最近，不少單位內(nèi)網(wǎng)數(shù)據(jù)泄漏事件頻繁發(fā)生，它們預(yù)示著單位內(nèi)網(wǎng)在數(shù)據(jù)泄露防護方面的嚴(yán)重不足。在不惜重金全力應(yīng)對外網(wǎng)攻擊而筑起單位外網(wǎng)安全的高墻時，我們有沒有想過單位內(nèi)網(wǎng)一個微不足道的漏洞也能造成整個網(wǎng)絡(luò)安全防線的崩潰？攘外必先安內(nèi)，不然的話一個小疏忽、小漏洞就能讓單位所有的安全防護付諸東流。與病毒木馬、黑客間諜等明確的攻擊相比，內(nèi)網(wǎng)中的數(shù)據(jù)泄露攻擊更有針對性，其危害性也更大。有鑒于此，我們需要對內(nèi)網(wǎng)安全加強防護，讓內(nèi)網(wǎng)遠(yuǎn)離數(shù)據(jù)泄露。

重要數(shù)據(jù)是如何被泄露的

　　目前，病毒木馬、黑客間諜總是在不停制造安全麻煩，同時充分利用各種熱門應(yīng)用和新型技術(shù)，而且他們在攻擊效率方面也是越來越重視，他們的攻擊目標(biāo)也是越來越有針對性，那就是盜取單位內(nèi)網(wǎng)中的重要數(shù)據(jù)。不過，黑客間諜攻擊技術(shù)即便如此強大，為數(shù)據(jù)安全帶來潛在威脅的卻不是黑客間諜，對許多內(nèi)網(wǎng)數(shù)據(jù)泄露事件進行認(rèn)真研究后，或許能看到這樣一個明顯的現(xiàn)象，那就是絕大多數(shù)內(nèi)網(wǎng)數(shù)據(jù)泄露事件應(yīng)該歸咎于單位員工的自身疏忽，他們當(dāng)中可能也有極少一部分為了經(jīng)濟利益而向其他需求方甚至單位的競爭對手提供數(shù)據(jù)；但不可否認(rèn)的是，多數(shù)人還是由于安全觀念不強或操作不小心，將帶有重要內(nèi)網(wǎng)數(shù)據(jù)的E-mail錯誤發(fā)送出了單位內(nèi)網(wǎng)，也有可能是發(fā)送給了不恰當(dāng)?shù)挠脩簦�這種不安全或不小心的舉動，最終被黑客間諜利用，從而引發(fā)內(nèi)網(wǎng)數(shù)據(jù)泄露事件的發(fā)生。

　　對于很多員工來說，他們壓根就沒有認(rèn)識到自己的一次錯誤發(fā)送或不小心點擊操作，可能會給單位帶來多大的潛在危害和經(jīng)濟損失。而且在目前網(wǎng)絡(luò)應(yīng)用越來越普及的時代，各種Web訪問以及電子郵件發(fā)送已經(jīng)成為員工每天學(xué)習(xí)或工作時必不或卻的操作，員工基于這些應(yīng)用或工具進行日常辦公，或者完成一些重要的業(yè)務(wù)流程，正變得越來越普遍，在這個過程中由于自身安全要求不嚴(yán)或操作粗心大意導(dǎo)致的數(shù)據(jù)泄露事件，也正變得越來越頻繁。

加強加密防護

為了保護數(shù)據(jù)安全，我們需要采取措施加強內(nèi)網(wǎng)安全，讓內(nèi)網(wǎng)遠(yuǎn)離數(shù)據(jù)泄露。所謂防護數(shù)據(jù)泄露，主要是采用一定的技術(shù)措施，來嚴(yán)格防范企業(yè)內(nèi)網(wǎng)中特定信息資產(chǎn)或重要數(shù)據(jù)，以違反安全規(guī)定的形式悄悄流出單位的一種策略；目前，數(shù)據(jù)泄露防護主要采用文檔加密技術(shù)，結(jié)合內(nèi)部文檔操作控制機制、嚴(yán)格管理機制、安全審計機制，來對任何狀態(tài)下的信息資產(chǎn)或重要數(shù)據(jù)進行有效防范。由于信息或數(shù)據(jù)的生命周期涉及創(chuàng)建、移動、存儲、使用、刪除等環(huán)節(jié)，信息或數(shù)據(jù)的傳遞周期包括端口、網(wǎng)絡(luò)、終端、移動存儲介質(zhì)等方面，這兩個周期中包含到的各個細(xì)節(jié)都要采取措施進行安全防護，才能避免發(fā)生數(shù)據(jù)泄露現(xiàn)象；在內(nèi)網(wǎng)中部署加密技術(shù)，最直接的是避免了信息資產(chǎn)或重要數(shù)據(jù)被不經(jīng)意地、無意識地泄露出去，它解決了重要數(shù)據(jù)自身的保密性問題，加密之后即使發(fā)生了數(shù)據(jù)泄露現(xiàn)象，單位也用不著緊張，因為其他人是無法看到加密了的數(shù)據(jù)內(nèi)容；可是，如果過分迷戀加密技術(shù)，對信息或數(shù)據(jù)各個周期中的每個細(xì)節(jié)進行全程加密，不但是不現(xiàn)實的，而且即使能實現(xiàn)的話，也會嚴(yán)重影響內(nèi)網(wǎng)系統(tǒng)的運行效率。

