信息防泄漏=全加密?
信息防泄漏是指通過一定的技術手段,防止企業的指定(重要或者敏感的)數據或信息資產以違反安全策略規定的形式流出企業的一種策略。目前來說,國內信息防泄漏以文檔加密技術為核心,結合安全審計機制、嚴格管控機制、內部文檔操作控制機制,有效防止任何狀態(使用、傳輸、存儲)的內部資料和信息資產泄漏。然而,不少企業對于信息防泄漏只停留在文檔加密的階段。
從字面意思來看,信息防泄漏是防止信息的外泄。信息的生命周期包括創建、使用、存儲、傳遞、消亡,信息的傳遞周期涉及到信息創建、終端、端口、移動存儲介質、網絡等方面,兩個周期共涉及到企業的各個方面的,例如業務流、IT、管理、人員等。單純的文檔加密技術顯然不能保證信息不外泄,這也是為何企業應用熱潮從"透明加密"轉向"信息泄露防護(DLP)"的所在。游俠安全網站長張百川提醒一些只依賴加密保證數據安全的企業,"加密算法并非牢不可破,一旦算法被攻破,企業就暴露在危險環境中而無招架之力。實施了加密,還是需要多種技術聯合起來防泄漏。"鄭州三全食品股份有限公司CIO周清湘對于加密技術也持謹慎觀點:" '加密'手段既是保險柜,也是死胡同。加密后,即使數據泄露出去,因為看不到原文企業也不會為此緊張;反之,若加密技術有問題,加密算法被破解那么企業就非常難過了。不可盲目輕信加密技術,所以也就要當心'如何加密?''范圍多大?'等問題。"
技術當然不可能是完美的,但是不能因為可能的風險而不用。文檔加密不能替代信息防泄漏,它卻也是信息防泄漏的核心,企業應用的關鍵。在使用上,一些企業對全局都部署了文檔加密,期望用"密不透風"的戰術來保證數據安全。而一些企業只在研發設計等核心部門部署了文檔加密產品。然而,只在核心部門部署文檔加密產品,那么在與其它部門交互的時候,邊界安全將得不到保證。信息安全專家李洋博士從搭建安全體系的角度出發,鼓勵安企業核心部門和其他非核心部門在條件允許的情況下盡可能的部署安全設備,同時注重管理,來保證數據的安全。"安全是一個體系。"他說。青島中集冷藏箱制造有限公司信息主任耿峰則認為全部加密沒有必要,因為一個公司不是所有文檔都需要加密。
實施過加密的企業應該深知,加密雖然看起來"透明",實則會多少影響一些系統運行效率。如果對不需要加密的文檔都盲目加密,系統運行效率將受到更大的挑戰。安全與效率不可兼得,管理者需要在安全和效率之間取得一定的平衡。"加密會在一定程度上影響組織原有的業務流程,不是所有的組織都適合部署加密產品,甚至加密只適合于某些高度涉密的特定部門。"溢信科技產品總監黃凱作為業界專家,提出了解決方案。"加密系統一般都會輔以對應的外發審批機制,這就要求有對應的規章流程,以及有對應的審批人員和權限規定。如果組織的規模很大,所有人都要審批,又沒有專門的部門,那么外發審批很明顯會成為一場災難。對于一些要求不那么嚴格的組織來說,對常見的網絡、外設、Email等進行完整的審計和一定的限制,就足以達到效果了。"
三一重工股份有限公司研究總院信息化經理譚俊峰兼顧安全與效率平衡的做法是既"顧全大局",又不"過猶不及"。他的理念是從全局出發的,"設計部門只是企業的一個環節或者一個點,只是對一個部門做了加固很難防范安全邊界,很多時候設計部門的東西可以通過別的部門流出來。" 看來,平衡二者的重點是要理解"核心部門"。制造業信息化專家黃培博士指出安全體系中的"核心部門"與企業組織架構中的"核心部門"并不相同,安全體系的架構不應按照企業組織架構來考慮,而應該以核心信息流轉的角度來考慮。"一般企業組織架構中,核心部門在設計、財務、銷售等部門,而在安全體系中,所有能接觸到核心信息的部門都應該是核心部門。"
