【IT專家網(wǎng) 安全頻道】央視315晚會曝光的招商����、工商等多家銀行內(nèi)鬼泄露網(wǎng)銀信息�,導(dǎo)致網(wǎng)銀用戶隱私泄露�����,被盜超過23萬元的事件�,很多人記憶猶新����。事實上,敏感的金融行業(yè)監(jiān)管還算嚴(yán)格�,但仍然出現(xiàn)問題�,一般企業(yè)則更需警惕�����。而且�����,隨著企業(yè)信息化程度的提高,企業(yè)90%的數(shù)據(jù)以電子數(shù)據(jù)形式存在��,通過信息系統(tǒng)或網(wǎng)絡(luò)來完成的工作流程也越來越多�����,這對企業(yè)數(shù)據(jù)的泄露提供了更多的機會。眾所周知�����,當(dāng)下信息的掌握程度影響著商業(yè)天平的平衡����,企業(yè)數(shù)據(jù)萬一被泄露,對企業(yè)將可能造成致命的影響�。
為防范數(shù)據(jù)不翼而飛這樣的狀況發(fā)生�����,保護企業(yè)正當(dāng)?shù)纳虡I(yè)機密和利益�����,企業(yè)有必要了解當(dāng)前數(shù)據(jù)泄露的途徑,從而才能提高認(rèn)識����,有針對性的杜絕數(shù)據(jù)泄露的威脅���,將企業(yè)數(shù)據(jù)安全風(fēng)險降到低���。那么�,數(shù)據(jù)泄露的可能途徑都有哪些�����?新技術(shù)的使用對數(shù)據(jù)安全提出什么挑戰(zhàn)��?企業(yè)應(yīng)當(dāng)采取哪些措施來保護自己的數(shù)據(jù)安全�?
李兆豐總結(jié)了企業(yè)數(shù)據(jù)安全的泄露的五個主要途徑,以及云計算技術(shù)、移動互聯(lián)網(wǎng)的使用、社交網(wǎng)絡(luò)的發(fā)達帶來的一些挑戰(zhàn),并提出了自己的對策建議�,指出應(yīng)當(dāng)通過文檔加密和授權(quán)防護控制這樣的技術(shù)構(gòu)建立體的信息安全防護體系�。
企業(yè)數(shù)據(jù)泄密的五個主要途徑
通過自身的感受���,以及與用戶的交流��,李兆豐歸納了企業(yè)數(shù)據(jù)安全的泄露的五個主要途徑:
一點�,我們知道外來襲擊還有木馬現(xiàn)在是比較猖獗的��,對企業(yè)內(nèi)部而言�,比如我們服務(wù)器被入侵�,我們用戶電腦被木馬所控制,都可能造成數(shù)據(jù)的泄密。
二種場景,是我們內(nèi)部的員工���,對互聯(lián)網(wǎng),對電子郵件的違規(guī)使用導(dǎo)致的數(shù)據(jù)安全問題,比如說我們的員工將一些機密的信息放到了網(wǎng)盤里面��,放到了郵件系統(tǒng)����,發(fā)布到自己的個人空間,當(dāng)然我這里提到的是機密的信息,這樣有一個區(qū)別���,這樣是違規(guī)的一個使用。
三點,有些系統(tǒng)在建設(shè)的時候沒有按照一定的安全設(shè)計的原則去做,比如說他的運維人員���,他的管理員甚至可以去查看用戶的一些信息,這樣會導(dǎo)致運維人員會竊取企業(yè)內(nèi)部的數(shù)據(jù)。
四點�,是電腦硬盤這樣的一些設(shè)備���,我們在丟失或者送去維修的過程中�,可能會導(dǎo)致數(shù)據(jù)泄密���。
李兆豐特別強調(diào)一點�,就是內(nèi)部員工主動泄密,即“家賊”。主動泄密又分為兩種情況:第一種就是惡意地泄密����,這一般是和商業(yè)的行為結(jié)合在一起的;第二就是非惡意地泄密,比如他把一篇文檔發(fā)到了百度文庫����,并不是想獲得商業(yè)回報�,但是無形中損害了企業(yè)的利益�。
李兆豐表示,用戶反饋的這些諸多問題�,對企業(yè)下一步信息安全的防護也提出了更多的要求�。
熱點技術(shù)帶來的新挑戰(zhàn)