　　通常加密與效率無法同時兼得，單位用戶需要想方設(shè)法在加密和效率之間獲取一種平衡。由于加密會在某種程度上影響系統(tǒng)運行效率，那些對運行效率要求較高的系統(tǒng)顯然是不適合部署加密產(chǎn)品的，只有對一些高度涉密的特定系統(tǒng)或者對核心部門的數(shù)據(jù)進行加密才能獲得效果。那么對于一個單位來說，哪些部門屬于核心部門呢？正常來說，一個單位的組織架構(gòu)中，核心部門應(yīng)該是類似銷售、設(shè)計、財務(wù)這些部門，而在加密安全體系中，我們認(rèn)為凡是接觸到重要數(shù)據(jù)的部門，都應(yīng)當(dāng)被稱為核心部門；每個單位的業(yè)務(wù)流程不同，產(chǎn)生的重要數(shù)據(jù)也就不同，那么參與數(shù)據(jù)流轉(zhuǎn)的部門也會有所不同，此時對數(shù)據(jù)加密的范圍自然也就不同了；而且，隨著單位工作業(yè)務(wù)的不斷調(diào)整，單位自身的重要數(shù)據(jù)也處于動態(tài)調(diào)整中，那么數(shù)據(jù)加密范圍也要跟著調(diào)整。單位究竟應(yīng)該在多大范圍部署加密技術(shù)，這要根據(jù)實際情況來決定，因為單位系統(tǒng)中的大部分?jǐn)?shù)據(jù)可能都是普通數(shù)據(jù)，涉及到機密的重要數(shù)據(jù)往往只是一小部分，這些重要數(shù)據(jù)可能集中在某一個核心部門，也有可能分散在各個不同的普通部門中，這就要求單位在部署加密技術(shù)時，必要要以重要數(shù)據(jù)為中心，注重技術(shù)方案的可擴展性和可變性。此外，無論單位的加密范圍如何變化，重要數(shù)據(jù)如何調(diào)整，有一樣是一直不變的，那就是部署加密技術(shù)以后，需要及時進行安全審計；單位要經(jīng)常對信息加密體系進行檢查，以此來正確評價安全效能。

　　當(dāng)然，我們不要簡單以為部署了加密技術(shù)后，就能保證萬無一失，因為加密技術(shù)只能解決數(shù)據(jù)自身的保密性問題，而無法解決數(shù)據(jù)在傳遞、使用過程中的泄露風(fēng)險；盡管加密技術(shù)可以有效提升單位信息系統(tǒng)中重要數(shù)據(jù)的安全性，不過該技術(shù)也會對系統(tǒng)的工作流程帶來影響，它會延緩數(shù)據(jù)流動效率，因此單位需要在安全方面和效率方面取得平衡。

