文章主要講述的是為什么要防止人為因素造成企業(yè)數(shù)據(jù)泄漏的原因，此文主要是結(jié)合了相關(guān)案例來(lái)對(duì)其進(jìn)行說(shuō)明，在實(shí)際應(yīng)用中，雖然惡意用戶是企業(yè)IT團(tuán)隊(duì)的主要關(guān)注對(duì)象，但員工有時(shí)粗心大意也讓IT團(tuán)隊(duì)很頭疼。

最近很多數(shù)據(jù)泄漏都源自于簡(jiǎn)單的人為錯(cuò)誤，這意味著數(shù)據(jù)訪問(wèn)權(quán)限控制在保護(hù)企業(yè)重要信息方面發(fā)揮著關(guān)鍵作用。

例如，今年早些時(shí)候，谷歌公司就指責(zé)因?yàn)槿藶殄e(cuò)誤而導(dǎo)致該公司遭遇嚴(yán)重?cái)?shù)據(jù)泄漏事故。投資于谷歌搜索服務(wù)的一位谷歌客戶發(fā)現(xiàn)他們需要的信息，人們?cè)邳c(diǎn)擊前使用的搜索條件和其他相關(guān)數(shù)據(jù)都被發(fā)往第三方。這并不存在什么惡意攻擊行為，谷歌表示只是因?yàn)槟硢T工簡(jiǎn)單地將來(lái)自一個(gè)模版的信息復(fù)制和粘貼到錯(cuò)誤的模版上所造成的。

但這個(gè)解釋對(duì)于已經(jīng)造成的損失無(wú)濟(jì)于事。如果信息被發(fā)送給競(jìng)爭(zhēng)對(duì)手，谷歌的客戶將會(huì)被置身于嚴(yán)重的戰(zhàn)略劣勢(shì)，可能會(huì)斷絕與該搜索巨頭的業(yè)務(wù)往來(lái)，畢竟數(shù)據(jù)泄漏可能會(huì)嚴(yán)重后果。企業(yè)機(jī)密文件可能在幾次簡(jiǎn)單點(diǎn)擊后就會(huì)傳遍整個(gè)世界，因此對(duì)于企業(yè)來(lái)說(shuō)，當(dāng)務(wù)之急應(yīng)該是確保他們的敏感信息免受惡意用戶和自己?jiǎn)T工的疏忽的危害。

Sterling-Hoffman公司的數(shù)據(jù)安全策略

Sterling-Hoffman公司的數(shù)據(jù)安全策略的中心思想是，任何允許員工在視覺(jué)上再現(xiàn)文件的方法都應(yīng)該被禁止。不管是從屏幕上復(fù)制信息到另一個(gè)文件夾或者使用拍照手機(jī)捕捉信息照片，一旦惡意入侵者獲取屏幕上的數(shù)據(jù)，將一發(fā)不可收拾。盡管如此，企業(yè)不能強(qiáng)迫執(zhí)行數(shù)據(jù)保護(hù)政策，因?yàn)檫@可能會(huì)導(dǎo)致對(duì)生產(chǎn)力的負(fù)面影響，使他們失去競(jìng)爭(zhēng)優(yōu)勢(shì)。這也是為什么我們部署全面數(shù)據(jù)安全政策保護(hù)信息源以及位于主要通訊渠道的信息以防止泄漏的原因。

企業(yè)訪問(wèn)權(quán)限管理

數(shù)據(jù)安全戰(zhàn)略的第一個(gè)要素就是強(qiáng)行使用企業(yè)訪問(wèn)權(quán)限管理（ERM）解決方案。ERM允許Sterling-Hoffman公司來(lái)執(zhí)行自動(dòng)化過(guò)程，當(dāng)任何時(shí)候創(chuàng)建文件時(shí)，都會(huì)自動(dòng)應(yīng)用訪問(wèn)權(quán)限和使用用法控制。雖然對(duì)每個(gè)文件進(jìn)行加密可能會(huì)有點(diǎn)繁重，客戶的隱私是企業(yè)業(yè)務(wù)的重點(diǎn)。對(duì)企業(yè)來(lái)說(shuō)，從安全考慮來(lái)看，必須確保敏感文件的安全。

與很多企業(yè)一樣，Sterling-Hoffman公司在整個(gè)世界范圍內(nèi)經(jīng)營(yíng)業(yè)務(wù)，我們必須確保自動(dòng)化加密戰(zhàn)略能在世界各地辦事處都發(fā)揮作用。企業(yè)訪問(wèn)權(quán)限管理提供了對(duì)從企業(yè)IT基礎(chǔ)設(shè)施發(fā)往任何第三方的數(shù)據(jù)的可執(zhí)行訪問(wèn)與使用控制，境外辦事處和業(yè)務(wù)伙伴是主要數(shù)據(jù)泄漏漏洞的來(lái)源，因?yàn)楹芏鄧?guó)家沒(méi)有像美國(guó)一樣關(guān)于業(yè)務(wù)和數(shù)據(jù)安全法律。

