信息防泄漏:如何慧眼識良方
現如今的信息防泄漏解決方案不勝枚舉,宣傳帶有防泄漏功能的產品比比皆是,然而企業在面對眾多方案時卻常常眼花繚亂、無所適從。什么樣的系統才是好系統?什么樣的方案能幫助企業切實提高信息安全防護水平?應該以怎樣的標準來判斷不同方案的優劣?對此,知名業界專家、企業代表、廠商專家與您一起探討"信息防泄漏方案,如何慧眼識良方?"
我國古代行醫講究的是保障人體的安康,信息防泄漏方案是為了企業信息的安全。對防泄漏方案進行選擇,就好比面對病人時醫生要找出合適的"處方"才能對癥下藥。以此為基,在對防泄漏標準進行選擇時,亦逃不出"望、聞、問、切"的手法。
望:
在選擇防信息泄漏的解決方案時,首先要對產品進行考察,去偽存真。目前的防泄漏產品雖然眾多,但龍蛇混雜,多有魚目混珠之嫌。溢信科技產品總監黃凱亦認為很多的信息防泄漏產品,都是打著信息防泄漏的旗號,其實質卻是簡單的審計產品。用戶在選擇產品的時候,一定要注意分辨其產品宣傳中所透漏出來的理念是否符合自身的需求,必須了解市場狀況,分辨各類產品的優勢,切不可病急亂投醫。
聞:
市場是最能反映產品是否有用的試金石。在進行防泄漏建設時,要注意觀察產品的品牌在市場上是否足夠正規,看提供服務的廠商是否有足夠的成功案例(尤其是與自己應用環境相似的,處在同行業的企業的案例)。另外,可能還要注意廠商的售后服務能力(有經驗和負責任的廠商,會***時間解決客戶的需要,或承擔相應的責任)。武漢凡谷電子信息部經理朱烔哲強調在選擇加密方案時候,需對加密軟件、供應商和經銷商的資質進行嚴格考察,選對產品選對人,才能保證項目的順利實施。
問:
在選擇防泄漏產品時,要針對自身的特點提出自己的側重需求,比如三一重工信息化經理譚俊峰就提出選擇防泄漏方案時需向服務方提出:是否與現有應用系統、網絡協議兼容;是否能在主流系統平臺應用,各種性能指標測試是否工作的SLA標準;是否提供標準的接口;產品是否有合格的認證、服務、市場及典型的成功案例等問題。企業的需求是不斷變化的,必須了解廠商的研發實力、服務能力,通過"問"而知其能否及時、快速的響應客戶的需求。
切:
很多產品,可能宣傳資料上寫的天花亂墜,實際測試產品功能卻連一半都沒能實現,如果不經過在搭建的真實的環境中進行足夠久的測試,是顯現不出來的。企業需要根據自身的需求,制定一些典型的測試用例,并盡量多的設想極端情況,這樣才能保證產品能夠適合自己的需求。
對此,游俠安全網站長張百川建議企業在購買防泄漏產品之前,在使用頻率相對較高的計算機上高強度測試。并且要看其對Windows XP 64bit、Vista、Windows 7 64bit等的支持情況。目前很多產品對64位操作系統的支持并不好,很容易給企業安全造成"馬其諾防線"。比如企業中有Linux等操作系統,在布置防信息泄漏之前需進行測試,然而目前多數數據防泄漏廠家卻并不支持Linux。
綜上所述,通過"望"而觀大局,"聞"而知小節,"問"而鑒利弊,"切"而測需求,企業在選擇防泄漏方案時候便可以做到"了然于心"。當然,這只是信息防泄漏產品選型的***步,企業還需要在經過"望聞問切"之后的產品和方案中挑選出最適合自身需求的。那么,如何進一步挑選出***、最適合的方案呢?#p#
