【文章摘要】文檔透明加密對企業重要文檔本身進行強制加密�����,有一種以不變應萬變的味道��,這也許就是眾多企業對其趨之若鶩的原因之一�。
隨著網絡環境的復雜化��,企業信息安全建設的需求也隨之變化�����。不同規模�����、不同發展階段�、不同行業的企業在部署信息防泄漏方案的過程各自的需求重點也不盡相同,因為真正有效的信息防泄漏方案是針對企業實際需求的個性化的方案�。然而在這些不同的背后���,大家是否有一些共同之處呢�?溢信科技在2011-2012信息防泄漏調查中統計出2011年多數企業會選擇的信息防泄漏方案十大功能���。下面就對這十大功能的背景與應用進行分析��,作為企業在信息防泄漏方案之參考�����。
1、文檔透明加密
在企業中����,信息大多數是以電子文檔的形式存在����。對于如何保護企業重要文檔的安全��,業界有兩種思路���,一種是由外及里�����,封堵各種可能的文檔傳播渠道���,一種是由里及外����,對文檔本身進行強制加密,后一種企業普遍使用便是文檔透明加密。
文檔透明加密對企業重要文檔本身進行強制加密�,有一種以不變應萬變的味道�����,這也許就是眾多企業對其趨之若鶩的原因之一。文檔透明加密使企業的重要文檔隨時處于加密狀態,同時不影響用戶的使用習慣���,在不知不覺中保護文檔安全。另外很重要的一點是文檔透明加密可以對外發文檔的安全進行良好的管理���。企業信息防泄漏不可能僅僅局限于企業內網,隨著信息經濟的發展企業與外界的溝通將日益網絡化����,企業內外間的線上交流是必不可少的�����。文檔透明加密通過對外發文檔的訪問權限進行嚴格的控制,以保證企業重要信息不會輕易被泄露。對于文檔透明加密,溢信科技認為除了以上說的幾點外����,離線權限控制以及分級別分區域的權限控制也非常重要���,加密應該充分考慮到各種應用情況��,提供各種場合下的解決方案。
當然世間萬事萬物有利必有弊,文檔透明加密在對企業文檔進行高強度保護的同時�,也會給企業的工作效率帶來一定的影響。因此企業在部署加密前必須找出真正需要高強度保護的數據范圍����,而不是一密全密��,后者從需求上講沒有太大必要,從效率上講對企業的整體業務運行頗有影響��,從成本上講會增加企業的安全預算�。總之一句話�,適合的才是最好的��。
2、移動存儲管控
在各類信息化產品中�����,U盤、移動硬盤、數碼儲存卡等移動存儲產品被廣泛應用,而尤以U盤為甚��。對于不少企業而言����,移動存儲設備方面基本沒有什么管理措施,公司與個人的混用,工作與生活的不分����,辦公室里面U盤隨意流傳�����。在這樣的溫床中,孕育出病毒泛濫的境況以及接二連三的信息泄漏事件就不足為奇了,而后者后果往往要嚴重得多。
由于企業的不重視,再加上移動存儲設備本身的管理難度�����,移動存儲往往成為企業信息安全的軟肋���,比如近年各種U盤泄密事件層出不窮�。如何去管理移動存儲設備�����?目前來說有幾下幾種方法�。一是封堵����,對于從企業外部帶入的移動存儲設備禁止使用,只允許使用公司規定的設備�����,二是設備加密��,對移動設備的文檔進行權限管理��,就算有人利用移動存儲將企業重要文檔帶出也無法正常打開。
當然在實際管理過程中���,除了技術上的管控,最好配合以嚴格的移動存儲設備管理制度��,對企業內部移動存儲使用進行詳細的記錄���,這樣才能更好地讓移動存儲管理納入有秩序的軌道���,保護企業重要文檔的安全����。
3、郵件管控
大多數企業都會使用到電子郵件����,郵件類別有許多種,個人免費型,企業級付費型���,普通郵件、網頁郵件......不一而足。但是這里面存在著巨大的安全風險�,在企業發往外界的郵件中���,往往附帶著很多與企業商業機密相關的信息��,如果對這些郵件不進行安全控制,機密信息為競爭對手獲取��,或者為其他人用于商業用途���,后果不堪設想�����。
目前對于電子郵件的安全控制����,一般采用的解決方法包括,規范化企業內部使用郵箱�����,如建立公司專用郵箱���,禁止其他類型的郵箱����。或者對外發電子郵件的進行關鍵字過濾�����,如郵件主題���、附件名中包括指定關鍵字的郵件不能正常發送����。任何一種管控方式都能起到一定的效果�����,但融合型的產品會更有成效��。
對于郵件管控,溢信旗下的IP-guard可以對企業郵件進行細致的管理,能夠針對郵件類型、郵件地址、主題����、內容���、附件等要點進行控制��。另外有一個特別的功能點,那就是在外發重要郵件時,支持強制抄送給相關領導�����,讓管理層親自對郵件安全進行把關�����。另外溢信認為郵件審計是必不可少的����,審計有助于企業從整體上對電子郵件系統進行觀察與分析����,從而查缺補漏�,不斷完善。
