分类目录归档:防泄密之黄凯说

溢信科技产品总监、IP-guard创始人黄凯的内网安全与信息防泄漏专栏。

如何实现文档分区分级保密?

一款好的加密产品,除了能将泄密风险降至最低,还应充分考虑实际应用的灵活性。如果仅为防御而忽略其可能带来妨碍,无疑是弄巧成拙。IP-guard从此出发,考虑文档在多部门多级别间流通的便捷与安全,内建了二维矩阵式的内部权限控制体系。这好比一只“无形手”,能让文档在不同部门,不同职权间流通时执行不同级别的[……]

查看更多

谁动了HTC的三叉神经

“听说了吗?火腿肠出事啦!”这一大早就引得众IT男讨论的话题,可不是啥食品安全问题,正是有火腿肠谐称的HTC公司副总竟然被查出是“内鬼”。这个副总不仅和另两位员工假借委外设计之名诈领千万台币的设计费,更是窃取下半年公司将研发推出的HTC SENSE 6.0接口程序的商业机密,并计划在离职后携往他开设[……]

查看更多

企业文件加密:“多模出击”应对需求

如今很多人都拥有N种电子设备,这样他们就可以做到,台式机适合打网游;出差办公用笔记本;看书刷微博聊微信用手机;看看视频就用平板。当然也有些人是根据所处环境来选择,如在家用笔记本,短途用智能手机,长途出行用平板等等。不管如何选择,这都能看出场景的不同需求相应也会不一样。同样在企业文件加密领域也是如此,[……]

查看更多

学好五步 玩转加密

“棱镜门”事件后,越来越多的企业更关注自身的信息安全,并通过强效武器-加密软件来升级自身的防御力。但是临阵磨枪的匆忙部署,往往会使加密项目出现各种问题,反而影响部署进度和效果。不少企业很多企业网管员、IT经理等被上级临时要求在企业准备部署加密,时间上的匆忙和信息的不足,造成很多如缺乏系统规划、产品选[……]

查看更多

信息泄露防护不是一份保险

谈起信息泄露防护,合作伙伴亦或客户中的不少朋友都会用买保险来打比方:“部署信息泄露防护,就好比买保险,图个安心。”,不知各位看官中会有几多同感。

 

这个比方粗看之下似乎很棒,然而细想,实则有诸多不妥。

 

信息泄露防护和购买保险从理论角度讲,都是对风险的处置,在讲这两者的不同前,不妨先说说[……]

查看更多

安全观之我见(三):省银之道在预防

在文章开头,先给大家讲个小故事。有一户人家做了新房子,但厨房没有安排好,烧火的土灶烟囱砌得太直,而且土灶旁边堆着一大堆柴草 。一天,这家主人请客,有位客人看到主人家厨房的这些情况,就对主人说:你家的厨房应该整顿一下 。主人问道:为什么呢? 客人说:你家烟囱砌得太直,柴草放得离火太近,你应将烟囱改砌得[……]

查看更多

老黄说安全:个人信息利牵各方,归根结底万民为本

法在囧途

上篇说到个人信息乱象环生,原因之一是国内相关法律缺失,监管不力。那么是什么造成了法律的缺失,造成了个人保护法潜水了九年,结果浮出水面却只是一个推荐性标准?一个说法是个人信息种类和范围难界定。从概念上讲,一切与公司个人相关的资讯都应属于个人信息,但立法只能将部分信息纳入保护范围。另一个说法是是受制于当前 “部门拼盘制”的立法模式。立法一般由相关国家部委来推动,但囿于部门本身的利益,事关公众利益的个人信息保护法自然就被搁浅,即所谓的“公田不治”。

以上两者应该都存在,个人认为首先不应该拿“概念难界定”这样的理由来当挡箭牌,无限期拖延立法进度,真正有心为公众做事的人不会九年之后尚以这样的说辞来回应。概念界定何时定?九年之后又九年?其次立法部门应放下本身的利益,以广大公民的利益为重。其实话说回来立法者及其亲朋未必不是受害者,没有感受过个人信息被泄露的苦恼。

[……]

查看更多

老黄说安全:个人信息保护大势所趋,勿待重创之下方出细典

最近公安部在全国二十多个省全面打击个人信息泄露犯罪,淋漓演绎了一场天网恢恢,疏而不漏的好剧,一举端掉数百个非法机构。消息传来,大快人心。当那些黑色组织没完没了地向我们这些受害者发送垃圾短信,或以精确得出奇的推销电话进行骚扰时,应该会想到这一天总会到来,出来混早晚是要还的。据这次壮举的成果,个人信息买卖这趟水其实挺深,个中关系相当复杂,基本上而言已经形成了一条相对完整的黑色产业链,而源头竟然就是当局相关机构,令人咋舌。

[……]

查看更多

老黄说安全:安全观之我见——无事不与安全同

当一个企业有300个隐患或违章,必然要发生29起轻伤或故障,在这29起轻伤事故或故障当中,有一起重伤、死亡或重大事故。–海因里希法则

1941年美国的海因里西统计了55万件机械事故,其中死亡、重伤事故1666件,轻伤48334件,其余则为无伤害事故。从而得出一个重要结论,即在机械事故中,死亡、重伤、轻伤和无伤害事故的比例为1:29:300,国际上把这一法则叫事故法则。

再来将这个数据与Verizon 2010年度数据泄露调查报告给出的数据做一下对比。

  • 85%的泄露事件并不十分困难的。
  • 只有4%的数据泄露需要困难的、昂贵的自我保护措施才能得以实现。
  • 高达87%的受害者在他们的日志文件里都有数据泄露的证据,但他们却错过了。
  • 在受害者中,有些是需要遵守PCI-DSS标准的,但79%的受害者在数据泄露发生之前,都没能实现规则遵从。如果安全规则得到遵守,大多数的数据泄露都是可以避免的。

通过以上两组数据,我们看出在企业安全事故中,那些难度高、概率小、危害大的事故仅仅占很小的一部分,而那些危害轻微,难度小的部分则居大头。为什么会这样?上面的数据已经为我们给出了解释:不遵守安全规则。而对于为何制定的安全策略得不到有力执行,相信大家每个人都有独特而深刻的体会。其中一个主要原因便是企业抱有一种侥幸心理,以为眼下没发生安全事件、没造成危害,就是安全。因此满足于眼前的风平浪静,殊不知表面的无事与真正的安全根本是两个概念。作为企业IT管理人员,尤其是做安全管理的人员,要明确的知道:无事不与安全同。

[……]

查看更多

老黄说安全:安全观之我见——信息安全是一种生产要素

人生活在世界上,必然会有自己的价值观、世界观、人生观等等,这些将决定他的生活层次与状态,做信息安全也是一样的道理。在与客户的接触过程中,不少人曾向我问及对安全的一些看法,那下面就跟大家一起谈谈我的安全观。

[……]

查看更多