信息防泄漏是指通过一定的技术手段,防止企业的指定(重要或者敏感的)数据或信息资产以违反安全策略规定的形式流出企业的一种策略。目前来说,国内信息防泄漏以文档加密技术为核心,结合安全审计机制、严格管控机制、内部文档操作控制机制,有效防止任何状态(使用、传输、存储)的内部资料和信息资产泄漏。然而,不少企业对于信息防泄漏只停留在文档加密的阶段。
从字面意思来看,信息防泄漏是防止信息的外泄。信息的生命周期包括创建、使用、存储、传递、消亡,信息的传递周期涉及到信息创建、终端、端口、移动存储介质、网络等方面,两个周期共涉及到企业的各个方面的,例如业务流、IT、管理、人员等。单纯的文档加密技术显然不能保证信息不外泄,这也是为何企业应用热潮从“透明加密”转向“信息泄露防护(DLP)”的所在。游侠安全网站长张百川提醒一些只依赖加密保证数据安全的企业,“加密算法并非牢不可破,一旦算法被攻破,企业就暴露在危险环境中而无招架之力。实施了加密,还是需要多种技术联合起来防泄漏。”郑州三全食品股份有限公司CIO周清湘对于加密技术也持谨慎观点:“ ‘加密’手段既是保险柜,也是死胡同。加密后,即使数据泄露出去,因为看不到原文企业也不会为此紧张;反之,若加密技术有问题,加密算法被破解那么企业就非常难过了。不可盲目轻信加密技术,所以也就要当心‘如何加密?’‘范围多大?’等问题。”
技术当然不可能是完美的,但是不能因为可能的风险而不用。文档加密不能替代信息防泄漏,它却也是信息防泄漏的核心,企业应用的关键。在使用上,一些企业对全局都部署了文档加密,期望用“密不透风”的战术来保证数据安全。而一些企业只在研发设计等核心部门部署了文档加密产品。然而,只在核心部门部署文档加密产品,那么在与其它部门交互的时候,边界安全将得不到保证。信息安全专家李洋博士从搭建安全体系的角度出发,鼓励安企业核心部门和其他非核心部门在条件允许的情况下尽可能的部署安全设备,同时注重管理,来保证数据的安全。“安全是一个体系。”他说。青岛中集冷藏箱制造有限公司信息主任耿峰则认为全部加密没有必要,因为一个公司不是所有文档都需要加密。
实施过加密的企业应该深知,加密虽然看起来“透明”,实则会多少影响一些系统运行效率。如果对不需要加密的文档都盲目加密,系统运行效率将受到更大的挑战。安全与效率不可兼得,管理者需要在安全和效率之间取得一定的平衡。“加密会在一定程度上影响组织原有的业务流程,不是所有的组织都适合部署加密产品,甚至加密只适合于某些高度涉密的特定部门。”溢信科技产品总监黄凯作为业界专家,提出了解决方案。“加密系统一般都会辅以对应的外发审批机制,这就要求有对应的规章流程,以及有对应的审批人员和权限规定。如果组织的规模很大,所有人都要审批,又没有专门的部门,那么外发审批很明显会成为一场灾难。对于一些要求不那么严格的组织来说,对常见的网络、外设、Email等进行完整的审计和一定的限制,就足以达到效果了。”
三一重工股份有限公司研究总院信息化经理谭俊峰兼顾安全与效率平衡的做法是既“顾全大局”,又不“过犹不及”。他的理念是从全局出发的,“设计部门只是企业的一个环节或者一个点,只是对一个部门做了加固很难防范安全边界,很多时候设计部门的东西可以通过别的部门流出来。” 看来,平衡二者的重点是要理解“核心部门”。e-works总编黄培博士指出安全体系中的“核心部门”与企业组织架构中的“核心部门”并不相同,安全体系的架构不应按照企业组织架构来考虑,而应该以核心信息流转的角度来考虑。“一般企业组织架构中,核心部门在设计、财务、销售等部门,而在安全体系中,所有能接触到核心信息的部门都应该是核心部门。”
