淺談企業如何實現防數據泄露
病毒、木馬、黑客攻擊,仿佛互聯網上存在著各種各樣的安全威脅。如今,網絡安全防護不僅僅是針對于這樣或那樣代碼組成的程序而進行,由于競爭對手的網絡間諜活動造成公司數據被竊取又成為了新的網絡威脅。自然,防數據泄露就成為了我們關注的話題。
那么,為了防止你的數據從公司泄露出去,應該采取哪些措施呢?
防數據泄露第一招:貫徹執行最少特權的原則
你可以根據兩種截然相反的理論觀點設置你的網絡訪問策略。第一種,“全面開放”策略,假設所有的數據對每一個人都是可用的,除非明確地限制其訪問。第二種策略即“最少特權”策略,即所有的數據禁止所有用戶的訪問,除非一個用戶被明確地給與這種訪問權限。后者就像是一個情報機構:除非一個用戶擁有所需要的適當證明來訪問一個特定的文件,否則就不能訪問它。
防數據泄露第二招:將策略寫下來形成書面規章制度
你可能會認為你的員工不應復制公司的重要信息,并將其帶回家去;在沒有經過允許之前,員工也不應該將這些信息通過電子郵件發送到網絡之外去。這是很顯明的事情。不過,如果你不將這些策略和規則寫下來或打印出來,并讓員工在其上簽字,那么如果他們違反了這些要求,你將很難懲罰他們。不形成規章制度或者未成文的規則是很難實施的。
你的規則應該具體明確,并舉出例子哪些行為應該禁止。員工們可能不理解,除非你清楚地說明之,通過電子郵件將公司的文檔以附件的形式發送到公司網絡之外(或者發送到其家庭賬戶上)違反了公司的規則,這與下面的行為是一樣的:將這個文檔復制到磁盤上或一個USB設備上,然后將其帶出公司大門,它們同樣違反了公司規則。
不過,對規則的措詞應該體現出:加以禁止的行為不限于你所舉的例子,一切威脅公司安全的行為都應禁止。
防數據泄露第三招:設計限制性的許可和審計訪問
保護數據非常重要的一步就是針對數據文件和文件夾設計恰當的許可。毋庸質疑,Windows網絡的關鍵數據應該存儲到一個NTFS分區上,因此你才能運用某種共享許可實施NTFS許可。NTFS許可比共享許可更加精細,并能運用到訪問本地計算機和網絡數據的用戶身上。
要盡可能地給用戶最低級的、能完成工作的許可。例如,將“只讀”許可給用戶,防止他們修改文件。
你還可以對包含敏感數據的文件和文件夾進行審核,因此就可以看出誰在什么時間訪問了數據。
防數據泄露第四招:使用數據加密
將數據存儲在NTFS格式的磁盤上的另外一個好處是你可以實施加密文件系統(Encrypting File System (EFS))的加密。EFS由Windows 2000及以后的操作系統所支持,可以防止其他用戶打開文件,即使他們擁有NTFS許可。至于Windows XP/2003及以后的操作系統,可以通過在加密對話框中給其分配特定的許可,實施加密文件夾的共享。
竊取數據的一種方法是竊取整臺計算機,特別是筆記本電腦等。對于Vista 企業版和終極版,為防止萬一計算機被竊取的造成的數據丟失,可以利用BitLocker的完全驅動器加密來保護數據。
防數據泄露第五招:實施權限管理
有一些數據竊取確實可以通過上述的方法來避免。然而,對于那些你需要給與訪問權限的人造成的數據竊取怎么辦?可以利用Windows Rights Management Services(權限管理服務,簡稱 RMS),以及許多Office 2003和 Office 2007版本中的信息權限管理(Information Rights Management,IRM)來防止用戶利用轉發、復制等手段濫用你發給他們的電子郵件消息和Office文檔(主要是Word、 Excel、 PowerPoint)。
防數據泄露第六招:限制可移動媒體的使用
將數字信息偷盜出公司的一個最普遍的方法是將其復制到某種可移動媒體或設備上。USB設備價格便宜、易于隱藏,高容量的SD,CF卡和其它的 fash存儲卡能夠存儲大量的數據;用戶可以將數據復制到MP3播放器上,通過CD或DVD刻錄機也可以將數據轉移出去。不過,可以通過移除USB端口等方法永久性限制USB設備的安裝和使用,可以通過注冊表或者利用其它軟件來禁止在某臺計算機或整個網絡上使用可移動媒體。
在Vista中,可以利用組策略限制對可移動媒體的使用。具體可參考相關文章。
防數據泄露第七招:控制筆記本電腦的使用
用戶可以將文件帶走的另外一種方法,是用一臺筆記本電腦或掌上電腦連到內部網絡上,將文件復制到其硬盤上,然后將其計算機帶走。你應該控制有哪些電腦可以連接到你的局域網,不僅僅是對遠程訪問的控制,而是應該控制誰可以將網絡電纜插入到你的集線器或交換機。
可以使用IPSec來防止不是域成員的計算機連接到你的文件服務器以及局域網上的其它計算機。具體相關內容請參考有關文章。
防數據泄露第八招:為傳出的網絡信息制定規則
防火墻所做的不僅僅是阻止不合需要的通信訪問你的網絡,還可以防止特定的通信離開你的網絡。你可以設置防火墻來阻止某些類型的傳出協議,如p2p軟件所使用的協議。
你可以設置郵件服務器來阻止發出郵件附件,還可以利用內容過濾的軟件或服務來阻止發出去的內容,例如,可以使用Reconnex iGuard MX Logic,Microsoft ForeFront,GFI Mail Security等。
防數據泄露第九招:控制無線通信
即使你通過防火墻或者過濾系統阻止發出某些類型的數據,一個意志堅定的家伙還是可能將公司的電腦連接到某個范圍內的不同無線網絡,即一個沒有實施阻止機制的無線網絡。或者他可能將計算機連接到一部擁有互聯網訪問能力的移動電話上,然后將此電話作為一個調制解調器,實現無線上網的企圖。
因此,跟蹤可能離開公司所在地的無線網絡其及其設備,如果可能的的話,阻止其信號。
防數據泄露第十招:當心其它的具有“創造性”的數據竊取方法
記住,你的數據流出網絡可能會有許多方法。一個用戶可以打印一份文檔,將其以紙張的形式帶出公司;或者一個竊賊可能從垃圾桶里竊取沒有進行銷毀處理的文檔資料。即使你已經實施了版權管理等技術來防止復制或打印文檔,某個人還是可以通過膠片或數字電影的形式帶走資料,或者是坐下來手工抄寫文檔信息。因此,需要萬分小心,采取縝密的措施來保護你的數據安全。
【編輯推薦】
