數(shù)據(jù)泄漏一直是企業(yè)IT團隊難以解決的問題,越來越多的企業(yè)開始考慮購進設(shè)備進行防御�����,不過雖然惡意用戶是企業(yè)IT團隊的主要關(guān)注對象����,但員工有時粗心大意也讓IT團隊很頭疼。最近很多數(shù)據(jù)泄漏都源自于簡單的人為錯誤���,這意味著數(shù)據(jù)訪問權(quán)限控制在保護企業(yè)重要信息方面發(fā)揮著關(guān)鍵作用�����。
例如�,今年早些時候�����,谷歌公司就指責因為人為錯誤而導(dǎo)致該公司遭遇嚴重數(shù)據(jù)泄漏事故����。投資于谷歌搜索服務(wù)的一位谷歌客戶發(fā)現(xiàn)他們需要的信息,人們在點擊前使用的搜索條件和其他相關(guān)數(shù)據(jù)都被發(fā)往第三方�。這并不存在什么惡意攻擊行為,谷歌表示只是因為某員工簡單地將來自一個模版的信息復(fù)制和粘貼到錯誤的模版上所造成的�。
但這個解釋對于已經(jīng)造成的損失無濟于事。如果信息被發(fā)送給競爭對手����,谷歌的客戶將會被置身于嚴重的戰(zhàn)略劣勢,可能會斷絕與該搜索巨頭的業(yè)務(wù)往來��,畢竟數(shù)據(jù)泄漏可能會嚴重后果��。企業(yè)機密文件可能在幾次簡單點擊后就會傳遍整個世界����,因此對于企業(yè)來說,當務(wù)之急應(yīng)該是確保他們的敏感信息免受惡意用戶和自己員工的疏忽的危害����。
Sterling-Hoffman公司的數(shù)據(jù)安全策略
Sterling-Hoffman公司的數(shù)據(jù)安全策略的中心思想是,任何允許員工在視覺上再現(xiàn)文件的方法都應(yīng)該被禁止��。不管是從屏幕上復(fù)制信息到另一個文件夾或者使用拍照手機捕捉信息照片��,一旦惡意入侵者獲取屏幕上的數(shù)據(jù)���,將一發(fā)不可收拾��。盡管如此�,企業(yè)不能強迫執(zhí)行數(shù)據(jù)保護政策,因為這可能會導(dǎo)致對生產(chǎn)力的負面影響����,使他們失去競爭優(yōu)勢。這也是為什么我們部署全面數(shù)據(jù)安全政策保護信息源以及位于主要通訊渠道的信息以防止泄漏的原因���。
企業(yè)訪問權(quán)限管理
數(shù)據(jù)安全戰(zhàn)略的第一個要素就是強行使用企業(yè)訪問權(quán)限管理(ERM)解決方案�����。ERM允許Sterling-Hoffman公司來執(zhí)行自動化過程��,當任何時候創(chuàng)建文件時��,都會自動應(yīng)用訪問權(quán)限和使用用法控制���。雖然對每個文件進行加密可能會有點繁重,客戶的隱私是企業(yè)業(yè)務(wù)的重點�����。對企業(yè)來說��,從安全考慮來看���,必須確保敏感文件的安全��。
.與很多企業(yè)一樣����,Sterling-Hoffman公司在整個世界范圍內(nèi)經(jīng)營業(yè)務(wù)��,我們必須確保自動化加密戰(zhàn)略能在世界各地辦事處都發(fā)揮作用����。企業(yè)訪問權(quán)限管理提供了對從企業(yè)IT基礎(chǔ)設(shè)施發(fā)往任何第三方的數(shù)據(jù)的可執(zhí)行訪問與使用控制,境外辦事處和業(yè)務(wù)伙伴是主要數(shù)據(jù)泄漏漏洞的來源����,因為很多國家沒有像美國一樣關(guān)于業(yè)務(wù)和數(shù)據(jù)安全法律。
