近年,全球各地深受数据泄露事件的困扰,已造成数以万计损失。据《数据泄露损失研究》评估显示,遭遇数据泄露事件的公司企业平均要损失386万美元,同比去年增加了6.4%。面对如此严峻的数据安全形势以及2021年9月1日施行的《数据安全法》,如何有效地保障数据安全成为了众多企业的当务之急。
从数据泄露的途径分析,数据泄漏主要分为三种:窃密、泄密和失密。结合各种实际情况分析,数据泄露的主要途径有以下几种:
【窃密】
攻击者主动窃密:恶意攻击者或外部竞争对手,基于经济利益或政治原因驱动,通过层出不穷的高超技术手段,窃取企业的各种重要数据。
【泄密】
离职人员泄密:由于权限管理疏忽等,离职人员在离职时有意或无意违规带走大量核心数据(专利著作及源码数据等)。
内部人员泄密:由于内部员工安全意识薄弱,数据安全分级不明确,操作失误,部分涉密人员无意中泄露数据;部分员工因情绪化报复、利益收买等主动泄露数据。
【失密】
权限失控失密:由于帐号生命周期管理不善,权限划分及认证鉴别方式失控,导致人员对数据的密级访问权限不对等,高密级数据流向低权限帐号,涉密数据流向无权限帐号等。
数据维护及处置失密:不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废,存储数据发生泄露。
信息发布失密:合作渠道商管理不善数据交互泄露,发布信息审核不当涉及密级数据泄露,信息数据流入未授权、竞争关系的第三方。
基于以上三种数据泄露类型,那泄密的渠道那就太多了,具体举例如下:
将企业内部文档私自拷贝外带及复用泄密(USB/网络/即时通讯/刻录);
越权访问非授权数据泄密;
盗用他人账号及设备非法访问数据泄密;
伙同他人实现敏感数据跨安全域转移泄密;
通过打印机、传真机等将敏感数据进行介质转换泄密 ;
私自携带笔记本设备接入内部网络非法下载数据泄密;
对敏感数据的恶意传播及扩散泄密;
对核心应用系统的非安全接入及访问泄密;
不遵守管理制度的其他导致数据泄密的行为等。
移动笔记本、USB存储设备遗失或失窃导致数据泄密;
邮件或网络误操作、误发送等,数据的误用引起的泄密;
保密意识淡薄对敏感数据保管不当引起的泄密,如随意共享等;
感染病毒、木马后引发的敏感数据泄密;
将存放重要数据的机器、存储介质随意交与他人使用引发的泄密;
移动笔记本、USB存储设备和硬盘等维修、废弃时引发的泄密。
以上列举的只是主动泄密和不经意的泄密,当然还有外发泄密、第三方泄密、外部攻击导致的泄密等等情况,太多太多了。
如标题所示,我们就以企业数据内部泄密为主来谈一下。防止内部泄密的一般方式有:
教育员工,保护敏感信息不应该是安全和管理团队的责任,而是全体员工人人有责
不要低估员工教育的力量。CoSoSys的研究显示,60%的员工不知道哪些公司的数据是机密的。因此,他们可能会意外泄漏或使用不当。让“保护数据安全”成为企业文化的一部分,保护敏感信息不应该是安全和管理团队的责任,而是全体员工人人有责,要给他们灌输数据保护的重要性和意义,把数据泄漏预防流程纳入总的工作流当中。同时也要对员工进行政策方面的教育。让他们懂得如何合理地保护公司的宝贵数据资产。如果违反了政策,DLP解决方案应当会阻止行为,并且告知员工的上司,以便采取合适的措施。
签署法律文件,可以一定程度上的防止员工主动泄密
很多企业尤其是大型企业,在员工入职的时候,都会签署保密协议, 尤其是开发人员这样的涉密人员,通过这种方式,可以一定程度上的防止员工主动泄密,值得注意的是,协议中要明确商业秘密的范围、分类并划分等级,防止这“一纸约定”成为空谈。
文件透明加密,在外部电脑上使用是乱码或无法打开
文件透明加密是一种比较常见的数据安全保护手段。不影响员工日常的操作,加密的文件只能在单位内部电脑上正常使用,一旦脱离单位内部的网络环境,在外部电脑上使用是乱码或无法打开。这样可以有效防止内部员工的主动泄密。这种方式尤其适合图纸、代码等科技研发型企业或者高新制造业。
第三方身份验证,能减少账号泄密的风险
现在有许多基于标准且高度安全的身份验证产品可供选择,企业不需要为 用户名/密码构建自己的系统!这样的话,你的员工/客户等等就不需要一个个记住账号密码了,这样就能减少账号泄密的风险了。
