老黃出診記(1):加密不是信息防泄漏的萬靈丹
在老黃前段時間舉辦的“信息防泄漏的選型與實施”線上技術門診活動中,網友們反響很熱烈。大家紛紛過來“問診”,為企業所遇到的信息安全困擾尋求“良方妙藥”。
從大家描述的企業情況可看出目前大部分企業都意識到了信息防泄漏建設的重要性,不少企業也已著手部署了一些措施。但這些企業都無一例外地遇到了相同的困擾:苦于不知如何更好地開展信息防泄漏這一項目。
老黃將出診情況皆一一記載,接下來對一些經典的企業個案進行系列講解,希望為相似“病情”的企業提供參考借鑒,構建健康安全的防泄漏體系。
在眾多防泄密技術、功能里,加密的功效無疑是***的,其理念非常誘人,“絲毫不影響工作,非授信環境下,帶得走,也看不了”。但只下加密這一劑猛藥,企業安全問題是否能***呢?下面這則企業案例告訴我們,答案是否定的。
出診札記
軟件研發企業A,兩年前部署了一套透明文檔加密系統,只在研發部上加密,對軟件代碼、設計方案、圖紙等核心機密進行加密防護。使用以來,兼容性的問題一直存在,而且信息保密漏洞百出,還有泄密事件發生。近期準備部署準入及終端管理系統,處于試用階段。對全面的信息防泄漏體系的構建、評估以及產品的選型心存疑惑。
癥結分析:
◆缺乏全面、系統化的安全防御體系
A企業只在核心部門——研發部上加密,除此之外,沒有其他任何的防泄密措施。老黃認為,問題癥結就在于只在核心部門裝加密,無法控制和掌握內部所有信息的使用及流轉,只能保障加密信息在非授信情況下的安全。而一旦加密信息以合法手段變成明文后,核心機密的安全就無從談起。打個比方,加密就好象是把你的機密信息裝進一個保險柜,雖然保險柜很安全,你也不愿意你的保險柜被偷走或者隨意丟在大街上。
◆所采用的透明加密產品兼容性欠佳,廠商提供的售后服務不夠到位
透明加密存在著兼容性的問題,這是由于所采用的加密系統兼容性不佳而導致,無法滿足系統及業務所需。而在兩年來的使用中都出現這樣的問題,則說明了加密廠商所提供的支持不到位,沒有快速響應客戶所遇到的問題。
對癥下藥
老黃所在企業溢信科技10余年來致力于為企業提供全面的信息防泄漏解決方案。其基于多年的客戶服務經驗以及對市場需求的準確把握度,領先“研制”出了為企業全面、系統化解決信息安全問題的方案——IP-guard三重保護信息防泄漏解決方案。下面老黃將結合這一方案,為A企業開出老黃的獨家藥方。
◆全方位、整體調理,一個部門也不能少
A企業的主要病狀在于裝了加密,但是仍有泄密事件發生。雖然如今準備部署準入及終端管理系統,防護能力較之以前會大大加強。但這個舉措依舊存在誤區,信息防泄漏最忌的是“頭痛醫頭腳痛醫腳”,各種產品堆砌管理。曾經遇到過很多企業,采用了安全審計、準入控制、透明加密等各種產品,部署之后面臨著后期維護困難、軟件沖突等多重問題,企業雖然“裝”了安全產品,但根本“用”不了。
綜合A企業的病狀及需求,老黃認為IP-guard三重保護信息防泄漏解決方案正是醫治A企業病狀的良方。
三重保護解決方案包括詳盡細致的操作審計、全面嚴格的操作授權以及安全可靠的透明加密。通過三重保護解決方案,A企業可在企業全范圍部署審計,對內部操作實現可視化,及時發現安全隱患的所在;而對于一些涉密程度較高的部門,三重保護解決方案提供對包括文檔操作管控、設備管控、郵件管控、即時通訊管控、移動存儲管控、網絡準入管控等15大可能的泄密渠道進行有效的控制,這個既實現了全面的管控,也滿足A企業欲部署準入及終端管理系統的需求。
A企業所屬類型為軟件研發型企業,智力資產可說是企業制勝的核武器,因此覆蓋到企業所有部門的安全管理以及全面的管控是必不可少的,只有這樣才能實現***程度的安全。同時,IP-guard系統采用的是模塊化的設計,A企業可以根據每個部門的涉密情況以及實際的安全需求,靈活組合,以最小的投資獲得***的安全回報。
◆選型與評估
A企業在問診過程中也提出了如何評估防泄漏方案是否完善以及加密產品如何選型這些困惑。老黃平日與客戶溝通交流過程中,也發現不少客戶對防泄漏方案的評估感到疑惑。依老黃之見,完善的防泄漏方案,必須滿足以下幾個條件。
1.安全管理措施覆蓋企業所有部門
2.對內部操作實現全范圍可視化
3.信息的一切傳播渠道都有相應管控
4.防護力度與涉密程度相匹配
5.及時發現及應對新的安全威脅
6.根據功能需要和規模迅速擴展
7.項目效果的可評估性
對于A企業在兩年來的使用中遇到的兼容性問題,需要該系統的廠商給予足夠的支持才能解決。老黃在這里結合服務客戶以及項目經驗,總結一下加密產品選型中需要注意的地方。
市場上加密產品眾多,魚龍混雜,兼容性和穩定性都是加密系統中的重要考核指標,因此在正式部署前,以下兩步是不可忽視的:
1.測試環節是非常重要的,考察產品的適用性、穩定性。首先選取具有代表性的機器首先進行全面的測試。當***步測試沒問題后再將部署范圍逐步推進,最終做到對所有的電腦進行管理。
2.除了技術以外,還要多重視廠商的市場表現和服務能力。信息防泄漏產品,尤其會涉及到企業的核心機密,來不得半點的耽擱和馬虎,選擇服務能力跟的上的廠商,能夠保證產品的正常使用。
出診心得
上述分析的A企業案例是目前企業應用中較為典型的其中一種“病狀”,有不少問診者都是相類似的情況。這是由于這些企業過于依賴加密的防泄密功效,寄希望于部署加密后防泄密工作能一勞永逸所導致的。不可否認,透明加密是眾多防泄密技術中功效***的,但防泄密工作需要的是各種技術的整合應用,而不是一招吃天下。
企業每個部門所擔負的職能不一樣,其涉密程度也不同。老黃認為,正確的信息防泄漏思路是首先將每個部門的安全問題都審視清楚,然后根據每個部門的具體涉密程度以及安全狀況,整合應用審計、權限管控、加密等多種技術手段進行統一管理,防護力度輕重有別,從而形成全面、梯度式的整體體系。