加強權(quán)限防護

　　使用加密技術(shù)保護重要數(shù)據(jù)，就象為重要數(shù)據(jù)上了鎖，看上去安全效果很好，不過多數(shù)重要數(shù)據(jù)實際流轉(zhuǎn)在單位的整個業(yè)務(wù)流程，如果一股腦地對所有重要數(shù)據(jù)進行加密，不僅會影響數(shù)據(jù)流轉(zhuǎn)效率，服務(wù)器也不能承擔(dān)如此大的負(fù)荷，而且這種方案并不能防范授權(quán)員工或客戶泄露數(shù)據(jù)。事實上，多數(shù)單位內(nèi)網(wǎng)中的安全防御系統(tǒng)都沒有應(yīng)用于單位員工或客戶，這樣一來權(quán)限用戶泄露數(shù)據(jù)的行為就無法得到控制；為了阻止權(quán)限用戶對外泄露有價值的數(shù)據(jù)信息，很多單位最初試圖對權(quán)限用戶進行全面“封鎖”，禁止他們攜帶移動存儲介質(zhì)到公司上班，禁止他們在網(wǎng)站論壇或自己博客中發(fā)布與工作有關(guān)的任何重要信息，甚至禁止他們在單位上班期間隨意訪問外網(wǎng)。然而，全面的“封鎖”不但沒有發(fā)揮出應(yīng)有的效果，而且還激怒了不辭勞苦的員工，他們認(rèn)為這樣的“封鎖”阻礙了他們獲取必要的數(shù)據(jù)信息來高效完成自己的本職工作。那么我們究竟該如何對這些權(quán)限用戶的數(shù)據(jù)泄露行為進行防護呢？要實現(xiàn)這個防護目的，需要在單位內(nèi)網(wǎng)中部署信息權(quán)限管理平臺。

　　所謂信息權(quán)限管理，就是指對位于單位局域網(wǎng)防火墻外的數(shù)據(jù)對象部署嚴(yán)格的用戶訪問權(quán)限，比方說，外出辦公的員工可以通過VPN連接訪問或修改單位內(nèi)網(wǎng)中的重要數(shù)據(jù)，但不允許通過VPN連接下載或發(fā)送文件到自己的移動存儲介質(zhì)。信息權(quán)限管理平臺的工作流程一般是這樣的：有權(quán)訪問單位內(nèi)網(wǎng)中重要數(shù)據(jù)的員工或客戶必須先在信息權(quán)限管理平臺中注冊，一般是借助網(wǎng)絡(luò)連接通道進行注冊；在對用戶的身份進行驗證后，平臺會自動下載控制代碼到員工或客戶的桌面，日后他們每次讀取或訪問位于自己客戶機中的文件或內(nèi)網(wǎng)中的新文件時，保存在客戶機中的控制代碼就能自動聯(lián)系信息權(quán)限管理平臺，對訪問行為進行再次驗證，之后從平臺中自動下載密鑰來對文件執(zhí)行解密操作，同時對文件訪問行為提出明確控制，允許他們能做什么、不能做什么，例如究竟是寫入操作還是讀寫操作，是發(fā)送操作還是打印操作，是下載到移動存儲介質(zhì)還是保存到本地硬盤等。

　　正常來說，要是我們想對重要數(shù)據(jù)或用戶權(quán)限進行精確控制時，那么就可以在單位局域網(wǎng)防火墻外部來部署信息權(quán)限管理平臺。在挑選信息權(quán)限管理平臺產(chǎn)品時，除了要保證產(chǎn)品符合數(shù)據(jù)泄露防護要求外，還要滿足單位員工或外部客戶的要求，具體地說表現(xiàn)在兩個方面：首先要保證產(chǎn)品能夠廣泛支持客戶端設(shè)備，以便讓員工或客戶在使用時感到方便和滿意，例如允許員工或客戶可以通過臺式電腦、筆記本電腦、智能手機來訪問重要數(shù)據(jù)，甚至使用iPhone來訪問數(shù)據(jù)；其次要確保平臺產(chǎn)品支持較多的應(yīng)用程序和文件格式，例如，目前很多平臺產(chǎn)品都支持微軟Office文件和Adobe PDF文件。在選擇好平臺產(chǎn)品后，就需要對平臺產(chǎn)品進行正式部署了；當(dāng)然在部署之前，我們最好應(yīng)當(dāng)先建立一個用來正確部署平臺產(chǎn)品的業(yè)務(wù)工作流程，這個流程應(yīng)該明確按照什么方式、什么步驟來部署，什么人應(yīng)該負(fù)責(zé)什么位置，同時還要對平臺產(chǎn)品的調(diào)試、管理、報告等相關(guān)方面進行規(guī)范，甚至對相互之間如何交流、協(xié)作進行規(guī)范。在完成平臺產(chǎn)品的具體部署任務(wù)后，還需要對整個信息權(quán)限管理平臺產(chǎn)品的效果進行檢測，檢測時可以從單位網(wǎng)絡(luò)外部嘗試下載或發(fā)送內(nèi)網(wǎng)中的重要數(shù)據(jù)，來測試產(chǎn)品的具體控制效果。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.sdyuan.com/

本文標(biāo)題：加強防護讓內(nèi)網(wǎng)遠(yuǎn)離數(shù)據(jù)泄露

本文網(wǎng)址：http://www.sdyuan.com/html/support/1112158924.html