每個公司的業務流程不同,核心信息不同,那么流轉的部門也就不同。加密范圍,也就更為不同。并且,隨著企業業務變化,和信息化的建設,企業本身的核心數據流動也會發生變化。正因為如此,整體加密與局部加密在很多情況下,不能說孰優孰劣。回到"信息防泄漏"中的"信息"一詞,"信息"是指有意義的數據,那么判定信息是否是核心信息,才應該是加密的要點。即使在"核心部門",也不是工作中100%都是敏感信息。武漢凡谷電子技術股份有限公司信息部經理朱烔哲表示,通常的情況,就算是核心部門,工作中80%還是非敏感的信息,日常業務中諸如出差申請單、辦公用品申請單都需要審核解密,對工作效率影響太大。
雖然每個企業的加密范圍無從統一,內容判定也不相同,但是同樣的是,加密以后的安全審計很重要。"企業要經常性的進行檢查以評估安全的效能,不要以為加密后就萬無一失。"杭州汽輪機股份有限公司黃梁所長強調,"就算是信息防泄漏體系,也不能保證萬無一失。"安全--永遠都是相對的。青島中集冷藏箱制造有限公司信息主任耿峰點明問題的源頭:"因為這些系統是人在使用。"#p#
對此,武漢凡谷電子技術股份有限公司信息部經理朱烔哲深有體會。加密技術之于他和凡谷電子來說,最有效的是"防止了信息被人為的無意識、不經意地泄露"。加密技術就像是一堵墻,因為信息要流通,就要開一個門,有門就要有門崗來守安全。任何企業都有供應商、客戶、關系單位、管理政府部門,訂單、采購信息、報告、請示等各種各樣的電子文件,其中涉及到各種流程、人。而這些流程和人就是企業加密系統的門和門崗。流程需要人來審核,人和門崗都需要管理。只有完善的管理制度,才會真正的將技術的作用發揮出來。
單一的加密不能實現信息防泄漏,信息防泄漏要用整體的理念來對待。要建構完善的信息防泄漏體系,我們要用全局的視角來審視企業的安全狀況,統籌兼顧,整合運用審計、權限管控、加密等防泄漏功能,根據各個部門具體的涉密程度以及需求,進行防護力度輕重有別的部署,以達到安全、效率、成本的最優平衡。
首先,企業要認識到單一的文件加密不能保證數據安全。加密只是解決了機密信息本身的保密性問題,而不能解決信息使用、流通中的泄漏風險。企業如果想全盤控制自己的機密信息,必然要對信息的存儲、使用、傳播都做出保護。加密就像一個堅固的保險柜,把機密信息鎖起來,保險柜雖然安全,但沒有人想自己的保險柜隨便出現在大街上。
其次,企業要認識到并不是所有部門都適合部署加密產品。加密雖然能夠大大提升企業的信息資產的安全性,但加密也是會對原有的工作流程會產生較大影響。雖然安全性很高,由于可能涉及到申請、審批、外發、離線等工作流程,必然會以信息流動受阻為代價。這種受影響的程度,視企業想要做到的權限控制和保密的細致程度而定,因此,企業應該衡量安全與效率之間的平衡。
第三,企業應該在多大的范圍內部署加密,這需要視實際情況而定。企業應該意識到,企業信息系統中所包含的信息的機密程度是不同的,大部分的信息可能是普通信息,涉及到機密的核心信息只是一小部分,此外,這些信息可能集中在某個核心的業務部門,但更多的可能是分散在不同部門中,即每個部門都有其需要高度保密的信息。這就要求企業在部署加密產品時,應該以機密信息為中心,視存儲和處理的信息的重要程度來決定某個終端的保密級別。企業所部署的信息防泄漏方案,也應該考慮到策略制定、下發、實施和更改的靈活性與便捷性,注重可變性、可擴展性等特性。
最后,重視人對在整個信息防泄漏方案中的影響。任何技術都是被人來操作的,任何技術也都不是完美的,企業一定要完善管理制度,來配合技術的使用,用管理來駕馭技術,用技術輔助管理。
完善的信息防泄漏體系,需要多種功能的產品形成方案。那么是選擇單一產品組合成的方案,還是選擇一個廠商提供的整體方案呢?請關注"內網安全"十年之"辯"系列之五:怎樣打出信息防泄漏的"組合拳"?
【編輯推薦】
