明加解密：針對(duì)公司有關(guān)涉密的文檔進(jìn)行加密，在加密的過(guò)程中不會(huì)對(duì)公司員工的日常工作產(chǎn)生影響。（2）泄密控制：可以對(duì)涉密采取控制其拷貝，授予文檔只讀的權(quán)限，打印過(guò)程中加水印，封鎖usb 口等方式控制泄密。（3）訪問(wèn)控制：公司員工如果想要查看相關(guān)涉密文檔時(shí)，可向管理員或相關(guān)人員提出申請(qǐng)，給與權(quán)限后方可查看。（4）認(rèn)證方式：可以使用連接服務(wù)器認(rèn)證，usb-key 認(rèn)證等認(rèn)證方式進(jìn)行文件解密查看。

　　3、企業(yè)數(shù)據(jù)防擴(kuò)散管理

　　3.1 確定企業(yè)信息擴(kuò)散漏洞。通過(guò)以上兩種數(shù)據(jù)防泄漏的技術(shù)基本可以滿(mǎn)足企業(yè)對(duì)數(shù)據(jù)安全管理的要求，技術(shù)手段有很多種，那么企業(yè)到底有哪些地方會(huì)有信息擴(kuò)散的漏洞，在什么工作場(chǎng)景會(huì)出現(xiàn)哪些的泄露點(diǎn)并且如何管控呢？我們可以把管控場(chǎng)景分為公司內(nèi)部及公司外部?jī)蓚�(gè)環(huán)境，具體泄露點(diǎn)及管控如下：（1）公司內(nèi)部：公司內(nèi)部場(chǎng)景也可以理解為公司局域網(wǎng)內(nèi)的所有操作場(chǎng)景，它所包含的可能出現(xiàn)文件泄露的方式有針對(duì)應(yīng)用程序的安全管控，對(duì)于公司范圍內(nèi)的、應(yīng)用可設(shè)置為白名單，針對(duì)公司級(jí)應(yīng)用的涉密數(shù)據(jù)操作不執(zhí)行安全審計(jì)；電子文檔傳遞管控，通過(guò)傳遞電子文檔，數(shù)據(jù)會(huì)發(fā)生極高頻率泄露的可能，我們需要監(jiān)控郵件、web 傳送、共享、即時(shí)通訊，在上述動(dòng)作中進(jìn)行安全監(jiān)控并記錄日志；打印文件的管控，對(duì)涉密文件打印進(jìn)行安全監(jiān)控并記錄日志；移動(dòng)設(shè)備的管控，可以通過(guò)移動(dòng)設(shè)備全盤(pán)加密或注冊(cè)使用等方式進(jìn)行管控。（2）公司外部：公司外部場(chǎng)景是員工出差時(shí)會(huì)出現(xiàn)的數(shù)據(jù)泄露點(diǎn)，分為電子文檔管控和移動(dòng)設(shè)備管控兩方面，建議外出人員所攜帶的重要文件進(jìn)行加密，移動(dòng)設(shè)備全盤(pán)加密，這樣就算發(fā)生丟失現(xiàn)象也不會(huì)造成很大的損失。

　　3.2 建立數(shù)據(jù)防擴(kuò)散平臺(tái)。企業(yè)的信息漏洞管控需要一個(gè)完整的防擴(kuò)散平臺(tái)的支撐，我們?cè)趯で蟛⑶覝y(cè)試平臺(tái)的過(guò)程中會(huì)發(fā)現(xiàn)，如果對(duì)所有的終端機(jī)進(jìn)行控制，包括硬盤(pán)加密，usb 加密，各種通信端口的封鎖等，員工在實(shí)際工作中會(huì)出現(xiàn)很大的不方便性，有時(shí)甚至?xí)��?yán)重影響到工作。因此我們考慮大范圍的應(yīng)用是只需要監(jiān)督的，使用日志功能，存儲(chǔ)所有要保護(hù)點(diǎn)的動(dòng)作及抓圖，留下操作的痕跡，這樣是不會(huì)影響員工的工作，一旦發(fā)生事件可以快速跟蹤到相關(guān)日志查找到相關(guān)責(zé)任人。但是，還是有一批重要的文件是需要重點(diǎn)保護(hù)的，這時(shí)就需要文件的加解密技術(shù)了，把要重點(diǎn)保護(hù)的文件透明加密，這樣即便有人把文件帶出去，也不能打開(kāi)，從而保護(hù)了重要數(shù)據(jù)。策略建立及下發(fā)也是數(shù)據(jù)防擴(kuò)散平臺(tái)建立的重要環(huán)節(jié)。首先建立不同的用戶(hù)組，根據(jù)文檔流轉(zhuǎn)及操作情況建立不同的策略組，涉密文件打上標(biāo)記，不同用戶(hù)組及用戶(hù)下發(fā)其相應(yīng)的策略。策略下發(fā)后，用戶(hù)客戶(hù)端將監(jiān)控涉密文件的使用流轉(zhuǎn)情況，及時(shí)記錄文檔狀態(tài)。

　　3.3 日志審計(jì)。日志審計(jì)，數(shù)據(jù)防泄漏管理的重點(diǎn)。

　　對(duì)于用戶(hù)的操作，數(shù)據(jù)防泄漏系統(tǒng)能夠?qū)⒉僮魅罩敬嬖跀?shù)據(jù)庫(kù)中。存儲(chǔ)的數(shù)據(jù)可以提供報(bào)表以及圖表等形式供審計(jì)員使用，發(fā)現(xiàn)可疑的地方及時(shí)上報(bào)。提前預(yù)防好過(guò)事后補(bǔ)救，在可能發(fā)生泄密前就切斷泄密渠道。一旦泄密情況發(fā)生，用戶(hù)操作記錄，可以第一時(shí)間作為最有力的證據(jù)拿出。有了日志審計(jì)功能，員工對(duì)文檔的操作也就不會(huì)像沒(méi)有防泄漏系統(tǒng)時(shí)的那么隨意了，也加強(qiáng)了員工對(duì)文件自我保護(hù)的意識(shí)。

　　4、結(jié)束語(yǔ)

　　信息安全管理制度及數(shù)據(jù)防泄漏系統(tǒng)的構(gòu)建對(duì)企業(yè)高效運(yùn)行具有重要意義，企業(yè)在提升核心競(jìng)爭(zhēng)力的同時(shí)，必須強(qiáng)化信息安全意識(shí)，采取相應(yīng)的措施，建立一個(gè)綜合性的防御安全體系。DLP 和文檔加密兩種方式結(jié)合應(yīng)用，既加強(qiáng)了數(shù)據(jù)保護(hù)，又寬松了使用人員的環(huán)境，策略上的下發(fā)靈活多變，比較適合當(dāng)前大多數(shù)企業(yè)的應(yīng)用。并且隨著應(yīng)用的深入，策略隨時(shí)可更改以適應(yīng)當(dāng)時(shí)的工作環(huán)境需求。這種方式比較符合大多數(shù)企業(yè)對(duì)于信息安全管控的要求。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：企業(yè)信息安全之?dāng)?shù)據(jù)防泄漏管理

本文網(wǎng)址：http://m.hanmeixuan.com/html/consultation/10839513434.html