防止信息泄漏不可不知的六条评估标准

日期:2011-9-22作者:icesoul 来源:网界网

  互联网时代,一个小小的数据就可以左右公司的命运。这些数据在企业自己手里是制胜王牌,在对手手里就是毁灭自身的工具。为了保护这些机密数据,不少企业都开展了信息防泄漏项目。但是防泄漏建设就跟买保险一样,不出安全事故,你永远不知道项目是否完善。以下6条标准,让你彻底检查内部防泄体系究竟完善与否。

  标准1:企业内部操作行为是否实现可视化

  在信息防泄漏的“战争”中,相比于躲在暗处的泄密者和安全威胁,站在明处的企业显然略失先机。但如果企业能够做到预先防御,在对手出招之前采取针对性的保护措施,就能从根本上“转被动为主动”,做好内部数据安全防护。

  因此,良好的信息防泄体系的前提就是要时刻掌握企业动态,做到要有的放矢。很重要的一点是要实现内部操作的“可视化”,以随时监测整个信息系统的安全状况,做到迅速反应,甚至还能预测到潜在的风险,化被动防御为积极防御。

  标准2:防泄漏建设是否从全局角度出发,最大程度避免疏漏

  安全领域中的木桶理论和马其顿防线的故事相信大家都了解——无论怎么豪华的防线,一个漏洞就可以毁灭所有一切。在企业中,有时候可能是一个小小的 U盘就毁灭了几百万投资的努力,或者一封无意的邮件就能让企业损失惨重。

  因此,在解决安全问题之时,不能仅仅依赖透明加密等技术手段,“头痛医头,脚痛医脚”地堆砌不同安全产品及封堵安全漏洞,而是需要站在一个更高的战略角度来通盘考虑。如果缺乏一个整体的分析视角,你可能会忽视或者低估某个安全攻击的真正威胁,相应采取的安全措施也可能无法解决真正的问题。

  所以,在实际的防泄漏建设中,我们必须从整体上来评估企业的信息安全状况,运用统一的平台来进行风险和安全管理,检测出内部问题,从而描绘出整个企业当前安全情况的更清晰和更准确的图景,采取针对性的防护措施,最大限度降低企业的安全风险。

  标准3、 是否根据涉密程度不同,防护力度轻重有别

  企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切,不分轻重地在全公司范围内采取相同的策略,这样虽然看似达到了最为安全的效果,但对业务造成的巨大影响,以及因此产生的高额成本,对企业来说,都是巨大的负担。

  对信息安全来说,威胁和风险往往和高价值的信息资产联系在一起,安全保护工作也就应该轻重有别,将重点放在高价值的信息资产上。什么是高价值信息资产?通过风险评估,你会知道,它是你业务依赖的信息系统,无论软件、硬件、服务还是人。那么,在安全建设过程中,对涉密程度高的部门或岗位进行力度大的防御,对涉密程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、企业安全成本等问题,是企业必须要做的事情。

  比如透明加密的成本,以及对企业效率的影响远高于审计和管控,在企业实施过程中,往往需要结合企业的实际情况,对三种技术手段整合运用:首先,在全公司范围内进行安全审计,掌握企业操作,发现安全隐患;其次,对特殊岗位和部门,进行严格管控,限制信息的带出;最后,在核心部门内部,对机密信息进行透明加密。这样既可保证公司的正常业务运作,又能有的放矢地实现最优化的信息防泄漏管理。对于企业来说,还大大节约了投资成本。

  标准4、 能否及时发现安全威胁,实现动态性的防护

  动态性的信息泄露防护,对于目前泄密手段日益增多的企业来说,非常重要。某些企业往往在安全事件发生之后才对现在的策略进行被动的调整。这种“吃一堑、长一智”的防护模式,对于企业而言,有可能是致命的。一旦出了安全事故,恐怕亡羊补牢,为时已晚。

  企业需要建立一个动态性的安全防护,前瞻性地发现安全威胁,并通过对技术或管理上的策略进行及时调整更新,防范潜在的安全风险。如目前便携设备发展迅速,智能手机、iPad等便携设备日益成为企业的泄密威胁,在此基础上,企业应该调整安全策略,对便携设备的使用进行规范。

  另外,企业内部的人事变动比较正常,人员的流动屡见不鲜,企业应收紧即将离职员工的文档使用权限,确保机密文档不被访问和带走。如果企业建立了动态性的信息防泄体系,就能在安全事件发生之前,从技术、管理等多方面更新措施,大大增强安全防护的前瞻性。

  标准5、能否随需而变,实现扩展性的体系

  信息防泄漏可以看成是一场永无止境的战争——你刚刚应对完一次安全威胁,下一个威胁又接踵而至。IT部门作为企业信息防泄的神经中枢,必须能够适应安全需求的不断变化,迅速满足新需求、快捷响应新威胁。如果企业只单纯使用加密或监控某一种技术手段,当新需求出现之时,IT部门不得不求助于新产品,重新选型、试用,操作流程复杂且安全风险增加。

  所以,企业在建立信息防泄漏体系时,要确保该体系能够根据新的需求实时扩展,无须重新选择新的产品,只需加固同一管理平台上的功能,就能进行更多防泄密功能的扩展,做到无缝集成,消除因选型迟缓而产生的安全风险。