4�����、即時通訊管控
QQ����、MSN、FETION......即時通訊工具已經成為我們日常生活的必要組成部分�,對于企業情況也差不多��。高節奏的商業形態必須要求實時的通訊工具,但一方面很多人只是把即時通訊工具當作打發工作時間的渠道�����,另一方面企業信息泄露的風險也隨之提升�。企業可以直接將即時通訊工具禁止,但是事實上無法如此徹底�,企業總會因為各種原因必須開放些通道�。于是很多企業選擇對即時通訊工具進行審計�����,主要是對通訊內容的審計�,包括對傳輸文件的備份,通過這種方式可以產生一種強大的心理威懾力�,讓不良人士知難而退����。
溢信科技認為即時通訊管控�����,除了上述方式以外,還可以先對企業的文檔的重要性進行分類��,對于非常重要文檔����,如對指定格式或者指定文件夾下的文檔,可以禁止即時通訊程序對其進行訪問�,顯然這種策略會更有針對性�����。而溢信旗下的IP-guard還能夠對即時通訊工具的圖片傳輸進行控制,備份傳輸的圖片甚至限制截屏功能的使用��。
5����、文檔操作管控
企業的多數數據是以電子文檔的形式存在,因此保護企業的信息安全很大程序上可以說就是保護企業的重要文檔的安全�。文檔是企業辦公的基礎����,也是各種信息安全保護手段的中心�。文檔在企業內部流轉的生命周期,包括創建���、訪問、修改�����、刪除��、重命名���、移動����、復制���、恢復八大環節�,文檔操作管控就是對文檔全生命周期進行管理��,對文檔在企業中傳播的每一個站都記錄在案���,從而實現對文檔安全的精細化控制��。
對于企業文檔安全的控制,一般存在兩種典型的應用場景。一是當企業中有一些重要文檔,不允許任意用戶對其進行修改或者刪除��,所以要對部分員工的權限進行控制����,使其只能訪問文檔,不能修改與刪除文檔。二是企業在辦公的過程,有可能因為失誤而刪除了重要的文檔。文檔操作管控可以限制用戶使用文檔的權限��,同時在文檔被復制與刪除前自動備份����,防止用戶誤刪。
為更好地利用文檔操作管控功能���,最好一開始查清楚不同的文檔的安全需求,比如說哪些文檔需要備份���,哪些不需要,如果不進行區分一律設置備份的策略�,則可能造成大量的數據累積����,一方面沒有必要,另一方面對系統增加了負擔����。
從以上排名前五位的功能可以看出企業的安全需求主要傾向于以文檔安全為中心的信息保護,這也標示出數據安全將會成為企業內網安全核心的趨勢。現在多數企業已經意識整體信息防泄漏的重要性����,值得注意的是企業在部署信息防泄漏方案時應該根據本身的實際需求進行輕重有別�����、具有針對性的防護控制。
在最受客戶歡迎的十大信息防泄漏功能(上篇)中對加密、移動存儲設備管理�����、即時通訊管理����、郵件管理、文檔操作管控五個功能的背景與應用進行了分析,從中可以看出企業內網安全需求已傾向于以文檔安全為中心的信息保護,那其他功能在企業安全需求中所占的格局又是怎樣的呢�����?本篇將對后面五個功能進行解讀��,看看其在企業中的應用情況���。
6.資產管理
資產管理包括企業軟硬件資產掃描與統計����、軟件版權管理�、軟件分發、補丁管理等,屬于信息防泄漏外圍功能����,但是是基礎性計算機安全管理,所以重要性不可小視�。在內網安全發展的前期����,對這些基礎性功能進行加強加固是一個熱門的選擇����,時至今日,資產管理依然是眾多企業熱衷的功能����,這說明基礎性設施管理是企業信息安全管理不可或缺的組成部分����。
對于資產管理在企業的具體應用����,首先是企業計算機資產的管理,比如硬件的類別��、型號�、變更等,軟件的類別���、版本等等,尤其是對于大企業��,計算機規模大����,網絡結構復雜,管理難度高�,資產管理顯得特別重要��。其次是漏洞檢查、補丁管理���,其實很多時候企業內部計算機出現安全問題,往往是因為用戶沒能及時更新系統補丁�,結果留下為人利用把柄。軟件分發亦是很重要的部分,企業在部署安全管理軟件客戶端時,如果僅依靠人力,工作量必然會十分巨大�,軟件分發則可以將安裝包自動分發至各計算機進行集中安裝��。
值得一說的�,溢信科技IP-guard除了以上功能外����,對于非IT資產也能進行管理,如辦公室桌椅�����、路由器等���,防止發生資產盜竊行為����。
7.設備管控
企業的許多IT設備,尤其是存儲設備如移動硬盤��、光驅���、刻錄機等�����,都屬于可能的信息泄漏渠道����,而且現在新設備每隔一段時間就會更新�,這對企業的信息安全帶來很大的風險,因此對這些通道必須進行嚴格控制�����。
