【数据安全治理】之企业内部数据泄密渠道分析与应对

2021-07-06 15:38:47 436

多面魔方

   近年,全球各地深受数据泄露事件的困扰,已造成数以万计损失。据《数据泄露损失研究》评估显示,遭遇数据泄露事件的公司企业平均要损失386万美元,同比去年增加了6.4%。面对如此严峻的数据安全形势以及2021年9月1日施行的《数据安全法》,如何有效地保障数据安全成为了众多企业的当务之急。

   从数据泄露的途径分析,数据泄漏主要分为三种:窃密、泄密和失密。结合各种实际情况分析,数据泄露的主要途径有以下几种:

窃密

攻击者主动窃密:恶意攻击者或外部竞争对手,基于经济利益或政治原因驱动,通过层出不穷的高超技术手段,窃取企业的各种重要数据。

泄密

离职人员泄密:由于权限管理疏忽等,离职人员在离职时有意或无意违规带走大量核心数据(专利著作及源码数据等)。

内部人员泄密:由于内部员工安全意识薄弱,数据安全分级不明确,操作失误,部分涉密人员无意中泄露数据;部分员工因情绪化报复、利益收买等主动泄露数据。

失密

权限失控失密:由于帐号生命周期管理不善,权限划分及认证鉴别方式失控,导致人员对数据的密级访问权限不对等,高密级数据流向低权限帐号,涉密数据流向无权限帐号等。

数据维护及处置失密:不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废,存储数据发生泄露。

信息发布失密:合作渠道商管理不善数据交互泄露,发布信息审核不当涉及密级数据泄露,信息数据流入未授权、竞争关系的第三方。

   基于以上三种数据泄露类型,那泄密的渠道那就太多了,具体举例如下:

  • 将企业内部文档私自拷贝外带及复用泄密(USB/网络/即时通讯/刻录);

  • 越权访问非授权数据泄密;

  • 盗用他人账号及设备非法访问数据泄密;

  • 伙同他人实现敏感数据跨安全域转移泄密;

  • 通过打印机、传真机等将敏感数据进行介质转换泄密 ;

  • 私自携带笔记本设备接入内部网络非法下载数据泄密;

  • 对敏感数据的恶意传播及扩散泄密;

  • 对核心应用系统的非安全接入及访问泄密;

  • 不遵守管理制度的其他导致数据泄密的行为等。

  • 移动笔记本、USB存储设备遗失或失窃导致数据泄密;

  • 邮件或网络误操作、误发送等,数据的误用引起的泄密;

  • 保密意识淡薄对敏感数据保管不当引起的泄密,如随意共享等;

  • 感染病毒、木马后引发的敏感数据泄密;

  • 将存放重要数据的机器、存储介质随意交与他人使用引发的泄密;

  • 移动笔记本、USB存储设备和硬盘等维修、废弃时引发的泄密。


   以上列举的只是主动泄密和不经意的泄密,当然还有外发泄密、第三方泄密、外部攻击导致的泄密等等情况,太多太多了。


   如标题所示,我们就以企业数据内部泄密为主来谈一下。防止内部泄密的一般方式有:

  • 教育员工,保护敏感信息不应该是安全和管理团队的责任,而是全体员工人人有责

   不要低估员工教育的力量。CoSoSys的研究显示,60%的员工不知道哪些公司的数据是机密的。因此,他们可能会意外泄漏或使用不当。让“保护数据安全”成为企业文化的一部分,保护敏感信息不应该是安全和管理团队的责任,而是全体员工人人有责,要给他们灌输数据保护的重要性和意义,把数据泄漏预防流程纳入总的工作流当中。同时也要对员工进行政策方面的教育。让他们懂得如何合理地保护公司的宝贵数据资产。如果违反了政策,DLP解决方案应当会阻止行为,并且告知员工的上司,以便采取合适的措施。

多面魔方

  • 签署法律文件,可以一定程度上的防止员工主动泄密

   很多企业尤其是大型企业,在员工入职的时候,都会签署保密协议, 尤其是开发人员这样的涉密人员,通过这种方式,可以一定程度上的防止员工主动泄密,值得注意的是,协议中要明确商业秘密的范围、分类并划分等级,防止这“一纸约定”成为空谈。

多面魔方

  • 文件透明加密,在外部电脑上使用是乱码或无法打开

   文件透明加密是一种比较常见的数据安全保护手段。不影响员工日常的操作,加密的文件只能在单位内部电脑上正常使用,一旦脱离单位内部的网络环境,在外部电脑上使用是乱码或无法打开。这样可以有效防止内部员工的主动泄密。这种方式尤其适合图纸、代码等科技研发型企业或者高新制造业。

多面魔方

  • 第三方身份验证,能减少账号泄密的风险

   现在有许多基于标准且高度安全的身份验证产品可供选择,企业不需要为 用户名/密码构建自己的系统!这样的话,你的员工/客户等等就不需要一个个记住账号密码了,这样就能减少账号泄密的风险了。

