保護用戶和其他重要資料不被惡意竊取���、破壞���,是當前商界和IT安全業界所面臨的最大挑戰之一����。就這個問題而言����,企業的CIO和CSO們務必確保企業的日常業務運營����、合作需求����、用戶和競爭需要等處于正常運作的前提下���,重要信息的安全性����。
Websense的技術專家曾經指出:“企業的機密信息防護必須從網絡端和終端雙方面入手���,并有效阻止意外泄露和惡意竊取���。企業的網絡資源管理人員必須清楚獲知機密數據在網絡中的精確位置����。監測這些數據����、信息的使用者狀況���,并有力保護數據的不被竊取����、流失和破壞����,幫助企業保護財產���、控制風險���。”
信息泄露主要存在文件轉移���、網絡����、即時通訊���、P2P���、郵件����、網絡印刷等6種模式����。根據目的和性質不同也可分為惡意竊取����、病毒和惡意軟件的破壞���、內部人員的不經意流失等三種情況���。
Websense CIOJim Haskin表示:我們每天都會聽到因信息泄露而給企業帶來損失的事件發生���,這些企業涵蓋了從零售業到政府的各行各業���。盡管信息防護是企業CIO的主要責任���,但關于信息防護本身����,還存在著非常多的誤解���。我們將會在本文中介紹這些誤區的具體表現����,告知企業信息泄露的具體途徑和信息泄露防護解決方案的重要組成模塊���。
誤解一:信息泄漏預防是安全管理員的事
保障公司不受外來威脅的侵擾被公認是安全管理員的職責所在���,但確保公司的信息不被外泄卻需要一個更大范圍的協作���。如今���,保護企業敏感信息不被外泄是包括從IT部門到律政署���、董事會等所有人員的共同責任���。
誤解二:阻止即時通訊���、電子郵件以及外部存儲設備的使用���,就不必擔心資料外泄
控制即時通訊����,電子郵箱和外部存儲設備的使用可能會增加基本數據的安全性���,但我們如今處于一個高速發展的互聯網世界����,嚴格限制信息流通將導致正常的業務流程被阻斷���,最終將制約公司的成長���。充分有效的信息泄露防護需要確保公司信息的安全得到保障����,同時不破壞它的正常使用���。信息的管理需要取得平衡���,最佳方案就是:建立信息泄漏預防政策的同時���,開放即時通訊軟件和網絡的使用����,利用越來越強大的技術如端點安全和加密技術����、信息泄漏防護技術����,使員工����、企業的業務和信息安全都得到有力的保障���。
誤解三:企業很清楚數據在什么位置
大部分企業并沒有沒有很好地處理的數據信息���,無論是文件服務器還是公司的筆記本電腦����。清楚了解誰能夠訪問數據和數據流進流出的途徑是至關重要的����。不僅如此����,企業的CIO需要清晰的界定核心機密信息所在的位置���、傳播的途徑和互聯網使用策略����,并能夠及時更新互聯網使用策略����。
誤解四:企業應該主要保護數據不被竊取和惡意破壞
惡意的數據泄漏和竊取防護工作固然重要���,但大多數的機密數據泄露都不是由惡意破壞或竊取所導致的?���,F有業務流程和網絡使用過程中的失誤����、偏差����,以及員工和服務器代理商的疏忽都可以導致機密信息的泄露����。
根據Forrester Research的統計資料顯示���,百分之七十以上的數據泄露都是無意的���。電子郵件發送的不慎很有可能將公司的機密信息泄露給外界����。企業必須制定一套有效的信息泄漏預防解決方案���,來著眼于無意的數據丟失所導致的日常風險���。
誤解五:員工很清楚哪些資料不能外泄
大多數的員工會在無意間將企業的重要資料泄露����,他們并不了解他們公司的策略����。員工經常不清楚為什么在外出差或者在家中通過Web郵箱會帶來很大的風險���,以及為什么需要繁瑣的密碼保護程序���。
在當前這樣一個越來越流動的工作環境中���,員工培訓是非常重要的���。很有效的做法是���,給員工進行相關培訓���,告知他們哪些資料���,可在什么地方獲取以及如何使用���。第二步即是利用信息泄漏防護技術���,以自動加強對員工的繼續教育和策略的執行���。
來源:來自論壇 作者:中國信息安全
