效率和风险总处在一个不断平衡的阶段,有时候流程过于细、环节过于多,就有可能导致效率出现问题。而分工不细,流程不清晰。这种情况导致效率方面可能会高一点,但风险会很大。在加密系统应用部署中也同样存在这样的问题,这也是IP-guard多年积累的宝贵经验:只有保证加密系统整个应用流程尽可能做到无疏漏,才能最大限度的应用好加密系统,为企业提升工作效率同时带来防泄密收益。IP-guard专家总结的优化加密系统应用计划三大板块的十大建议:
一、 数据的应用和流动
信息社会时代,数据是企业宝贵的知识资产,一旦发生数据泄密则会对企业造成更大威胁,企业面临核心机密外泄会带来的更大风险,可见保护核心机密与保护数据密不可分。
1、 识别数据并对数据进行分类
哪些数据对企业运营最为重要?哪些数据在企业中流通率很高?哪些数据是不适应公开的?等等,这对企业对数据防泄密实施部署加密计划非常重要的信息,只有对企业中所有数据有清晰的了解,才能对数据进行细致完善的分类,也更便于企业针对不同的数据类型分类分治设计和实施相应的控制措施。
IP-guard专家建议您:将企业数据罗列清单,并利用数据清单将数据分类机制和IT基础设施及外部组织或个人存储的具体数据联系起来,可以帮助企业确定数据防泄密计划的适当范围!
2、 使用数据管理生命周期
对企业数据如果从一开始就没有正确的定义、分类和存储,那么当数据散布到整个企业的时候,保护数据就变得更加困难,此外,遵守数据保留政策也变成了更大的挑战,它增加了需要管理和保护的数据量。
IP-guard专家建议您:在创建敏感数据之期就启动数据管理生命周期,对数据进行恰当的定义、分类和存储管理,这是企业对数据防泄密保护的坚实基础。
3、 了解数据使用和流动情况以及数据泄密途径
企业数据如何在企业内部流通?又是怎样流出企业?这是企业需要了解和掌握的情况,文件访问监控,可以增加对当前企业数据使用情况的了解。
IP-guard专家建议您:企业需要了解数据的使用以及流出方式,更应使用各种工具来监控基础设施内的数据流,以防患于未然,而基于网络的数据加密计划,可以帮助企业记录并掌握数据从内部网络流向互联网的动态。
4、 禁止将敏感数据复制到可移动媒体上
移动终端设备的流行和普及,为公司的数据防泄密带来威胁,如果不加以有效的管控措施,那企业核心数据很可能被轻易的带出企业,造成泄密!
IP-guard专家建议您:加密系统可对中断所有课移动存储设备设置为只读不可写,同时对敏感数据设置不可复制粘贴等,同时还可以对笔记本电脑、智能手机等移动设备采用全盘加密。通过技术手段禁止将敏感数据复制到可移动媒体上,让数据不会被带出公司,严防因可移动媒体造成的数据泄密!
二、 策略流程的制定细节
1、 谨慎使用查看访问权限
使用数据仓库和建议全公司报告能力也意味着用户可以更轻松的将之前不相关的素进行整合,但是这也导致更
多的人可以访问非常敏感的数据,很多企业认为应用了加密系统,设置只读加密就可降低风险,因此其安全控制措施多以此为主。
IP-guard专家建议您:加密系统具备非常精细的策略设置,如果不加以精细化设置,以为只要设置只读加密即可防范泄密这样的认知是不对的,事实证明,只是粗略的以只读加密来区分策略,往往用户查看的和提取的数据远远比其工作中真正需要的数据多,所以精细化设置策略,谨慎使用查看访问权限!
2、 禁止在公司网络上使用未经授权的设备
非公司资产访问内部网络可能带来很多风险,比如未经授权人士进入公司场所方位内部网络资源,或内部用户
将个人设备连接到公司网络上等,经验告诉我们个人设备是公司数据防泄密保护最薄弱的环节。
IP-guard专家建议您:对个人设备的使用,一定要有公司设备保护措施和终端安全控制措施来制约,比如设置外盘禁止接入,或者内盘全盘加密,同时还可以设置外盘接入可读不可写,以保证公司数据的安全!
3、 改进授权和访问控制措施
在开始部署和实施加密计划时,通常定义用户角色和访问权限都很宽泛不够精细,随着后期应重新审视这角色
和访问权限,确保员工只能访问成功其工作职责范围内需要用到的数据资料。
IP-guard专家建议您:审查并实施更加严格的数据访问控制和使用授权,同时企业应监控拥有敏感数据访问权限的用户使用行为,以保证监察异常的或可以的数据使用活动,从而增加访问限制!
4、 采用基于风险的方法
企业数据量惊人,当然有主要和次要之分,而并非所有数据都是同等重要的,所以加密计划的部署实施应着重
加重想对更敏感更重要的数据,而非同等对待的。
IP-guard专家建议您:在复杂的数据环境中部署加密技术时应考虑分阶段部署,并最先应用于高风险/高价值网络、主机或物理位置。阶段性方案有助于验证技术的效果,同时在实现效益后获得更多支持,并利用经验逐步建立内部技能、规则集合数据分析能力。
三、 公司政策和制度支持
1、 修订政策,树立安全意识
企业数据防泄密保护计划,除了依靠技术手段以外也离不开企业政策和人员安全意识的配合,可以知道的是无
论是技术多高端,都是以人的使用为主体。所以安全意识和政策约束是不可少的。
IP-guard专家建议您:清晰的知道可使员工了解如何恰当处理数据,所以改进安全意识计划,应将数据泄露保护意识融入公司政策中,以确保每个人都能了解潜在的数据泄露风险,此外,建立明确、有公信力的数据保护政策可以鼓励员工和数据所有人采取恰当的数据处理、存储和传输行为。
2、 审计公司合规情况
通常,企业都不会对安全意识计划进行适当的测试来检验员工对公司政策的了解和遵守情况,如此造成的情况
即是有可能会让公司保密政策流于空文,起不到实际效果。
IP-guard专家建议您:企业应当对公司合规情况进行必要的审计和考核,可以利用真实的攻击案例测试员工的安全意识或定期培训考核,以确保员工了解在特定情况下知道如何应对,而保密政策不只是一纸空文,同时审计公司合规情况,有利于为以后保密工作积累经验,查找问题,以便制定更好的措施“查缺补漏”!
攘外必须安内。信息安全在经济形势变化不断的今天,其核心价值将会被加倍凸显。谨以此文,供对加密软件有需求或即将或者已经部署的企业进行参考。