近年来,泄密案件日益成为企业管理者的梦魇。各种数据泄露事件越演越烈,不仅给企业带来严重的直接经济损失,而且在品牌价值、投资人关系、社会公众形象等多方面造成损害。因此,企业在加强信息安全管理的基础上,必须采用先进的数据泄露防护(DLP)体系防止泄密。
一、泄密是如何发生的?
泄密的情况是多种多样的,不该将所有的泄密都混为一谈。分析泄密的产生原因是很有必要的,这对于如何防止泄密有直接的关系。
在国外,由于粗心大意而误使机密泄露的情况往往比较多。在中国,首先要考虑的是来自内部人员的问题。愤青们也许会认为笔者是在恶意诋毁国内人士的素质,但其实不是。泄密并不是一个道德问题,而是实实在在的利益问题。由于法律监管效果不足,社会信用体系的缺失,使得内部泄密者很容易逃脱法律的制裁,所以很多内部人员出于牟利的动机,私自盗窃企业核心机密兜售与其他企业,甚至是竞争对手。在离职的时候,员工也往往将企业的核心机密拷贝带走,以作为下一步工作的重要基础。因此国内企业要防范的重点是内部泄密。
从总体上看,基本上可以分为来自内部和外部两大类。泄密的原因有内部泄密、内部失密和外部窃密。细分起来,应该有以下七种情况:
1.内部人员离职拷贝带走资料泄密
这类情况发生概率最高。据调查,中国企业员工离职拷贝资料达到70%以上。在离职的时候,研发人员带走研发成果,销售人员带走企业客户资料,甚至是财务人员也会把企业的核心财务信息拷贝带走。
2.内部人员无意泄密和恶意泄密
企业内部人员在上网时候不小心中了病毒或木马,电脑上存储的重要资料被流失的情况也非常多。由于病毒和木马泛滥,使得企业泄密的风险越来越大。而部分不良员工明知是企业机密信息,还通过QQ、MSN、邮件、博客或者是其他网络形式,把信息发到企业外部,这种有针对性的泄密行为,导致的危害也相当严重。
3.外部竞争对手窃密
竞争对手采用收买方式,买通企业内部人员,让内部人员把重要信息发送竞争方,从而窃取机密的情况也非常多。这种方式直接损害了企业的核心资产,给企业带来致命的打击。
4.黑客和间谍窃密
目前国际国内许多黑客和间谍,通过层出不穷的技术手段,窃取国内各种重要信息,已经成为中国信息安全的巨大威胁。虽然许多企业都部署了防火墙、杀毒软件、入侵检测等系统,但是对于高智商的犯罪人员来说,这些防御措施往往形同虚设。
5.内部文档权限失控失密
在单位内部,往往机密信息会分为秘密、机密和绝密等不同的涉密等级。一般来说,根据人员在单位中的地位和部门的不同,其所接触和知悉的信息也是不同。然而,当前多数单位的涉密信息的权限划分是相当粗放的,导致不具备相应密级的人员获知了高密级信息。
6.存储设备丢失和维修失密
移动存储设备例如笔记本电脑、移动硬盘、手机存储卡、数码照相/摄录机等,一旦遗失、维修或者报废后,其存储数据往往暴露无遗。随着移动存储设备的广泛使用,家庭办公兴起,出差人员的大量事务处理等等都会不可避免地使用移动存储设备。因此,移动存储设备丢失和维修导致泄密也是当前泄密事件发生的主要原因之一。
7.对外信息发布失控失密
在两个或者多个合作单位之间,由于信息交互的频繁发生,涉密信息也可能泄露,导致合作方不具备权限的人员获得涉密信息。甚至是涉密信息流至处于竞争关系的第三方。因此,对于往外部发送的涉密信息,必须加以管控,防止外发信息失控而导致失密。
二、防止数据泄露的基本思路
根据以上分析,企业可以根据自身情况,有针对性地采取措施,做到有的放矢,彻底防至于泄密事件发生。因此,防止数据泄露主要考虑以下三个重要方面:
1.从源头上确保数据安全,对核心数据加密