由于不可能監(jiān)控海外合作伙伴如何處理我們提供給他們的信息����,企業(yè)訪問權(quán)限管理可以限制用戶如何使用數(shù)據(jù)(例如,禁止敏感文件被打印或者復(fù)制/粘貼)�,這為我們提供了除了純粹訪問控制外額外的安全保障����。
企業(yè)訪問權(quán)限管理案例
在我們部署企業(yè)訪問權(quán)限管理之前��,一名應(yīng)聘者拿著我們內(nèi)部培訓(xùn)文件(這是公司高度機密文件)表示����,他從我們的海外業(yè)務(wù)往來公司收到這份文件。
這對于非常重視數(shù)據(jù)安全的Sterling-Hoffman公司而言�,無疑是非常大的打擊,這讓我們意識到不能夠與海外或者合作伙伴共享任何信息���,除非我們能夠從信息水平保護數(shù)據(jù)安全����。不久后�,我們才開始使用企業(yè)訪問權(quán)限管理。
企業(yè)訪問權(quán)限管理還可以幫助我們解決來自第三方的挑戰(zhàn)��,主要通過為敏感信息設(shè)置過期訪問時間���。這可以讓我們與合作伙伴��、外包商以及員工在有限時間內(nèi)共享信息�����,并且只有在特定時間內(nèi)獲取IT人員的允許�,才能夠查看信息�����。之前的合作伙伴和員工將無法訪問或者共享數(shù)據(jù)�����,這是個很好的保障措施����。
規(guī)范電子通信的使用
我們部署的數(shù)據(jù)保護策略的第二個要素就是對電子通信通道進行規(guī)范,包括電子郵件和即時通信(IM)�����。對于后者這個電子通信方式�����,我們使用了賽門鐵克的IM即時通信管理器來抵御與即時通信相關(guān)的數(shù)據(jù)泄漏。該解決方案要求我們的員工申請即時通信特權(quán)����,并且當他們想要添加一個聯(lián)系人到通訊錄時需要通過申請程序。這能夠幫助我們僅對需要使用即時通信用于工作需要的人提供實時通信工具��。
開源即時通信應(yīng)用程序可能成為主要的數(shù)據(jù)漏洞���,因為新版本能夠使用戶傳輸文件給其他人而不需要通過企業(yè)虛擬網(wǎng)或者防火墻����。即時通信管理器為我們提供了安全保障��,使我們能夠解決這個新型的企業(yè)挑戰(zhàn)�����。
電子郵件通常都是非常難以管理的平臺��,因為公司非常依賴于電子郵件����。任何咄咄逼人的政策都可能對生產(chǎn)效率造成嚴重影響,所以我們根據(jù)兩個基本常識來確定我們的電子郵件政策���,以下就是兩個基本要素:
第一:我們通過某種文件格式(例如會計使用Excel)來鑒定某種工作組�,并且防止用戶以他們工作組以外的格式發(fā)送信息。我們還對這個規(guī)則進行了更詳細的調(diào)整���,將電子郵件信息內(nèi)保護的某種類型的信息也劃入鑒定工作組的條件��。例如�,市場營銷人員的電子郵件如何保護社會安全號碼或者其他個人識別信息的話��,電子郵件將會被禁用�����。
第二:我們還禁止了電子郵件字符串包含多個RE:前綴�����,這種類型的信息通常都與惡意行為有關(guān)����,所以我們寧愿選擇禁止�����。
在經(jīng)濟不景氣和大幅度裁員之后,薄弱的數(shù)據(jù)安全給企業(yè)生存能力和產(chǎn)業(yè)競爭力帶來永久性的傷害���。市場領(lǐng)導(dǎo)人與非領(lǐng)導(dǎo)人的區(qū)別微乎其微��,因此企業(yè)必須能夠控制誰擁有訪問敏感信息的權(quán)限�。從信息水平保護信息的全面安全方法能夠保證企業(yè)的生產(chǎn)效率同時確保企業(yè)敏感信息安全性��。