老黃出診記(4):安全網關與加密服務器安全良藥
上一篇札記中,老黃分析到,很多企業已經意識到了信息安全的重要性,但就是苦于不知如何下手來進行防護。上一篇案例中提到的外貿企業,其內部信息化結構相對簡單,本次老黃選取的案例是內部信息化結構相對復雜,日常工作都是通過PDM、ERP等信息管理系統來開展的制造型企業。眾所周知,隨著企業業務的發展以及信息化技術的進步,越來越多企業將內部海量的信息尤其是機密信息存放于如ERP、PDM、OA等企業級管理系統上。因此保護這些系統上信息的安全成為企業亟需解決的問題。
出診札記
制造企業D,非常關注內網信息安全,ERP/OA/PDM等系統是企業常用的系統。企業內部大部分核心機密如設計圖紙以及銷售數據都保存在這些系統上,而且內部人員都可以通過網絡下載到本地。擔憂的是信息防泄露系統會使得這些常用的管理系統效率降低。想要達到的效果是保護管理系統上銷售數據以及設計圖紙的安全,但是要讓相關人員能看到這些信息,對工作不造成任何影響。
困擾所在
·擔心因安全失效率
ERPOAPDM是D企業常用的系統,因此其擔憂部署防泄漏系統會降低這些管理系統的效率,影響正常工作的開展。
·如何實現“能看不能動”
如何做到讓內部人員既能看到與其工作相關的信息,保證工作的順暢開展,但無法復制,把信息外泄出去,這不僅困擾著D企業,目前大部分企業普遍都遇到這樣的困惑。
對癥下藥
綜合D企業心存的困惑以及其內部的信息化情況,溢信科技領先推出的以“整體信息防泄漏”理念為核心的IP-guard三重保護信息防泄漏解決方案正是其所需的良方。下面,老黃將結合這個藥方為D企業對癥下藥,幫助其建立全面的信息防泄漏體系。
D企業擔憂防泄漏系統會影響ERP/OA/PDM的效率,依老黃之見,性能好的信息防泄漏系統如IP-guard三重保護信息防泄漏解決方案對ERP/OA/PLM等這些管理系統的影響是很小的,因為信息防泄漏系統的一個關鍵目的就是要保護存儲于這些系統中數據的安全,因此不會影響其正常使用。防泄漏系統對業務系統效率的影響程度是每個企業都很關心的問題,這也是挑選防泄漏系統的一個重要指標。因此在正式部署前,需要經過多次測試,選擇性能較好的防泄漏系統,避免由于信息防泄漏系統而造成其他系統崩潰,影響正常工作。
·加密與安全網關,配制出“安全與效率兼收”良藥
D企業內部常用的管理系統是ERP、OA、PDM,而其向老黃提出的防護需求是在不影響正常業務的前提下,保護存放在這些系統上信息的安全。根據其具體的信息化情況以及安全需求,老黃認為最佳的防護方案是在核心部門如設計部、財務部部署透明加密,非核心部門但需要接觸到核心信息如銷售部部署只讀加密,并在企業常用的管理系統前部署上IP-guard加密安全網關。
“只讀加密”功能是溢信科技根據“文檔能看但不能外泄”的客戶需求設計的,并將領先市場正式推出。它實現了加密文檔只允許閱讀,禁止進行其他操作的效果。通過這一功能,非核心部門不需再部署透明加密,也可以需要閱讀相關的加密文檔,順暢開展工作,避免了因透明加密而引起的繁重非核心文檔解密工作,同時,也杜絕通過合法手段獲取的信息的外泄風險。
結合IP-guard透明加密以及加密安全網關,既可對想要訪問服務器的終端進行嚴格的身份認證,杜絕非法接入服務器而帶來的信息泄露隱患。而且,還實現文檔上傳至服務器時自動解密,下載到本地時自動加密,裝有透明加密的客戶端可對文檔進行修改,而只讀加密客戶端則只允許閱讀,禁止復制、修改、截屏等操作,有效避免了文檔在本地的二次泄露風險。
安全網關原理示意圖
通過這樣的防護方案,D企業面臨的既要保護管理系統上信息的安全,但不影響工作正常開展這一困惑便可迎刃而解了。
·信息防泄漏對“面”不對“點”
鑒于D企業目前仍無任何信息安全的防護措施,老黃認為,除了對管理系統的信息以及核心部門采取上述的防護方案外,在企業全范圍也需要相應的管理。信息防泄漏工作需要全面的防護,不能只顧核心部門,否則很細小的漏洞便可能導致重大的泄密事件。
首先,可借助信息防泄漏系統如IP-guard三重保護信息防泄漏解決方案的審計功能,將內部的安全問題梳理清楚,然后根據具體的問題來進行相應的防護。
在將企業內部的安全問題都審視清楚后,需要通過信息防泄漏系統如IP-guard三重保護信息防泄漏解決方案在企業全范圍內部署基礎審計,詳細記錄企業內部人員的操作,及時發現安全威脅,并形成震懾力,在一定程度上降低泄密事件發生的幾率。
除了基礎的審計外,還需要根據每個部門具體的安全狀況以及需求,輔以適當的管控。比如人事行政部、財務部、設計部等跟外界溝通比較少的部門,可通過IP-guard的網頁瀏覽、郵件管控、即時通訊管控等管控功能,限定郵件發送的主題、附件大小等,并嚴格限制在上班時間使用QQ、網絡上傳,防止將通過合法手段獲得的信息外泄出去。對于對外窗口銷售部,則可靈活處理,允許使用即時通訊與外界聯系,但管控的度也需把握好,做相應的管理,比如利用IP-guard的即時通訊管控、郵件管控,限定只能使用指定賬號與外界聯系,發送郵件必須抄送主管/經理。
由于IP-guard采用的是模塊化管理,并將所有的管理整合到同一平臺實現,這樣企業可根據具體的需求進行采購,集中進行管理,提高管理效率,并隨時進行功能擴展,無縫集成。
出診總結
“允許文檔能看,但不能外泄出去”是企業長久以來都存在的需求,而將企業內部的信息尤其是核心機密存放于企業級管理系統上也逐漸成為趨勢,IP-guard就是針對這樣的市場變化以及需求,推出了加密安全網關以及只讀加密。通過加密以及安全網關兩者相互配合,既能實現系統上信息的安全,也不影響企業正常業務的開展。
當然,沒有絕對的安全,企業的安全管理并非要達到絕對安全的效果,而是根據企業各個部門的具體問題以及安全需求,有針對性地進行防護,形成力度輕重不一的整體防護,讓安全、效率和成本達到最優平衡。
【編輯推薦】