對于這些外設���,有很多是企業正常工作非常用性設備�,有一些甚至極少用到����,因此可以對這部分設備的使用進行禁止,如有需要可臨時開放權限。在對這一功能進行選型時有兩點需要注意����,一是管控設備的種類宜多多益善���,并具備靈活的擴展性�����;二是管控的粒度宜精細,不僅僅采取一刀切的方式,對所有設備統一允許或者禁止���。IP-guard在這方便有著良好的表現,可對存儲設備、通訊接口設備、USB設備��、網絡設備及任何新增外設進行控制�����,�����,而在設備識別上IP-guard也能做到精細化管理,比如對于USB設備,可以識別出USB鼠標與USB移動存儲�����,靈活方便����。
虛擬化���、云計算······隨著未來新技術的普及�,企業在設備管理方面也將面對更大挑戰����,如何應對這些風險���,安全廠商應先行一步�����,為企業的信息化升級提供安全保障���。
8.打印管控
打印機是現代企業辦公必不可少的設備之一����,但是很多時候它的安全管理為人所忽視�����。有人認為打印機不比普通計算機終端��,不會中毒不會被黑,因此不會泄密�,事實表明這是錯誤的����。據鳳凰網報道�����,濟南某裝甲團用新建的打印設備專門承擔全團的涉密文件打印任務,然而在一次機關干部考試中�,在電腦不上網�,試卷柜上鎖的前提下��,試卷還是泄露了����。經過調查�����,原來負責打印的人員將試卷文本列入打印任務后�,打印機因缺紙沒有打印��,后來又沒有在電腦中取消打印��,最終造成考題泄露。
患生于所忽��,禍起于細微����,打印安全管理不可忽視。在內網安全行業發展已超十年的溢信科技認為應該對各類打印機進行嚴格的控制���,而且還要對每次打印進行審計,如打印時間���、用戶、文件名等��,在如此嚴格的管理下�,一方面保障企業信息的安全�,另一方面也可以防止隨意打印造成不必要的浪費。
需要注意的是��,有一些打印行為是沒有對應的原始文檔的�����,比如ERP等應用程序中的直接打印����,這時就需要一些不依賴于打印文檔格式的產品的支持���,而直接記錄打印影像的IP-guard就是其中之一���。
9.應用程序管理
許多企業都存在工作時間炒股、玩游戲����、聊天�����、BT下載等現象,從辦公效果上說���,這種狀況會降低企業的工作效率,因為工作時間分配與企業網絡流量分配不合理��。而更可怕是���,濫用網絡與系統資源還可能將暗藏于互聯網的安全隱患帶入企業網絡內�����,威脅系統安全。
對于這種情況����,企業可以直接將不符合規定的應用程序禁止���。當然有些程序如QQ�,可能是公司與外部即時溝通的必要工具����,因此不得不開放權限,但是又擔心有人利用這些通道做一些與工作無關甚至危害企業信息安全的事情。這種情況下首先可以嚴格管理使用這些程序的終端�,其次對進行詳細的操作審計����,記錄通信內容��,通信時間等信息���,一方面從心理上產生一定的威懾力�,一方面當出現問題時可以隨時進行查詢��。
10.網頁瀏覽管理
目前利用瀏覽器進行計算機攻擊的行為大大增加����,人們在享受豐富的網絡大餐時��,也面臨著大量的安全風險��。病毒、木馬、蠕蟲�����、釣魚網站······不經意間計算機就可能成為病毒的宿主�����,雖然有防火墻、防病毒軟件��,但還是無法遏制病毒的叫囂與入侵��。
對于企業而言����,其往往只是在局域網邊界部署防火墻等安全設備��,但是內部的安全部署卻空空然���,病毒一旦進入企業內部��,則可以肆無忌憚。事實上企業可能對來自外部的襲擊進行很好地防備�,然而對內部人員主動外聯的行為缺乏管控�����。為了對企業內部人員的上網行為進行規范�����,應該對訪問的網站進行分類與限制,最大程度過濾掉不健康的網站,凈化企業的上網環境。
另外對不同的用戶可以設置不同的管控策略,比如企業為防止員工上班時間訪問股票類網站而設置禁止策略,但是對于因工作原因需要臨時查看與股票相關信息的同事����,則可靈活授予其訪問權限���。
由以上分析可以看出���,基礎性的系統安全管理,桌面及上網行為管理依舊是眾多企業的選擇����。結合最受客戶歡迎的十大信息防泄漏功能上篇所談到的內容����,可以說明���,由操作審計����、權限管控及文檔加密組成的整體信息防泄漏方案已經得到了多數企業的認可?��?梢韵胂螅磥黼S著新技術的發展����,企業將要面臨的網絡環境會越來越復雜�,信息防泄漏只有整合各種防御技術���,才能全面保護自己的信息資產安全����,為企業的發展保駕護航。
該文章在 2012/3/22 8:26:09 編輯過
400 186 1886