  标准6、 安全体系是否容易使用和维护

  如今,市场上五花八门的信息防泄漏产品让企业眼花缭乱,某些企业为了确保自己信息防泄漏高枕无忧,盲目地为自己配备上各种安全产品,并企望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本,并增加了技术的复杂性,还容易导致产品软件冲突等问题,企业虽然“装”了安全产品,但根本“用”不了。

  目前,能够提供整体解决方案的单一安全产品成为一种优良选择,它能够帮助企业建立统一的安全管理平台,无论是对企业安全边界防护,到内部使用都做了整体、全面的考虑,而且简化了日常的操作与管理,降低系统的资源占用,避免了软件冲突等多种问题。使用和维护起来非常方便,大大节约了IT人员的时间和精力。这种产品为企业带来诸多功能集成方案的易管理和高性价比优势,对于企业将具有更大的吸引力。

  如果你的信息防泄漏建设符合以上6条检测标准,那么你已经建立了一个完善的整体信息防泄漏体系,机密信息也得到了最大化的保护,实现了“成本、效率、安全”三者的最佳平衡,这也是近年来被大家认可的“整体信息防泄漏”理念的核心。实际上,信息防泄本身就是一种博弈,是企业和人的博弈。它是一场思维的交锋,企业只有掌握了内部的行为操作,同时针对内部安全威胁建立全面、立体化的安全防护,信息防泄才会立于不败之地。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

数据安全与保护>更多

  • 安全与隐私:公司应该做什么?

    亚利桑那州选民登记数据库不像是俄罗斯人明显的目标。但是在八月,FBI揭秘俄罗斯黑客装扮成亚利桑那州选举工作人员,并在该州安全系统上戳了个洞。

  • 区块链技术试水工程:碳资产开发平台部署

    区块链技术,最初是比特币的基础技术,也被称之为分布式账本技术,其特点是去中心化、公开透明,让每个人均可参与数据库记录。虽然,目前还在火热研究中,但也有企业已经开始试水使用。

  • SLO与SLA的区别在哪?

    服务水平协议(SLA)是一个外部服务供应商和客户之间的合同,或IT部门和它服务的内部业务部门之间的合同。与SLA相关联的性能指标,服务水平,有时也被称为服务水平目标(SLO)。

  • 最好的移动安全计划:先检查风险 再对症下药

    Maslow的需求层次理论从最基本的需求开始(“生理”需求和“安全”),然后达到人类需求的最高层次——自我实现。其中还包括归属感,爱和尊重。

相关推荐

  • 云端数据库安全问题分析

    云端数据库的劣势是,用户没有基础设施作为硬件资源,业务数据是以存储在“云”中的方式存在。因此,用户业务数据在应用云端数据库时所面临的安全威胁成为问题。

  • 新社交媒体安全: CIO的智能策略架构

    随着新一代进入劳动力大军,来自社交媒体的安全威胁的不利因素即将显现出来。有效的安全策略管理要求你有良好的流程领导能力和一个强有力的政策体系结构。

  • IT业界面临的九大最严峻安全威胁

    本文列举了如今IT业界面临的九大最严峻安全威胁,例如网络犯罪集团的兴起、骡与洗钱组织支持下的小型技术团队、黑客行动主义者、知识产权盗窃与商业间谍活动……

  • CIO不可不知的信息防泄漏6条评估标准

    为了保护机密数据,不少企业都开展信息防泄漏项目。但是防泄漏建设就跟买保险一样,不出安全事故,永远不知道项目是否完善。本文提出了信息防泄漏的评估标准……

技术手册>更多

  • IT项目ROI提高实用手册

    ROI,或者投资回报率,用销售的语言来表述就是“为了赚到更多的钱而花钱”。一项计划是否能够得到批准取决于能否证明这项计划的回报将高于投入。本技术手册提出了在各种IT项目中,提高ROI的实践经验。

  • CIO成功实施SOA指南

    现在是SOA领域动荡变化的时期,其发展变幻莫测,而这仅仅只是开始。由于服务设计、服务总线、服务治理甚至服务本身都处于不断变化中,而且各大公司仍在重审这一舞台,因此,人们的立场通常很复杂。要知道,SOA并不是天上掉下来的馅饼,企业实施SOA必须具备一定的条件,关注SOA使用中存在的隐患,做到深谋远虑,否则很难实施成功。

  • 移动和无线应用开发方法小引

    移动设备的广泛使用改变了企业的业务模式和经营行为,而经营模式和行为的改变需要更多的移动应用的支持。因此,开发大量适合企业需要的移动应用的需求也越来越迫切。本技术手册将介绍移动应用开发,并详细分析了黑莓平台的上应用开发。

  • 移动商务关键之业务应用

    现在,终端用户和应用开发人员都在移动设备上配置更复杂的应用,让用户在使用这些应用的时候感受到美感以及容易操作的体验。虽然屏幕很小,但是已经有些先进的移动应用开始可以把它们基于台式机的部分镜像到手机上,例如最早的移动应用——电子邮件,以及可以大幅提高效率的移动CRM。本技术手册分析了移动商务中的业务应用。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能