對于這個問題,專家們有著各自的看法。信息安全專家李洋博士建議從"功能性,穩定性,兼容性,可審計性"對防泄漏產品進行判斷;而鄭州三全食品CIO周清湘則強調防泄建設方案應從"安全性、方便性、完備性、容災性"下手。綜合各方專家的觀點,我們可以歸納為以下6條判斷標準,供讀者參考:
標準1:企業內部操作行為應該可視化。
這也是常說的審計工作。信息化管理比較成熟和規范的企業如今都比較重視這部分工作了,哪怕在企業文化等原因而控制和加密有所不足,審計卻做的很全面和細致,并且還會安排專門的人或者工作組來查看審計內容、為管理者提供審計報告。如果沒有審計,那么企業將對存在的安全威脅一無所知,所做的安全防護自然也是全憑想象,很難達到效果。毫不夸張的說,審計是安全必須的基礎。
標準2、 信息防泄密建設根據涉密程度不同,防護力度必須輕重有別。
我們都知道,安全和效率是一對矛盾體,安全措施越多安全性越高,但過多的安全措施會使得工作效率降低。企業必須要在安全和效率之間取得平衡,在不影響工作的前提下實現高安全性。實際上,信息的涉密級別是不盡相同的,企業沒有必要對低密級信息實施高密級防護,也不能對高密級信息進行低密級防護,一刀切的進行安全管理會造成要么犧牲安全、要么犧牲效率的情況。因此,信息防泄密系統要能夠對涉密程度不同的信息進行輕重有別的防護,讓安全和效率更加平衡。
標準3、信息防泄密產品必須隨需而變,實現擴展性。
企業總是在發展和變化的,安全的需求也隨之成長和變化。"像給小孩子買衣服,往往會買稍大一點的,因為小孩子長的很快,如果買現在剛好的,很快這件衣服就不能再穿了。"溢信科技產品總監黃凱如是說。選擇防泄漏產品時也是一個道理,在防泄漏方案的選擇上要未雨綢繆,具有前瞻性,考慮到將來一段時間企業的安全需求。如果選擇的產品(解決方案)僅僅能滿足眼下的需求,那么很快就又要重新選購了。
標準4:信息防泄密建設應從全局角度出發,兼顧"安全、效率、成本"。
杭州汽輪機股份有限公司所長黃梁認為:在信息防泄漏建設中,企業應從全局上考慮提升安全性、降低泄露風險帶來的業務操作、使用上的一些障礙、安全成本的投入問題。實際上"安全、效率、成本"的問題不僅僅是企業需要思考,廠商更應該在產品設計之初就考慮到這個問題,信息防泄密產品不能只在其中的一個或兩個方面表現優秀,而應當兼顧"安全、效率、成本"。
標準5、幫助企業及時發現安全威脅。
許多人都認為信息防泄密重在"防護",在安全威脅面前處于被動防守的狀態,其實不然。許多泄密事件在發生之前都是有跡可循的,如果企業能及時發現安全威脅發生的跡象,就能夠將其扼殺在搖籃中。因此,信息防泄密系統應當能夠通過監控、審計等手段對潛在的安全威脅發出預警,幫助企業及時發現安全威脅。防患于未然,才是信息防泄密的真正目的。
標準6、 安全體系應該容易使用和維護。
使用的便捷和完善的維護也是防泄建設中必不可少的工作,利用簡易的模式保障信息安全會更易于用戶接受,這也是為什么富豪家中保險柜如此盛行的原因。
在選擇了合適的防泄漏方案后,就可以高枕無憂了嗎?當然不是,面對千變萬化的非安全因素,作為防守方我們只有隨機應變,防微杜漸,難有以不變應萬變之法。經過上述討論如何評價一個信息防泄漏方案的好壞之后,面對各種泄密事件又帶給我們哪些啟示?內網安全建設未來走勢如何?云計算等新興技術會是內網安全的噩夢嗎?敬請關注"內網安全 十年之辯"下期內容。
【編輯推薦】
