网上信息保密从管理“人”开始

这段日子,中关村一家IT公司的工程师小杨郁闷得够呛:他在博客中无意透漏了公司的最新技术及研发成果,被竞争对手知悉,给公司造成了严重的经济损失。虽然公司并不知道此事是小杨所为,但小杨自己心里却挺难受的。一时兴起随意记几笔工作状况,咋就给公司带来这么大影响呢?!

事实上,小杨事件具有一定的普遍性。统计显示,我国目前处于泄密高发时期,互联网泄密案件数已占泄密案发总数的70%以上,并呈逐年增长趋势。无论是小杨事件,还是EMC"邮件门"事件、深圳产妇信息泄露事件,都说明互联网已成泄密重灾区和主要通道。人在互联网上通过有意或无意的行为都有可能泄露企业/机构赖以生存的机密信息。因此,我国实施已20年的《保守国家秘密法》也将进行重要修改。将加强对涉密机关、单位和涉密人员的保密管理。
安全对"事"更对"人"

网康科技服务总监陆继周认为,保密工作、尤其是互联网渠道的信息保密,首先要从管理"人"开始。他指出,目前互联网信息泄密的典型途径主要有以下三种:

首先,可以从"硬件"上面找原因。我们很容易想到几种典型的信息安全泄露途径:软硬件故障、病毒与黑客入侵等等。再有,就是企业防火墙失效以致安全设置形同虚设,或者黑客利用企业安全漏洞访问企业内部网络或数据资源,进行删除、复制甚至毁坏数据的活动。

但另一方面,企业内部的敏感信息也可能被内部人员非授权泄露或删除。目前,通过外发邮件、BBS、博客等导致内部机密信息泄漏的现象越来越普遍。企业/机构赖以生存的机密信息,很可能会被在职甚至离职员工有意或无意地泄露出去。

陆继周也进一步强调,再严密的防护体系也要依赖于操作、使用它的人,人有意识或无意识的各种行为绝对是安全的重大隐患之一。在硬件等因素完全"过硬"的情况下,信息不可能自行外泄,必然是有人的行为不当导致信息暴露,或有意外泄。当我们部署了完备的安全软硬件,再采取正确的上作行为,就可以把各类威胁带来的危害降至最低;反之,错误、危险的上网行为会让任何安全措施都形同虚设。小杨泄密事件就是一个最简单的例子。

因此,陆继周指出,在安全体系建设过程中,除了要对"事",更要对主体– "人"进行管理和防范。所以,可以肯定的说,要做到有效地保密,保证软硬件安全是必须的,更重要的是对一切行为主体"人"的管理。

上网行为管理难点及现状

陆继周认为,如果要在互联网上加强对人的管理,关注人的行为安全,发现潜在的主体行为隐患,可以从人的网上行为入手。因为互联网行为已经成为了人的第二行为。就像在著名的游戏《第二人生》中那样,任何人的真实行为在互联网中都会有这样或者是那样的体现。比如说,人们想娱乐,就可以去看网络视频、P2P下载电影、聊天;人们想学习,就可以去浏览新闻,等等。
但是,就目前的互联网使用情况来说,对"人"的管理并不能有效实施。主要表现在我们对互联网行为主体"人"的识别并不清晰。以大多数企业的情况为例,员工使用或上传哪些敏感资料,博客、聊天、外发邮件等当中是否包含涉及公司机密或重要资料和信息等,企业都无从知晓,不仅不能有效防范,出现问题时也很难追究到个人。

对此,陆继周解释了主要原因:第一,我们通常采用IP地址来标识个人。在企业内部,当需要观察一个人的上网行为时,只能看到IP地址,无法立即定位到个人。第二,我们均采用地址转换技术IPV4,接入外网时,数据是暂时的,无法保留和记录下来,因此无法将内外部地址连接起来。第三,很多企业没有专门的互联网外发认证体系。因此,互联网出口成为无限制通道,内部主体可以自由访问各种各样的外网,企业对于行为主体人的管控也就无法实现。举个简单的例子,任何外部的人都可以来公司内部上网,这就可能带来相应的安全隐患,比如病毒传播、蔓延甚至是关键信息外泄等。

正因为如此,数据丢失保护(DLP)这个概念越来越热。现在,很多企业、机构已经意识到了核心信息的价值。但是,如果网络中外发的文字没有记录,文件传送、下载等都没有记录,就根本无法"阻断",由此将带来法律风险和核心信息外泄。很多人通过外发邮件、BBS发帖、博客记录,就有可能无意识地把公司的核心机密以及最新动向泄露出去。因此,DLP在互联网管理中也越来越重要。

掌控网络行为之道

如何管理"人",实现网上信息保密呢?陆继周结合自身多年从业经验,为我们提供了相关建议。他介绍说,目前市场上有种上网行为管理产品,可以实现对互联网主体及行为的全面管理。该产品主要部署在互联网出口处,可以帮助企业对内部员工的上网行为进行控制和管理,解决因接入互联网而引发的网页访问不合规(例如,上班时间访问低俗类网站)、网络应用不合规(例如,上班时间观看网络视频)、带宽资源滥用(例如,上班时间P2P下载电影)、内容审计不完全(例如,博客泄密)等问题,从而帮助企业提升工作效率、优化带宽使用、加强信息安全、降低安全威胁、规避法律风险、保护IT投资。

以网康科技上网行为管理产品为例,它可以实现对互联网行为主体"人"的全面管理。具体体现在以下三个方面:

第一,系统不是采用IP地址标识个人的方法,而是对上网主体实行实名制管理。这样做的好处是显而易见的,一方面从技术上保障了责任定位到人,使所有外发言论有史可查,有据可依;另一方面,有了技术和体制上的管理,也能对内部用户的上网行为产生一定的威慑,使其在互联网访问及言论发表过程中注意自己行为的后果,减少不当言行,最终养成健康文明的上网习惯。

第二,通过用户监控、行为监控、带宽监控、运行监控、攻击监控等系统,企业的网络管理人员能够"洞悉"企业在互联网使用过程中存在的问题和隐患。同时,通过网页过滤、应用控制、内容审计、带宽管理、行为分析等全方位措施,企业可以系统地"管控"公司内部员工的上网行为。

就拿小杨事件来说,如果小杨的企业部署了网康上网行为管理系统,并对外发言论(包括BBS、论坛发贴,博客发文)实现全方位的内容记录,同时对敏感关键字(例如,违反法律、泄露机密)作相应的阻塞及警告,从而在问题出现时能够及时定位,责任到人,在一定程度上杜绝法律纠纷。

第三,通过对用户行为进行追溯查询和综合分析,企业用户可以不断优化管理策略,有助于企业、机构管理者对整个企业网络进行全方位的"驾驭",预知风险并事先防范,有效防范机密信息有意识和无意识的外泄,保护企业、机构的安全和利益,最终提升工作效率、优化带宽使用、降低安全威胁、保障核心业务。