近半年,我参与到公司内部的信息防泄漏项目中,虽磕磕绊绊,但一路走来也学习到不少东西,跟在座各位分享一下。
先介绍下我的情况,我就职于广州某物流公司IT部,是一名普通的网络工程师。就在今年初,公司发生了一起泄密事件 :
不知道谁拿到了全体职工的工资表,竟然以匿名邮件的形式发给公司里每个人,公司内部震动很大,一些不满薪金制度的员工还递上了辞呈。老总勃然大怒,把我们的头儿叫过去批了一顿,说我们部门没有做好信息防泄工作。
说实话,安全这东西,首先得老板重视,如果老板不重视,我们提也是白搭。之前我们也提过要搞内部信息防泄漏建设,但预算一直没批下来,现在出了事儿,责任就是我们背。老板发话下来,说一定要好好管管邮件发送,决不让信息泄漏出去,财务部、物流中心的数据要进行重点保护。
病急乱用药
“军令如山倒”,经过半个月匆忙的试用,我们购买了一个邮件管控的软件,不允许公司内部含有例如财务、价格等关键字的文件发送,把发送附件的大小限制在10M以内。同时,为了不让泄密事件发生第二次,我们还增购了目前很热门的透明加密软件,把财务部、物流中心共40台PC上常用的Excel、Word文档都加了密,心想这下应该不用担心加密文档被传输出去了吧。
谁知道,更多的问题涌现出来。
问题1:维护特别麻烦。
话说刚上这两个软件,技术操作上大家都不是特别熟悉。销售部的同事接二连三地抱怨含有关键字或超过10M的邮件发不出去给客户,影响了工作业务;财务部、物流中心的几个主任也要开放解密权限……我每天都要在不同的操控制台上来回切换设置权限,应接不暇。
并且,每天下午三点成为了我的恐慌时间,头儿要我们查看邮件以及加密文档的操作日志,即意味着我们要登陆两个操作台查看数千次日志记录,忙得我们不可开交。
问题2:软件偶有冲突。
同时安装两个软件,说实话,我心里比较没底。因为这些管理软件一般都会注入自己的模块到计算机上运行的其它程序中,因此,操作可能产生冲突。果不其然,物流中心不时要我们帮他们解决邮件崩溃、蓝屏等问题。
部门总结会上,头儿说老板又提出新的需求,希望能够掌握内部PC的详细操作。我把遇到的问题提了出来,同时坚决反对再安装第三个日志审计产品,因为一旦装上了,不仅维护困难,还可能影响到正常的业务操作,这可是安全建设的大忌。
重诊病情
之后,我们对同类产品做了一个重新对比,了解到溢信科技这个企业,细查之下才发现溢信还是最早进入到内网领域的企业。于是头儿联系了溢信科技,他们派了技术专家过来进行了考察。专家给了我们一些意见,在此我做了一个总结:
1、信息防泄漏切忌“头痛医头,脚痛医脚”。
溢信的专家说,我们目前的做法是典型的“头痛医头,脚痛医脚”,哪里出现问题就用哪种产品来解决,没有一个统一的规划。这一点我比较同意,确实在防泄漏这个项目里,因为老板的任务比较紧急,没有很好的规划,后期就出现了如新需求无法满足、技术操作困难、人手不够用等情况。
专家建议,在做信息防泄漏建设之前,我们要有一个明确的安全目标,哪些部门需要达到怎样的安全程度,再根据不同的安全程度,部署力度有所偏重,对重点部门进行重点防护;同时要站在全局的角度,整合运用例如审计、管控、加密等多种功能,在内部构建起完善的防泄密体系。这样的话,即使老板又出现新的需求,只要加强需求的部分即可。
2、最好选择能够提供全面解决方案的单一产品。
目前,应用市场细分得很厉害,安全市场也是如此。如果盲目择挑选多种产品,可能会产生很多预料不到的问题,比如不同控制台的操作困难、软件冲突等问题。选择能够提供整体解决方案的单一产品除了可避免上述情况外,还能为企业节省投入成本,实现投入和安全回报的最优化。
3、购买之前试用测试很重要。
在企业做信息防泄漏建设,大家都明白,领导的认可很重要,但是不能为了博得领导的认可就急于求成,仓促测试之下就大规模部署产品。从目前的情况来看,半个月的试用显然不够发现问题。特别是部署透明加密这种对业务操作要求严格的产品,企业需要搭建足够复杂的测试环境,模拟企业应用实际操作,通过极限测试和压力测试来判断。只有足够的测试确保安全产品的稳定性和安全性,才能在全公司推广。
终得良方
目前,公司已经开始采用IP-guard内网安全管理系统。由于供应商溢信科技的经验足、配合度高,过程挺顺利的,现在实施的效果也还不错:
我们首先评估了内网所存在的风险因素,根据各个部门甚至不同岗位所产生的信息价值的高低,及外泄后对企业的影响力,制定风险值。如财务部、物流中心产生的机密文档,风险系数高;运营中心、研发中心等风险系数次之;管理部、行政部等其他一些部门较低。
在充分评估风险系数的情况下,利用IP-guard信息防泄漏三重保护解决方案,根据涉密轻重不同,按需部署:为了及时发现安全漏洞,抵御安全风险以及为安全事件的追查保留证据,我们对公司内部所有操作行为进行审计;并且,为了规范信息的带出行为,对一些操作行为进行了特殊管控,例如只允许使用公司指定类型的邮件,禁止Web邮件,且所有邮件在发送前必须抄送一份给主管,由主管亲自把关;最后,在安全性要求最高的财务部、物流中心部署了力度很强的透明加密。
总体来看,目前公司内部的信息防泄漏体系算是比较完善,在不影响业务的情况下,邮件等泄密渠道管理的比较到位,机密资料也得到了较强的保护,老板对项目的审计报表也挺满意的,还把报表作为绩效评估的参考之一。另外,通过IP-guard单一的控制台进行操作,也简化了我们日常的操作与管理,降低了系统的资源占用,避免了多种产品堆砌产生的软件冲突等问题。
半年下来,本人可谓获益良多,最大的感触是信息防泄漏项目是一个长期的过程,急不得,所以我们必须花时间挑选一个有经验、有实力的厂商合作,千万不能做安全领域的“白老鼠”,一个有经验丰富供应商可以传递很多经验给我们,给我们提供合适的方案,让我们少走弯路,少摔跤,这对信息防泄漏这种敏感度较高项目来说非常关键;其次好的产品也非常重要,我觉得好的产品就是能满足老板、技术人员等多种角色需求的产品,有实力的厂商提供的产品、服务也比较让人放心;另外,因为信息防泄漏的长期性以及需要实时更新调整,在未来的长期合作中,有实力的厂商也能够给我们提供比较多的技术以及安全建议。