企業信息安全之數據防泄漏管理
來源:中華工控網 更新時間:2014-04-21

信息系統發展到今天,人與人之間的溝通,知識文檔的傳遞越發頻繁,快速,便捷。這種快速發展也帶來了內部管理方面的一些問題,即如何管理和保護這些信息資產,如何保護和維持自己的研發創新成果,如何避免我們的知識數據對外泄露,給競爭對手可利用的機會,這是企業目前面臨的重大問題。本文旨在探索適合企業落地應用的一套數據防泄露的管理方案,使企業不同等級的商業數據受到不同策略的保護,在日益競爭激烈的環境下為企業打造一個安全的信息環境。
  隨著信息技術的飛速發展,對一個企業而言,來自外部的病毒、木馬、網絡攻擊等種種網絡安全威脅我們可以用防火牆,准入技術等來進行篩查和控制。但來自企業內部的數據泄露更是一個需要重視的問題。由於商業社會的競爭日趨激烈,企業研發數據、生產數據、財務數據、客戶數據、人力資源數據等核心信息是關系企業生存與發展的命脈。企業內部監管手段的薄弱以及安全管理體系的缺乏都會給信息泄露有可乘之機。一旦有機密數據或者信息資產泄密,帶來的損失和深遠影響,將無可計量。因此一套健全的企業信息安全管理制度,一個適合企業生產運營的數據防泄露系統的建立是至關重要的。
  1、信息安全管理
  1.1 建立信息安全管理制度。在企業的任何一個信息系統的落地實施過程中,技術手段再強大的系統,沒有與之相關的管理制度,系統是難以在企業中真正貫徹落實的。管理制度是企業中系統快速,順利實施的關鍵。制度的建立要以保障信息安全,預防風險,完善控制措施以目的,範圍涉及設備的發放及管理;服務器等重大設備的管理及口令規則;移動介質管理;數據恢復及備份管理;外來人員對本企業相關設備及數據操作的管理等。
  1.2 建立信息安全管理組織機構。如果在企業內想要全面地落實信息安全管理制度,保證企業下發的各項政策和策略實施,以及外部人員訪問企業信息和信息處理設施的安全,需要構建有效的信息安全組織架構。公司首先要成立信息安全領導小組,決定信息安全方面的一切事宜,領導小組至少要包含一名企業高層領導,這樣下發實施應用可以更加有效。信息安全領導小組負責研究重大事件,落實方針政策和制定總體策略等。第二步成立信息安全工作組,設立組長及分管個塊的副組長及組員。其職責為:針對信息安全領導小組做出的決策按所屬管轄的區域範圍開展工作;根據信息安全領導小組的工作部署,對信息安全工作進行具體安排、落實。信息安全工作組中要單獨設立信息安全審計員,對各項操作工作進行日常及周期性審計,確保工作人員工作到位。
  2、DLP 和文檔加解密
  企業信息安全制度和組織結構建立完成後,我們就可以著手企業防泄漏系統的調研了。通過技術咨詢,防泄漏管理可以通過整機管控和文檔加解密兩方面入手,這裡我們先了解一下DLP 和文檔加解密。
  2.1 DLP:數據泄露防護(Data leakage prevention,DLP),通過技術手段防止企業的指定數據或信息資產以違反安全策略規定的形式流出企業的一種策略。DLP 所具有的功能大致分為:(1)掃描發現公司服務器等任意位置上存儲的機密數據。(2)通過自動隔離、復制和刪除操作來自動保護存儲數據。(3)通過提供有關使用模式和訪問權限的詳細信息來解決非結構化數據的數據保護問題。(4)定期掃描便攜式計算機和台式機上存儲的機密數據以保護或重新放置數據。(5)阻止違反數據安全策略的網絡通信發送。(6)阻止違反數據安全策略發送電子郵件通信。(7)可通過集中平台管理所有數據泄漏防護策略。
