企業信息防泄漏“處方單”
近半年,我參與到公司內部的信息防泄漏項目中,雖磕磕絆絆,但一路走來也學習到不少東西,跟在座各位分享一下。
先介紹下我的情況,我就職于廣州某物流公司IT部,是一名普通的網絡工程師。就在今年初,公司發生了一起泄密事件 :
不知道誰拿到了全體職工的工資表,竟然以匿名郵件的形式發給公司里每個人,公司內部震動很大,一些不滿薪金制度的員工還遞上了辭呈。老總勃然大怒,把我們的頭兒叫過去批了一頓,說我們部門沒有做好信息防泄工作。
說實話,安全這東西,首先得老板重視,如果老板不重視,我們提也是白搭。之前我們也提過要搞內部信息防泄漏建設,但預算一直沒批下來,現在出了事兒,責任就是我們背。老板發話下來,說一定要好好管管郵件發送,決不讓信息泄漏出去,財務部、物流中心的數據要進行重點保護。
病急亂用藥
“軍令如山倒”,經過半個月匆忙的試用,我們購買了一個郵件管控的軟件,不允許公司內部含有例如財務、價格等關鍵字的文件發送,把發送附件的大小限制在10M以內。同時,為了不讓泄密事件發生第二次,我們還增購了目前很熱門的透明加密軟件,把財務部、物流中心共40臺PC上常用的Excel、Word文檔都加了密,心想這下應該不用擔心加密文檔被傳輸出去了吧。
誰知道,更多的問題涌現出來。
問題1:維護特別麻煩。
話說剛上這兩個軟件,技術操作上大家都不是特別熟悉。銷售部的同事接二連三地抱怨含有關鍵字或超過10M的郵件發不出去給客戶,影響了工作業務;財務部、物流中心的幾個主任也要開放解密權限……我每天都要在不同的操控制臺上來回切換設置權限,應接不暇。
并且,每天下午三點成為了我的恐慌時間,頭兒要我們查看郵件以及加密文檔的操作日志,即意味著我們要登陸兩個操作臺查看數千次日志記錄,忙得我們不可開交。
問題2:軟件偶有沖突。
同時安裝兩個軟件,說實話,我心里比較沒底。因為這些管理軟件一般都會注入自己的模塊到計算機上運行的其它程序中,因此,操作可能產生沖突。果不其然,物流中心不時要我們幫他們解決郵件崩潰、藍屏等問題。
部門總結會上,頭兒說老板又提出新的需求,希望能夠掌握內部PC的詳細操作。我把遇到的問題提了出來,同時堅決反對再安裝第三個日志審計產品,因為一旦裝上了,不僅維護困難,還可能影響到正常的業務操作,這可是安全建設的大忌。
重診病情
之后,我們對同類產品做了一個重新對比,了解到溢信科技這個企業,細查之下才發現溢信還是最早進入到內網領域的企業。于是頭兒聯系了溢信科技,他們派了技術專家過來進行了考察。專家給了我們一些意見,在此我做了一個總結:
1、信息防泄漏切忌“頭痛醫頭,腳痛醫腳”。
溢信的專家說,我們目前的做法是典型的“頭痛醫頭,腳痛醫腳”,哪里出現問題就用哪種產品來解決,沒有一個統一的規劃。這一點我比較同意,確實在防泄漏這個項目里,因為老板的任務比較緊急,沒有很好的規劃,后期就出現了如新需求無法滿足、技術操作困難、人手不夠用等情況。
專家建議,在做信息防泄漏建設之前,我們要有一個明確的安全目標,哪些部門需要達到怎樣的安全程度,再根據不同的安全程度,部署力度有所偏重,對重點部門進行重點防護;同時要站在全局的角度,整合運用例如審計、管控、加密等多種功能,在內部構建起完善的防泄密體系。這樣的話,即使老板又出現新的需求,只要加強需求的部分即可。
2、***選擇能夠提供全面解決方案的單一產品。
目前,應用市場細分得很厲害,安全市場也是如此。如果盲目擇挑選多種產品,可能會產生很多預料不到的問題,比如不同控制臺的操作困難、軟件沖突等問題。選擇能夠提供整體解決方案的單一產品除了可避免上述情況外,還能為企業節省投入成本,實現投入和安全回報的***化。
3、購買之前試用測試很重要。
在企業做信息防泄漏建設,大家都明白,領導的認可很重要,但是不能為了博得領導的認可就急于求成,倉促測試之下就大規模部署產品。從目前的情況來看,半個月的試用顯然不夠發現問題。特別是部署透明加密這種對業務操作要求嚴格的產品,企業需要搭建足夠復雜的測試環境,模擬企業應用實際操作,通過極限測試和壓力測試來判斷。只有足夠的測試確保安全產品的穩定性和安全性,才能在全公司推廣。
終得良方
目前,公司已經開始采用IP-guard內網安全管理系統。由于供應商溢信科技的經驗足、配合度高,過程挺順利的,現在實施的效果也還不錯:
我們首先評估了內網所存在的風險因素,根據各個部門甚至不同崗位所產生的信息價值的高低,及外泄后對企業的影響力,制定風險值。如財務部、物流中心產生的機密文檔,風險系數高;運營中心、研發中心等風險系數次之;管理部、行政部等其他一些部門較低。
在充分評估風險系數的情況下,利用IP-guard信息防泄漏三重保護解決方案,根據涉密輕重不同,按需部署:為了及時發現安全漏洞,抵御安全風險以及為安全事件的追查保留證據,我們對公司內部所有操作行為進行審計;并且,為了規范信息的帶出行為,對一些操作行為進行了特殊管控,例如只允許使用公司指定類型的郵件,禁止Web郵件,且所有郵件在發送前必須抄送一份給主管,由主管親自把關;***,在安全性要求***的財務部、物流中心部署了力度很強的透明加密。
總體來看,目前公司內部的信息防泄漏體系算是比較完善,在不影響業務的情況下,郵件等泄密渠道管理的比較到位,機密資料也得到了較強的保護,老板對項目的審計報表也挺滿意的,還把報表作為績效評估的參考之一。另外,通過IP-guard單一的控制臺進行操作,也簡化了我們日常的操作與管理,降低了系統的資源占用,避免了多種產品堆砌產生的軟件沖突等問題。
半年下來,本人可謂獲益良多,***的感觸是信息防泄漏項目是一個長期的過程,急不得,所以我們必須花時間挑選一個有經驗、有實力的廠商合作,千萬不能做安全領域的“白老鼠”,一個有經驗豐富供應商可以傳遞很多經驗給我們,給我們提供合適的方案,讓我們少走彎路,少摔跤,這對信息防泄漏這種敏感度較高項目來說非常關鍵;其次好的產品也非常重要,我覺得好的產品就是能滿足老板、技術人員等多種角色需求的產品,有實力的廠商提供的產品、服務也比較讓人放心;另外,因為信息防泄漏的長期性以及需要實時更新調整,在未來的長期合作中,有實力的廠商也能夠給我們提供比較多的技術以及安全建議。