通过加密来确保数据安全,已经成为多数信息安全专家的共识。不论是防火墙、杀毒软件、入侵检测这“老三样”信息安全系统,还是新兴的上网行为管理、防水墙等系统,都已经在实践中证明是无法防止泄密的。不论企业网络的各种端口管控如何严密,由于数据本身并没有做安全处理,都给留下了极大的泄密隐患。再高明的上网行为控制,都无法阻止内部人员直接把硬盘卸下来,挂到另外的电脑上去拷贝数据。
采用加密手段,对数据进行加密保护,已经成为业界主要的做法。北京亿赛通是中国最早从事加密软件研发的信息安全企业,从2003年开始已经在国内首倡加密保护数据安全的理念。在亿赛通的带领下,中国涌现出一大批加密软件企业。加密保护数据安全这一理念也得到国际跨国公司如赛门铁克、麦咖啡和趋势科技等公司的认同。这些跨国公司也逐渐开始用加密技术,或者收购加密软件公司,来弥补DLP产品的根本性缺陷。
2.从数据产生、存储、使用、修改、流转和销毁的全生命周期防止泄密
虽然我们确定要对数据进行加密,但是如何对数据进行加密却是一个巨大的问题。而且,由于要不断地被使用和修改,必须采用不影响工作效率的加密技术,确保信息安全与工作效率之间的均衡。
由于企业数据环境复杂,数据不仅仅保存在数据库,还流转和存储在网络平台、应用系统、移动存储设备和终端等等物理环境。企业信息系统在运行过程中,数据一般都会在服务器、终端、网络、业务系统等物理环境上产生、存储、使用、修改、流转和销毁。而不同的物理环境中,数据的状态也是不同的。因此,因此采用加密手段,要分别针对不同的信息环境来进行。
3.对特别容易发生泄密的情形,要采用加强型防泄密措施
首先要提到的是服务器和数据库。服务器和数据库往往存储企业最核心的信息,是必须加强保护的重点。综合市场上各种数据库和服务器加密的系统,笔者认为宇龙通信、广发证券和中信证券等公司采用的FileNetSec是目前最先进的。FileNetSec对所有进出于服务器(数据库)的数据和文档,进行全面的动态加密保护,有效地避免了内部和外部人员对服务器数据的窃取和泄露,产品功能和性能经过了多权威机构的高度赞评,在全球信息安全领域开创了一条崭新的服务器数据保护之路。
笔记本电脑也往往是数据泄密的重灾区。已经有不计其数的人因为笔记本电脑丢失、维修和报废后导致的数据泄露,闹得声败名裂。笔者综合各种笔记本电脑数据保护措施,认为DiskSec是中国市场上最好的一款产品。
移动存储设备(U盘、移动硬盘、MP3/MP4、录音笔、摄录机、数码相机、手机等)也往往是数据泄密的祸根。针对移动存储设备的防范措施比较多,此处不赘述。
三、当前最先进的数据泄露防护(DLP)体系是什么?
综上所述,企业要分清企业自身的情况,清楚地了解企业可能导致泄密的各种环节,有针对性地选择防泄密的措施,从而采用对应的防泄密解决方案。
北京亿赛通根据多年的加密领域经验,创造性地提出“数据泄露防护(DLP)分域安全理论”,把企业环境分为终端、端口、磁盘、服务器和局域网五大安全域,并以笔记本电脑、移动存储设备、数据库为安全域特例,针对各个安全域及特例实施相应安全策略,形成终端文档加解密、端口管理、全磁盘加密、文档安全网关、安全U盘、安全移动硬盘等一系列DLP产品,在确保网络各个节点数据安全的基础上,构建整体一致的立体化DLP解决方案。
国内有一部分企业在移动存储设备的数据安全方面做得也很不错,但是移动存储设备只是企业数据存储的一个环节,单保护移动存储设备还是不够的。
国外信息安全厂商虽然有庞大的DLP系统,但从实际应用上看,对于防止内部泄密基本上没有效果,只是一个价格高昂的摆设。