兩化融合的深化���,云計算的普及���,物聯(lián)網(wǎng)和移動終端的應(yīng)用�����,都是我們耳熟能詳?shù)内厔?���。李兆豐認(rèn)為,從技術(shù)的發(fā)展來看�,這些熱點技術(shù)對企業(yè)信息安全提出的越來越多的新的挑戰(zhàn)�。
首先�����,由于信息化發(fā)展��,越來越多的企業(yè)內(nèi)部的資料都會以電子的形式去存放,現(xiàn)在有一個數(shù)字,說在企業(yè)里面�,90%的以上的數(shù)據(jù)都是電子的數(shù)據(jù)�,我們知道電子文檔是易于擴散的���,所以信息化的發(fā)展對電子文檔安全保護的需求會越來越強烈�����。
其次,整個計算機的行業(yè)會有一個集中化的一個趨勢��,比如我們很多東西都去集中��,比如說我們搜索引擎是把分散的數(shù)據(jù)發(fā)在一起然后產(chǎn)生新的價值����。很多企業(yè)內(nèi)部數(shù)據(jù)也是這樣�����,比如說檔案以前是分散的����,現(xiàn)在集中起來做這種統(tǒng)一的搜索�,那么集中化了的數(shù)據(jù)之后,一旦發(fā)生泄密造成影響的程度會越來越大�,風(fēng)險也越來越大�����。
第三點就是移動互聯(lián)網(wǎng)。移動終端的使用越來越多����,企業(yè)內(nèi)部無線網(wǎng)絡(luò)的建設(shè)越來越多���,越來越方便�����,也更容易產(chǎn)生泄密的風(fēng)險����,這是移動終端帶來的一種挑戰(zhàn)。
就是隨著現(xiàn)在社交的網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)信息傳播的速度越來越快�,也就是說一旦我們的信息在發(fā)生泄密之后����,它是以非?���?斓乃俣葌鞑コ鋈ィ斐傻挠绊懞头秶脖仍瓉泶蟮亩唷?/span>
管理和技術(shù)防范
李兆豐認(rèn)為�����,企業(yè)如果想去防范上述的一些安全問題����,管理上的防范和技術(shù)上的防范要兩手抓。
首先����,從管理上來講�����,企業(yè)應(yīng)該加強內(nèi)部文檔保護的意識;第二�,要建立機密文檔��、數(shù)據(jù)這樣的一些安全管理的使用的一些辦法���,例如�,機密的文檔��,在使用的時候不允許發(fā)布到自己的網(wǎng)盤,不允許帶到家里邊去,它應(yīng)該有一套流程的管理;第三點����,建立一些審計監(jiān)督檢查的機制����,來強化大家保護的意識��,這是管理上企業(yè)應(yīng)當(dāng)注意的一點�����。
從技術(shù)上而言,李兆豐認(rèn)為,企業(yè)可以采用一些產(chǎn)品,比如說建立電子文檔安全管理的平臺���,主要就是有三個功能,第一要把文檔加密;第二,在加密的基礎(chǔ)上去做授權(quán)的防護控制�,比如說什么人可以對這個文檔做什么操作��,這是可以去做控制的;第三,加強事后的審計,什么人在什么時間干了什么事情����,用戶的這樣一些行為����,我們企業(yè)內(nèi)部可以去審計的�����,這是技術(shù)上一些具體的措施��。
從保護的內(nèi)容、對象來看,李兆豐歸納三點企業(yè)要保護的����,是易用系統(tǒng)里邊,比如說我們生產(chǎn)的系統(tǒng)��,我們的OA���,我們知識庫里邊���,這樣的一些文檔��、數(shù)據(jù);第二點���,要保護的員工電腦終端的數(shù)據(jù)安全�,有些公司的資料啊����,包括他自己一些私密的東西都可以在保護的范疇;第三點,我們要做用戶在這些文檔資料共享的過程中的一個保護�,比如發(fā)郵件的過程中���,發(fā)給對方��,在郵件服務(wù)器上,這樣可能就會被別人看到了��。這樣�,從這三個方面入手建立一種立體的防護的機制。
李兆豐還指出�,目前市面上已有成熟的產(chǎn)品可供企業(yè)選擇���,實現(xiàn)安全與易用性的平衡����,并且易于部署,不會因為人才的缺乏而不能發(fā)揮作用�。
作者:周鉅翔出處:IT專家網(wǎng)
