企業迫切需要數據丟失防范措施
在2009年的央視3.15晚會上,將個人隱私泄漏的黑色產業鏈進行暴光。其中一個泄漏個人隱私的途徑就是來自保存有大量個人隱私信息的企業內部,也就是指某些企業的內部員工故意將保存在企業內部的機密數據透露出去。
這樣一來,企業不僅要對由自己內部泄漏出去的個人隱私承擔相應的法律責任,而且,如果泄漏出去的機密數據是與企業生存密切相關的新產品圖紙、銷售計劃和投標書等內容,那么,企業將要承受的,不僅僅只是法律的問題,而且還會面臨嚴重的經濟和無形資產的損失,甚至有些企業會由此而倒閉。
那么,對于目前企業內部存在的這種機密數據泄漏問題,我們有沒有什么辦法來解決呢?
實際上早在幾年前,就有網絡調查機構通過調查分析得出企業機密數據泄漏的主要威脅,并不是內自企業外部,而是企業的內部。而且,這種機密數據泄漏方式由于其主要實施對象是人,因而傳統的安全防范措施(如防火墻等)對這種安全威脅無能為力。
于是,一些安全產品開發商提出了一種新的數據安全解決方案——數據丟失防范(Data Loss Prevention),來幫助企業應對這種數據泄漏威脅。數據丟失防范也被人們簡稱為DLP,它是一種運用深層次的內容分析技術,來識別、監控和保護在靜止狀態、移動過程中和終端設備中機密數據的一種安全產品。
在企業中部署DLP解決方案之后,如果部署得當,那么它就會幫助企業帶來下列所示的好處:
1、DLP產品能夠幫助我們了解企業網絡中想要保護的機密數據的類型,以及這些機密數據目前正位于企業網絡中的什么位置或設備之中。
2、DLP解決方案能夠貫穿于數據的整個生命周期,幫助我們了解數據生命周期中各個階段數據所在的位置,以及幫助我們解決需要在什么位置進行控制和如何有效地控制機密數據等問題。
3、DLP解決方案可以加強企業對機密數據的管制。它允許我們限制企業員工對機密數據的訪問權限和訪問的方式,并審計對保護的機密數據的使用情況。例如記錄訪問機密數據的員工姓名、訪問的方式和訪問點,以及是否離開了企業網絡和什么時候離開網絡的。這樣能讓企業完全了解各種機密數據的使用情況,并且可以明確數據丟失事件發生后的具體責任人。
4、DLP解決方案還可以幫助企業調整過去不正確的業務操作流程,減少在業務流程中引起的無意機密數據丟失問題。例如,一些員工隨意將機密文件保存到自己的U盤當中帶離企業,以及員工在工作時間通過即時聊天軟件(如QQ、MNS等)與企業外部人員談論企業機密話題等。
DLP作為一種數據機密性保護技術,并不能解決所有的數據安全問題。例如,DLP解決方案并不能防止數據由于意外原因(如設備故障或自然災害等)被損壞,也不能防止機密數據被打印、復印、拍照、錄音和錄像等方式泄漏出去。并且,現在企業的網絡結構越來越復雜,互聯網應用類型也越來越多,企業中的員工可能在互聯網上開設有博客或編寫WIKI,以及使用智能手機、PDA和筆記本電腦等可移動設備。我們要想在一個復雜的網絡結構中對這么多方面實施全方位的機密數據保護控制,僅僅使用DLP一種技術是很難實現的。
目前的企業正處于全球經濟危機時期,所有企業都在想方設法地降低成本。如果在企業中部署DLP解決方案,不僅需要支付一定的DLP產品購買費用,而且有時還需要增加相應的安全技術人員來管理部署好的DLP解決方案,以便它們能一直發揮應有的作用。同時,在當前的企業網絡結構中添加DLP解決方案,往往需要對現有的網絡結構或員工的操作行為進行一定的調整,這樣一來難免對現有的網絡業務造成或多或少的影響。
因此,企業在部署DLP解決方案之前,就不得不先對自己提一個問題,那就是我們到底需不需要在企業網絡中部署DLP解決方案?
要想滿意地回答上述這個問題,我們必需先對企業目前的機密數據使用情況和網絡應用狀況等有一個全面的了解,看看企業目前是否存在下列所示的這些問題中的幾種或全部:
1、企業由于精減部門或縮減成本,需要裁員,或者企業經常有員工自動離職等人員流動情況出現。并且,離職的員工中有許多手頭握有企業客戶名單、財務數據、企業營銷計劃或產品開發計劃等機密數據。如果不對這些握有重要數據的離職員工進行相應的管理,那么他們的離開將會讓企業的這些機密數據泄漏到對手當中或在互聯網上傳播。
2、企業當中的員工在工作時間內經常使用個人或WEB郵箱發送沒有經過加密的包含機密數據的E-Mail給合作伙伴或客戶,以及還會使用即時聊天工具(如QQ、MSN)與客戶交流。這些未經加密保護的機密數據在網絡中傳輸時就有可能被攻擊者通過網絡嗅探或中間人攻擊的方式得到。
3、企業允許員工在家辦公或存在遠程分支機構。如果這些能夠訪問企業內部資源的外部計算機的安全防范工作做得不得力,就有可能成為攻擊者進入企業內部網絡的安全弱點,從而造成企業內部機密數據丟失。
4、企業目前還不知道機密數據存在于企業網絡當中的什么位置,更不知道用什么方法來限制一些對機密數據的非法訪問,也沒有一種有效的手段來分析和了解這些機密數據的使用情況。所有的這些,將會讓這些機密數據在無意之中泄漏出去。
5、企業目前仍然沒有好的方法來嚴格控制U盤、智能手機和PDA,以及CD/DVD刻錄機、筆記本電腦等可移動設備在企業網絡中的接入和使用。并且對這些設備的來源不是很清楚,也沒有什么辦法去了解。而這些設備當中會夾帶大量的機密數據,在離開企業的保護范圍之后,就有可能造成機密數據的損壞。
6、企業發現近年來內部機密數據泄漏事件越來越多,造成的經濟和無形資產的損失也越來越嚴重,已經到企業不能承受的地步。
如果我們所在的企業目前還存在上述這些問題中的幾種或全部,那么就有必要在企業中部署DLP解決方案了。另外,如果企業剛好是某種區域性數據保護法規要求之內的企業,例如我國2010年1月1號將要實行的《企業內部基本控制規范》或美國的薩班斯法案等,那么,就算企業目前不存在上述所示的這些問題,仍然需在企業網絡中應用像DLP解決方案一樣的數據保護方案來遵從這些法規的要求。
【編輯推薦】