  2.2 文檔加解密:是指通過采用加密算法和各種加密技術對網絡或計算機中的文檔進行加密防止文檔非法外泄的技術。文檔加解密技術所具有的功能有:(1)透明加解密:針對公司有關涉密的文檔進行加密,在加密的過程中不會對公司員工的日常工作產生影響。(2)泄密控制:可以對涉密采取控制其拷貝,授予文檔只讀的權限,打印過程中加水印,封鎖usb 口等方式控制泄密。(3)訪問控制:公司員工如果想要查看相關涉密文檔時,可向管理員或相關人員提出申請,給與權限後方可查看。(4)認證方式:可以使用連接服務器認證,usb-key 認證等認證方式進行文件解密查看。
  3、企業數據防擴散管理
  3.1 確定企業信息擴散漏洞。通過以上兩種數據防泄漏的技術基本可以滿足企業對數據安全管理的要求,技術手段有很多種,那麼企業到底有哪些地方會有信息擴散的漏洞,在什麼工作場景會出現哪些的泄露點並且如何管控呢?我們可以把管控場景分為公司內部及公司外部兩個環境,具體泄露點及管控如下:(1)公司內部:公司內部場景也可以理解為公司局域網內的所有操作場景,它所包含的可能出現文件泄露的方式有針對應用程序的安全管控,對於公司範圍內的、應用可設置為白名單,針對公司級應用的涉密數據操作不執行安全審計;電子文檔傳遞管控,通過傳遞電子文檔,數據會發生極高頻率泄露的可能,我們需要監控郵件、web 傳送、共享、即時通訊,在上述動作中進行安全監控並記錄日志;打印文件的管控,對涉密文件打印進行安全監控並記錄日志;移動設備的管控,可以通過移動設備全盤加密或注冊使用等方式進行管控。(2)公司外部:公司外部場景是員工出差時會出現的數據泄露點,分為電子文檔管控和移動設備管控兩方面,建議外出人員所攜帶的重要文件進行加密,移動設備全盤加密,這樣就算發生丟失現像也不會造成很大的損失。
  3.2 建立數據防擴散平台。企業的信息漏洞管控需要一個完整的防擴散平台的支撐,我們在尋求並且測試平台的過程中會發現,如果對所有的終端機進行控制,包括硬盤加密,usb 加密,各種通信端口的封鎖等,員工在實際工作中會出現很大的不方便性,有時甚至會嚴重影響到工作。因此我們考慮大範圍的應用是只需要監督的,使用日志功能,存儲所有要保護點的動作及抓圖,留下操作的痕跡,這樣是不會影響員工的工作,一旦發生事件可以快速跟蹤到相關日志查找到相關責任人。但是,還是有一批重要的文件是需要重點保護的,這時就需要文件的加解密技術了,把要重點保護的文件透明加密,這樣即便有人把文件帶出去,也不能打開,從而保護了重要數據。策略建立及下發也是數據防擴散平台建立的重要環節。首先建立不同的用戶組,根據文檔流轉及操作情況建立不同的策略組,涉密文件打上標記,不同用戶組及用戶下發其相應的策略。策略下發後,用戶客戶端將監控涉密文件的使用流轉情況,及時記錄文檔狀態。
  3.3 日志審計。日志審計,數據防泄漏管理的重點。
  對於用戶的操作,數據防泄漏系統能夠將操作日志存在數據庫中。存儲的數據可以提供報表以及圖表等形式供審計員使用,發現可疑的地方及時上報。提前預防好過事後補救,在可能發生泄密前就切斷泄密渠道。一旦泄密情況發生,用戶操作記錄,可以第一時間作為最有力的證據拿出。有了日志審計功能,員工對文檔的操作也就不會像沒有防泄漏系統時的那麼隨意了,也加強了員工對文件自我保護的意識。
  4、結束語
  信息安全管理制度及數據防泄漏系統的構建對企業高效運行具有重要意義,企業在提升核心競爭力的同時,必須強化信息安全意識,采取相應的措施,建立一個綜合性的防御安全體系。DLP 和文檔加密兩種方式結合應用,既加強了數據保護,又寬松了使用人員的環境,策略上的下發靈活多變,比較適合當前大多數企業的應用。並且隨著應用的深入,策略隨時可更改以適應當時的工作環境需求。這種方式比較符合大多數企業對於信息安全管控的要求。