“螳螂方欲食蝉,而不知黄雀在后,举其颈欲啄而食之也“,螳螂捕蝉的故事,尽人皆知,即便如此,现实中却常有陷入螳螂困境者。譬如很多企业在进行信息泄露防护建设时,往往挂一漏万,虽反复更迭,却始终难收佳效。
心无全局势必危
相比过去,企业的防泄密意识虽然提高了许多,但是对科学的防泄密方法却知之不多。很多企业在部署信息泄露防护系统之前,并没有对自身的安全需求进行全面而细致的研究,而只是凭感觉将企业人为地划分为核心区域与其他区域。很多企业决策者往往以为只要保护好所谓的核心区域就行了,于是对其他区域则听之任之。
但事实上企业是一个有机整体,各部分紧密相连。知名内网安全管理先锋溢信科技(www.ip-guard.net)表示,如果说把信息安全世界比作为整个宇宙,将企业的核心区域比作为我们生活的地球,那么其他部门则可以说是紧密环绕地球、保卫地球的大气层和卫星。没有大气层和卫星,地球自然就不再适合人类生存,同理没有其他部门的环绕,所谓的核心区域的信息泄露防护也很可能会流于形式。
因此,很难人为地将某部分划分为一个独立的安全区域。企业忽视其他区域,无异于将这些区域推向风险地带,如此使得企业面临的风险更大。而一旦文档从所谓的核心区域流传到其他部门,则如入无人之境,其命运如泥牛入海,实难保全。然而很多企业心中只有眼前所谓的核心区域,看不到背后因为自己人为割据而导致的风险区域扩大。螳螂捕蝉,黄雀在后,螳螂越专注于蝉,就越难逃脱黄雀的袭击。这也是为什么部分企业部署了加密依然发生泄密事件的原因。
高屋建翎筑坚城
单丝不成线,独木不成林。溢信科技认为,正确的做法是从一开始就要将整个企业纳入信息泄露防护体系防控的范围,并进行全面的风险评估,了解各个部门数据的重要性、存在的弱点、面临的威胁、风险爆发的可能性与可以承受的风险等级等等,然后针锋相对、量体裁衣,为不同部门制定合适的信息泄露防护方案。
比如可以根据需求调研报告,按防护力度将企业划分为从高到低三个不同的区域,第一区部署高强加密,确保未经授权的前提下,任何人都无法打开文档;第二区进行应用权限管控,限制即时通讯工具、电子邮件、外设等数据载体的使用权限,并对操作行为进行审计,以发现潜在的风险;第三层则只需部署审计,并定期评估相应的统计数据。通过建立分层保护机制,形成城防般牢固的防护,企业的防泄密火力系数将大幅提升。
“棱镜门”让我国意识到,如果缺乏对顶层设计的把握,信息安全将成为无根之木、无源之泉。那么从微观上看,其实企业进行全面的风险评估正是为了做好信息泄露防护的顶层设计,从而制定合理有效的防护战略。但如果不站在整个企业的制高点,总揽全局,又如何做得到呢?
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
溢信科技:企业信息安全也需“加密门神”
站在企业内网来看,核心数据就是企业的生死大门,这些数据一旦保护不力,被非法外泄或盗用,往往会给企业带来竞争力丧失、客户忠诚度下降、违规巨额罚款、媒体关注和社会舆论压力等等恶劣影响……
-
溢信科技:企业防泄密时请“KISS”
在企业管理中存在一个非常重要的原则“Keep It Simple, Stupid”,因为只有简单,才能被多数人接受,才能被更广泛地执行。企业信息泄露防护往往感觉纷繁无绪,更应该遵循KISS原则。
-
溢信科技:高效防泄密须紧抓三个重点
在信息泄露防护中其实80%的泄密事件发生于20%的风险点。溢信科技表示,这20%的高风险点主要包括三个关键层面:关键人群、关键载体和关键部门。
-
溢信科技:防泄密管理要遵循四原则
溢信科技认为,热炉法则简单而形象地阐明了信息泄露防护应该遵循的主要原则,那么在企业信息泄露防护的实践中,具体怎样实现热炉法则?