禁用USB接口,这种方式可以有效防止恶意的数据拷贝
企业可以通过禁用USB接口,这种方式可以有效防止恶意的数据拷贝,如果需要对外发送的话,需要经过审核后由专人拷贝出来再外发。但是这种方法不能算一个完美的方案,比如员工真想拷贝的话,可以直接开机把硬盘拿出来拷贝数据。其实说白了就是终端安全防护这块,禁用USB接口只是终端安全防护的一种,还有禁止打印、禁用光驱等等。
控制访问权限,业务系统白名单,只允许访问工作需要的业务应用,其他一律禁止掉
业务系统白名单,这个算是比较严格的限制方式了。采用应用过滤,禁止掉所有的文件传输、网盘、邮件等。这个方案相对有效,但是不能排除通过未知的应用协议来传文件,而且会给日常工作带来一些不便。还是需要慎用的。
使用虚拟桌面,成本比较低,使用灵活,实现代码等数据不落地,减少泄密渠道
虚拟桌面也是一种很流行的方式,很多研发型企业都在使用,它的成本比较低,使用灵活,可以快速响应企业和开发需求,比如企业规模扩大时,可快速实现资源配置和扩展。最重要的是,数据都集中在服务器上,开发人员的终端不再保存数据和存储,实现代码等数据不落地,对于企业来说,不仅仅是便于管理了,而且更能保障信息安全。
实施网络隔离,这个算是目前最流行的方式了,可以有效防止内部核心代码数据泄露
这个算是目前最流行的方式了。绝大多数企业采取的第一个步骤是将企业内网与互联网进行隔离,将内部数据“困在”内网,同时也能够有效屏蔽外部网络攻击的风险。较大规模的企业还可能对内部网络实施进一步的隔离,比如划分为办公网、研发网、生产网、测试网等,主要用来屏蔽不同部门、不同业 务之间的违规数据交换。通过网络隔离的方式,可以有效防止内部核心代码数据泄露。
特殊部门不允许进行文件外发,如果需要发送的话,需要经过审批后,由专人进行发送
比如研发部门或者财务部门这种,核心和敏感数据较多,不允许他们直接的对外发送文件,如果需要发送的话,需要经过审批后,由专人进行发送。这种方式比较麻烦,而且前提是对这些敏感部门的权限做好管控,比如不能连接互联网、不能拷贝等等。
监控电脑的文件外发动作,一旦产生外发动作,就会给管理员发出警报
这个就需要有带有监控功能的软件了,可以监控到每个人的电脑操作行为,一旦产生外发动作,就会给管理员发出警报。但是这种方式,会给员工带来一定的心理压力。而且员工在工作中难免会需要外发文件的,如果是合规的外发的话,不停的警报也会给管理员带来一定的困扰。
加水印,防止通过拍照、截屏、打印的方式泄露信息
给文件加水印是常见的一种宣示版权的方式。像Office、WPS都自带加水印功能,能够给文档加上“保密”、“严禁复制”这样的水印。还有一 种就是防泄密的水印了。以桌面水印的形式在终端计算机桌面上显示,可通过文本、点阵、二维码等不同形式将使用终端相关信息投射到终端计算机桌面上,防止 通过拍照、截屏、打印的方式泄露信息。
透明加密,对文件的透明加密同样适用于外发的场景
采用文件加密后,文件只能在安装了加密软件的电脑上打开。可以对外发的文档进行管控,比如外发出去后控制下载次数、不能打印等等,可以有效的对数据安全进行保护,防止二次泄密。
除了以上这些常见的方式外,构建一整套数据安全治理解决方案,还需有更多针对人员,流程,技术的整合,借鉴一些方法论,可以更快速有效的推进企业数据安全治理,如Gartner 的数据安全治理框架 ID : G00351128给出了部分指引:
数据安全治理 (DSG) 是企业提高自身对数据风险和脆弱性的认识并加以控制的过程。
Gartner 指出:“...数据安全治理是信息治理的一个子集,专门用于通过定义的数据策略和流程来保护企业数据(以结构化数据库及非结构化文件式形式),并通过源自如DCAP、CASB及数据泄漏防护等产品的技术予以实施。”
企业在进行数据保护规划中,往往将DSG作为数据保护的前提。
了解更多防范网络钓鱼邮件攻击方案请拨打:400-116-9959
安全托管服务合作伙伴,选多面魔方就对了。
安全和信任值得托付 !
微信公众号
新浪微博