由于不可能監(jiān)控海外合作伙伴如何處理我們提供給他們的信息，企業(yè)訪問(wèn)權(quán)限管理可以限制用戶如何使用數(shù)據(jù)（例如，禁止敏感文件被打印或者復(fù)制/粘貼），這為我們提供了除了純粹訪問(wèn)控制外額外的安全保障。

企業(yè)訪問(wèn)權(quán)限管理案例

在我們部署企業(yè)訪問(wèn)權(quán)限管理之前，一名應(yīng)聘者拿著我們內(nèi)部培訓(xùn)文件（這是公司高度機(jī)密文件）表示，他從我們的海外業(yè)務(wù)往來(lái)公司收到這份文件。

這對(duì)于非常重視數(shù)據(jù)安全的Sterling-Hoffman公司而言，無(wú)疑是非常大的打擊，這讓我們意識(shí)到不能夠與海外或者合作伙伴共享任何信息，除非我們能夠從信息水平保護(hù)數(shù)據(jù)安全。不久后，我們才開(kāi)始使用企業(yè)訪問(wèn)權(quán)限管理。

企業(yè)訪問(wèn)權(quán)限管理還可以幫助我們解決來(lái)自第三方的挑戰(zhàn)，主要通過(guò)為敏感信息設(shè)置過(guò)期訪問(wèn)時(shí)間。這可以讓我們與合作伙伴、外包商以及員工在有限時(shí)間內(nèi)共享信息，并且只有在特定時(shí)間內(nèi)獲取IT人員的允許，才能夠查看信息。之前的合作伙伴和員工將無(wú)法訪問(wèn)或者共享數(shù)據(jù)，這是個(gè)很好的保障措施。

規(guī)范電子通信的使用

我們部署的數(shù)據(jù)保護(hù)策略的第二個(gè)要素就是對(duì)電子通信通道進(jìn)行規(guī)范，包括電子郵件和即時(shí)通信（IM）。對(duì)于后者這個(gè)電子通信方式，我們使用了賽門鐵克的IM即時(shí)通信管理器來(lái)抵御與即時(shí)通信相關(guān)的數(shù)據(jù)泄漏。該解決方案要求我們的員工申請(qǐng)即時(shí)通信特權(quán)，并且當(dāng)他們想要添加一個(gè)聯(lián)系人到通訊錄時(shí)需要通過(guò)申請(qǐng)程序。這能夠幫助我們僅對(duì)需要使用即時(shí)通信用于工作需要的人提供實(shí)時(shí)通信工具。

開(kāi)源即時(shí)通信應(yīng)用程序可能成為主要的數(shù)據(jù)漏洞，因?yàn)樾掳姹灸軌蚴褂脩魝鬏斘募o其他人而不需要通過(guò)企業(yè)虛擬網(wǎng)或者防火墻。即時(shí)通信管理器為我們提供了安全保障，使我們能夠解決這個(gè)新型的企業(yè)挑戰(zhàn)。

電子郵件通常都是非常難以管理的平臺(tái)，因?yàn)楣痉浅Ｒ蕾囉陔娮余]件。任何咄咄逼人的政策都可能對(duì)生產(chǎn)效率造成嚴(yán)重影響，所以我們根據(jù)兩個(gè)基本常識(shí)來(lái)確定我們的電子郵件政策，以下就是兩個(gè)基本要素：

第一、我們通過(guò)某種文件格式（例如會(huì)計(jì)使用Excel）來(lái)鑒定某種工作組，并且防止用戶以他們工作組以外的格式發(fā)送信息。我們還對(duì)這個(gè)規(guī)則進(jìn)行了更詳細(xì)的調(diào)整，將電子郵件信息內(nèi)保護(hù)的某種類型的信息也劃入鑒定工作組的條件。例如，市場(chǎng)營(yíng)銷人員的電子郵件如何保護(hù)社會(huì)安全號(hào)碼或者其他個(gè)人識(shí)別信息的話，電子郵件將會(huì)被禁用。

第二、我們還禁止了電子郵件字符串包含多個(gè)RE：前綴，這種類型的信息通常都與惡意行為有關(guān)，所以我們寧愿選擇禁止。

在經(jīng)濟(jì)不景氣和大幅度裁員之后，薄弱的數(shù)據(jù)安全給企業(yè)生存能力和產(chǎn)業(yè)競(jìng)爭(zhēng)力帶來(lái)永久性的傷害。市場(chǎng)領(lǐng)導(dǎo)人與非領(lǐng)導(dǎo)人的區(qū)別微乎其微，因此企業(yè)必須能夠控制誰(shuí)擁有訪問(wèn)敏感信息的權(quán)限。從信息水平保護(hù)信息的全面安全方法能夠保證企業(yè)的生產(chǎn)效率同時(shí)確保企業(yè)敏感信息安全性。

【編輯推薦】

1. 正確抵御安全漏洞 細(xì)數(shù)云安全七宗罪　
2. 主動(dòng)式網(wǎng)絡(luò)安全策略抵御網(wǎng)絡(luò)威脅
3. 抵御黑客入侵的七大妙招
4. Kerberos能抵御哈希值傳遞攻擊嗎？
5. 利用ASP.NET的內(nèi)置功能抵御Web攻擊