數據泄露防范人為因素
實際上數據泄露防范并不單單指的架設企業安全產品,從以往的經驗而言,通過技術層面而導致的數據泄露只是一部份途徑而已。而更多的是經過認為方式而導致的數據泄露。例如,今年早些時候,谷歌公司就指責因為人為錯誤而導致該公司遭遇嚴重數據泄露事故。投資于谷歌搜索服務的一位谷歌客戶發現他們需要的信息,人們在點擊前使用的搜索條件和其他相關數據都被發往第三方。這并不存在什么惡意攻擊行為,谷歌表示只是因為某員工簡單地將來自一個模版的信息復制和粘貼到錯誤的模版上所造成的。
但這個解釋對于已經造成的損失無濟于事。如果信息被發送給競爭對手,谷歌的客戶將會被置身于嚴重的戰略劣勢,可能會斷絕與該搜索巨頭的業務往來,畢竟數據泄漏可能會嚴重后果。企業機密文件可能在幾次簡單點擊后就會傳遍整個世界,因此對于企業來說,當務之急應該是確保他們的敏感信息免受惡意用戶和自己員工的疏忽的危害。
數據泄露防范之Sterling-Hoffman公司的數據安全策略
Sterling-Hoffman公司的數據安全策略的中心思想是,任何允許員工在視覺上再現文件的方法都應該被禁止。不管是從屏幕上復制信息到另一個文件夾或者使用拍照手機捕捉信息照片,一旦惡意入侵者獲取屏幕上的數據,將一發不可收拾。盡管如此,企業不能強迫執行數據保護政策,因為這可能會導致對生產力的負面影響,使他們失去競爭優勢。這也是為什么我們部署全面數據安全政策保護信息源以及位于主要通訊渠道的信息以防止泄漏的原因。
數據泄露防范之企業訪問權限管理
數據安全戰略的第一個要素就是強行使用企業訪問權限管理(ERM)解決方案。ERM允許Sterling-Hoffman公司來執行自動化過程,當任何時候創建文件時,都會自動應用訪問權限和使用用法控制。雖然對每個文件進行加密可能會有點繁重,客戶的隱私是企業業務的重點。對企業來說,從安全考慮來看,必須確保敏感文件的安全。
與很多企業一樣,Sterling-Hoffman公司在整個世界范圍內經營業務,我們必須確保自動化加密戰略能在世界各地辦事處都發揮作用。企業訪問權限管理提供了對從企業IT基礎設施發往任何第三方的數據的可執行訪問與使用控制,境外辦事處和業務伙伴是主要數據泄漏漏洞的來源,因為很多國家沒有像美國一樣關于業務和數據安全法律。
由于不可能監控海外合作伙伴如何處理我們提供給他們的信息,企業訪問權限管理可以限制用戶如何使用數據(例如,禁止敏感文件被打印或者復制/粘貼),這為我們提供了除了純粹訪問控制外額外的安全保障。
數據泄露防范之企業訪問權限管理案例
在我們部署企業訪問權限管理之前,一名應聘者拿著我們內部培訓文件(這是公司高度機密文件)表示,他從我們的海外業務往來公司收到這份文件。
這對于非常重視數據安全的Sterling-Hoffman公司而言,無疑是非常大的打擊,這讓我們意識到不能夠與海外或者合作伙伴共享任何信息,除非我們能夠從信息水平保護數據安全。不久后,我們才開始使用企業訪問權限管理。
企業訪問權限管理還可以幫助我們解決來自第三方的挑戰,主要通過為敏感信息設置過期訪問時間。這可以讓我們與合作伙伴、外包商以及員工在有限時間內共享信息,并且只有在特定時間內獲取IT人員的允許,才能夠查看信息。之前的合作伙伴和員工將無法訪問或者共享數據,這是個很好的保障措施。
數據泄露防范之規范電子通信的使用
我們部署的數據保護策略的第二個要素就是對電子通信通道進行規范,包括電子郵件和即時通信(IM)。對于后者這個電子通信方式,我們使用了賽門鐵克的IM即時通信管理器來抵御與即時通信相關的數據泄漏。該解決方案要求我們的員工申請即時通信特權,并且當他們想要添加一個聯系人到通訊錄時需要通過申請程序。這能夠幫助我們僅對需要使用即時通信用于工作需要的人提供實時通信工具。
開源即時通信應用程序可能成為主要的數據漏洞,因為新版本能夠使用戶傳輸文件給其他人而不需要通過企業虛擬網或者防火墻。即時通信管理器為我們提供了安全保障,使我們能夠解決這個新型的企業挑戰。
電子郵件通常都是非常難以管理的平臺,因為公司非常依賴于電子郵件。任何咄咄逼人的政策都可能對生產效率造成嚴重影響,所以我們根據兩個基本常識來確定我們的電子郵件政策,以下就是兩個基本要素:
第一、我們通過某種文件格式(例如會計使用Excel)來鑒定某種工作組,并且防止用戶以他們工作組以外的格式發送信息。我們還對這個規則進行了更詳細的調整,將電子郵件信息內保護的某種類型的信息也劃入鑒定工作組的條件。例如,市場營銷人員的電子郵件如何保護社會安全號碼或者其他個人識別信息的話,電子郵件將會被禁用。
第二、我們還禁止了電子郵件字符串包含多個RE:前綴,這種類型的信息通常都與惡意行為有關,所以我們寧愿選擇禁止。
在經濟不景氣和大幅度裁員之后,薄弱的數據安全給企業生存能力和產業競爭力帶來永久性的傷害。市場領導人與非領導人的區別微乎其微,因此企業必須能夠控制誰擁有訪問敏感信息的權限。從信息水平保護信息的全面安全方法能夠保證企業的生產效率同時確保企業敏感信息安全性。
【編輯推薦】