每个公司的业务流程不同,核心信息不同,那么流转的部门也就不同。加密范围,也就更为不同。并且,随着企业业务变化,和信息化的建设,企业本身的核心数据流动也会发生变化。正因为如此,整体加密与局部加密在很多情况下,不能说孰优孰劣。回到“信息防泄漏”中的“信息”一词,“信息”是指有意义的数据,那么判定信息是否是核心信息,才应该是加密的要点。即使在“核心部门”,也不是工作中100%都是敏感信息。武汉凡谷电子技术股份有限公司信息部经理朱烔哲表示,通常的情况,就算是核心部门,工作中80%还是非敏感的信息,日常业务中诸如出差申请单、办公用品申请单都需要审核解密,对工作效率影响太大。
虽然每个企业的加密范围无从统一,内容判定也不相同,但是同样的是,加密以后的安全审计很重要。“企业要经常性的进行检查以评估安全的效能,不要以为加密后就万无一失。”杭州汽轮机股份有限公司黄梁所长强调,“就算是信息防泄漏体系,也不能保证万无一失。”安全——永远都是相对的。青岛中集冷藏箱制造有限公司信息主任耿峰点明问题的源头:“因为这些系统是人在使用。”
对此,武汉凡谷电子技术股份有限公司信息部经理朱烔哲深有体会。加密技术之于他和凡谷电子来说,最有效的是“防止了信息被人为的无意识、不经意地泄露”。加密技术就像是一堵墙,因为信息要流通,就要开一个门,有门就要有门岗来守安全。任何企业都有供应商、客户、关系单位、管理政府部门,订单、采购信息、报告、请示等各种各样的电子文件,其中涉及到各种流程、人。而这些流程和人就是企业加密系统的门和门岗。流程需要人来审核,人和门岗都需要管理。只有完善的管理制度,才会真正的将技术的作用发挥出来。
e-works认为,单一的加密不能实现信息防泄漏,信息防泄漏要用整体的理念来对待。要建构完善的信息防泄漏体系,我们要用全局的视角来审视企业的安全状况,统筹兼顾,整合运用审计、权限管控、加密等防泄漏功能,根据各个部门具体的涉密程度以及需求,进行防护力度轻重有别的部署,以达到安全、效率、成本的最优平衡。
首先,企业要认识到单一的文件加密不能保证数据安全。加密只是解决了机密信息本身的保密性问题,而不能解决信息使用、流通中的泄漏风险。企业如果想全盘控制自己的机密信息,必然要对信息的存储、使用、传播都做出保护。加密就像一个坚固的保险柜,把机密信息锁起来,保险柜虽然安全,但没有人想自己的保险柜随便出现在大街上。
其次,企业要认识到并不是所有部门都适合部署加密产品。加密虽然能够大大提升企业的信息资产的安全性,但加密也是会对原有的工作流程会产生较大影响。虽然安全性很高,由于可能涉及到申请、审批、外发、离线等工作流程,必然会以信息流动受阻为代价。这种受影响的程度,视企业想要做到的权限控制和保密的细致程度而定,因此,企业应该衡量安全与效率之间的平衡。
第三,企业应该在多大的范围内部署加密,这需要视实际情况而定。企业应该意识到,企业信息系统中所包含的信息的机密程度是不同的,大部分的信息可能是普通信息,涉及到机密的核心信息只是一小部分,此外,这些信息可能集中在某个核心的业务部门,但更多的可能是分散在不同部门中,即每个部门都有其需要高度保密的信息。这就要求企业在部署加密产品时,应该以机密信息为中心,视存储和处理的信息的重要程度来决定某个终端的保密级别。企业所部署的信息防泄漏方案,也应该考虑到策略制定、下发、实施和更改的灵活性与便捷性,注重可变性、可扩展性等特性。
最后,重视人对在整个信息防泄漏方案中的影响。任何技术都是被人来操作的,任何技术也都不是完美的,企业一定要完善管理制度,来配合技术的使用,用管理来驾驭技术,用技术辅助管理。
完善的信息防泄漏体系,需要多种功能的产品形成方案。那么是选择单一产品组合成的方案,还是选择一个厂商提供的整体方案呢?请关注“内网安全”十年之“辩”系列之五:怎样打出信息防泄漏的“组合拳”?
Pingback 引用通告: 内网安全十年之辩专题 | 溢信的内网安全博客