多面魔方

  • 禁用USB接口,这种方式可以有效防止恶意的数据拷贝

   企业可以通过禁用USB接口,这种方式可以有效防止恶意的数据拷贝,如果需要对外发送的话,需要经过审核后由专人拷贝出来再外发。但是这种方法不能算一个完美的方案,比如员工真想拷贝的话,可以直接开机把硬盘拿出来拷贝数据。其实说白了就是终端安全防护这块,禁用USB接口只是终端安全防护的一种,还有禁止打印、禁用光驱等等。

多面魔方

  • 控制访问权限,业务系统白名单,只允许访问工作需要的业务应用,其他一律禁止掉

   业务系统白名单,这个算是比较严格的限制方式了。采用应用过滤,禁止掉所有的文件传输、网盘、邮件等。这个方案相对有效,但是不能排除通过未知的应用协议来传文件,而且会给日常工作带来一些不便。还是需要慎用的。

多面魔方

  • 使用虚拟桌面,成本比较低,使用灵活,实现代码等数据不落地,减少泄密渠道

   虚拟桌面也是一种很流行的方式,很多研发型企业都在使用,它的成本比较低,使用灵活,可以快速响应企业和开发需求,比如企业规模扩大时,可快速实现资源配置和扩展。最重要的是,数据都集中在服务器上,开发人员的终端不再保存数据和存储,实现代码等数据不落地,对于企业来说,不仅仅是便于管理了,而且更能保障信息安全。

多面魔方

  • 实施网络隔离,这个算是目前最流行的方式了,可以有效防止内部核心代码数据泄露

   这个算是目前最流行的方式了。绝大多数企业采取的第一个步骤是将企业内网与互联网进行隔离,将内部数据“困在”内网,同时也能够有效屏蔽外部网络攻击的风险。较大规模的企业还可能对内部网络实施进一步的隔离,比如划分为办公网、研发网、生产网、测试网等,主要用来屏蔽不同部门、不同业 务之间的违规数据交换。通过网络隔离的方式,可以有效防止内部核心代码数据泄露。

多面魔方

  • 特殊部门不允许进行文件外发,如果需要发送的话,需要经过审批后,由专人进行发送

   比如研发部门或者财务部门这种,核心和敏感数据较多,不允许他们直接的对外发送文件,如果需要发送的话,需要经过审批后,由专人进行发送。这种方式比较麻烦,而且前提是对这些敏感部门的权限做好管控,比如不能连接互联网、不能拷贝等等。

多面魔方


  • 监控电脑的文件外发动作,一旦产生外发动作,就会给管理员发出警报

   这个就需要有带有监控功能的软件了,可以监控到每个人的电脑操作行为,一旦产生外发动作,就会给管理员发出警报。但是这种方式,会给员工带来一定的心理压力。而且员工在工作中难免会需要外发文件的,如果是合规的外发的话,不停的警报也会给管理员带来一定的困扰。

多面魔方

  • 加水印,防止通过拍照、截屏、打印的方式泄露信息

   给文件加水印是常见的一种宣示版权的方式。像Office、WPS都自带加水印功能,能够给文档加上“保密”、“严禁复制”这样的水印。还有一 种就是防泄密的水印了。以桌面水印的形式在终端计算机桌面上显示,可通过文本、点阵、二维码等不同形式将使用终端相关信息投射到终端计算机桌面上,防止 通过拍照、截屏、打印的方式泄露信息。

多面魔方

  • 透明加密,对文件的透明加密同样适用于外发的场景

   采用文件加密后,文件只能在安装了加密软件的电脑上打开。可以对外发的文档进行管控,比如外发出去后控制下载次数、不能打印等等,可以有效的对数据安全进行保护,防止二次泄密。

多面魔方

   除了以上这些常见的方式外,构建一整套数据安全治理解决方案,还需有更多针对人员,流程,技术的整合,借鉴一些方法论,可以更快速有效的推进企业数据安全治理,如Gartner 的数据安全治理框架  ID : G00351128给出了部分指引:

  • 数据安全治理 (DSG) 是企业提高自身对数据风险和脆弱性的认识并加以控制的过程。

  • Gartner 指出:“...数据安全治理是信息治理的一个子集,专门用于通过定义的数据策略和流程来保护企业数据(以结构化数据库及非结构化文件式形式),并通过源自如DCAP、CASB及数据泄漏防护等产品的技术予以实施。”

  • 企业在进行数据保护规划中,往往将DSG作为数据保护的前提。

多面魔方

多面魔方

多面魔方

了解更多防范网络钓鱼邮件攻击方案请拨打:400-116-9959

多面魔方

多面魔方

多面魔方


多面魔方(北京)技术服务有限公司是国内首家专注MSSP(Managed Security Service Provider)的一站式网络安全服务提供商。公司已在北京、上海、深圳等城市建立7x24H安全运营中心并开展业务。

安全托管服务合作伙伴,选多面魔方就对了。

安全和信任值得托付 !





多面魔方


微信公众号

新浪微博

电话咨询
解决方案
购买与服务
QQ客服