專家談企業(yè)核心機(jī)密數(shù)據(jù)的安全防范機(jī)制

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

Facebook推出了一個(gè)專門針對(duì)企業(yè)用戶的在線聯(lián)網(wǎng)應(yīng)用的版本，而這給企業(yè)所帶來(lái)的風(fēng)險(xiǎn)誰(shuí)都無(wú)法預(yù)估。研究人員認(rèn)為，黑客們經(jīng)歷了惡意軟件、廣告軟件和垃圾郵件，體驗(yàn)了網(wǎng)絡(luò)犯罪所能帶來(lái)的非法暴利之后，他們開始瞄準(zhǔn)了當(dāng)前火的一塌糊涂的Web 2.0。這些現(xiàn)象表明Web2.0時(shí)代的誕生與發(fā)展，正孕育著機(jī)密數(shù)據(jù)泄露的嚴(yán)重隱患。

大量的數(shù)字和統(tǒng)計(jì)結(jié)果顯示W(wǎng)eb2.0時(shí)代，企業(yè)的數(shù)據(jù)泄露問(wèn)題已愈發(fā)嚴(yán)重，對(duì)于業(yè)務(wù)流程、信息處理均嚴(yán)重依賴于IT設(shè)施的當(dāng)今企業(yè)而言，數(shù)據(jù)泄露事件一旦發(fā)生，將使企業(yè)面臨巨大的資產(chǎn)損失和聲譽(yù)損失風(fēng)險(xiǎn)。

數(shù)據(jù)泄露給企業(yè)帶來(lái)的負(fù)面影響

過(guò)去，網(wǎng)站的內(nèi)容大多是靜態(tài)的且可以預(yù)測(cè)的。專業(yè)的網(wǎng)站管理員對(duì)合法網(wǎng)站上的內(nèi)容進(jìn)行管理，安全解決方案供應(yīng)商則能夠分辨出‘可信’站點(diǎn)和‘不可信’站點(diǎn)。但如今，Web 內(nèi)容逐漸趨于動(dòng)態(tài)化，最終用戶持續(xù)不斷的更新現(xiàn)有內(nèi)容、共享應(yīng)用程序，并通過(guò)多種渠道進(jìn)行即時(shí)通訊。即使采用最佳的策略制定方法，某些不良內(nèi)容或惡意軟件也會(huì)隨時(shí)彈出(甚至在可信站點(diǎn)也是如此)，使公司的重要信息和網(wǎng)絡(luò)暴露于極為危險(xiǎn)的環(huán)境之下。

根據(jù)某安全廠商的調(diào)查結(jié)果顯示：遭受攻擊或者數(shù)據(jù)被惡意竊取的公司中，員工登陸論壇網(wǎng)站和博客的比例遠(yuǎn)遠(yuǎn)高于其他公司。與此同時(shí)，F(xiàn)rost & Sullivan公司的調(diào)查顯示：數(shù)據(jù)泄露防護(hù)的市場(chǎng)份額將達(dá)到21億美元，并以每年41.1%的復(fù)合增長(zhǎng)率進(jìn)行增長(zhǎng)。與之相對(duì)應(yīng)的一組數(shù)據(jù)是：2007 年有大約86%的中小企業(yè)發(fā)生了數(shù)據(jù)丟失事件，而Mimecast的一項(xiàng)最新研究也顯示，大約有近94%的公司承認(rèn)，他們?cè)诜乐构緳C(jī)密通過(guò)郵件外泄方面顯得力不從心。Identity Theft Resource Center (ITRC)跟蹤的數(shù)據(jù)表明：2008年截止目前，數(shù)據(jù)泄露已超過(guò)2007年466個(gè)……

2007年在美國(guó)TJX零售公司發(fā)生的4500多萬(wàn)客戶的信息卡及保密資料丟失，進(jìn)而導(dǎo)致其客戶和銀行業(yè)對(duì)其提起訴訟，最終TJX公司需要向客戶賠付 1.01億美元，并承受嚴(yán)重的企業(yè)聲譽(yù)損失。因此，客戶資料、研發(fā)成果、企劃方案、產(chǎn)品資料、財(cái)務(wù)信息等這些資料對(duì)于企業(yè)來(lái)說(shuō)是至關(guān)重要的，這些與企業(yè)業(yè)務(wù)甚至存亡密切相關(guān)的信息一旦被竊取、破壞或丟失，企業(yè)不僅要承擔(dān)數(shù)據(jù)泄露價(jià)值的損失，更有可能面臨企業(yè)形象的巨大損失和法律風(fēng)險(xiǎn)。

數(shù)據(jù)泄露的主要形式

互聯(lián)網(wǎng)如今正處于迅猛發(fā)展的階段。以協(xié)同工作環(huán)境、社會(huì)性網(wǎng)絡(luò)服務(wù)以及托管應(yīng)用程序?yàn)榇淼腤eb 2.0 技術(shù)，將在很大程度上改變?nèi)藗儨贤ń涣鞯姆绞胶凸ぷ鞣绞健５@些新的技術(shù)在給商業(yè)活動(dòng)的發(fā)展帶來(lái)便利的同時(shí)，也帶來(lái)了前所未有的巨大安全風(fēng)險(xiǎn)。具體到數(shù)據(jù)泄露的形式而言，分為無(wú)意泄露、故意泄露和惡意竊取這三種主要形式。

無(wú)意泄露是指企業(yè)員工在使用郵件、即時(shí)通訊、登陸B(tài)BS、博客或社區(qū)網(wǎng)站或其他Web2.0應(yīng)用時(shí)，不經(jīng)意將公司的客戶信息或財(cái)務(wù)信息等機(jī)密信息泄露的現(xiàn)象。IDC的研究也顯示：企業(yè)目前最關(guān)注的安全威脅是員工無(wú)意中將企業(yè)的核心信息泄露。因?yàn)檫@個(gè)無(wú)法預(yù)防，也非常難控制。

故意泄露即企業(yè)的內(nèi)部員工通過(guò)U盤等移動(dòng)存儲(chǔ)、打印機(jī)、文件共享等方式進(jìn)行核心機(jī)密資料的竊取或向外傳輸，并將其用于要挾、變賣或其他惡意用途，此類現(xiàn)象也防不勝防。而且這種目的性強(qiáng)、破壞性大的資料竊取對(duì)企業(yè)的影響頗為深遠(yuǎn)。

惡意竊取則主要集中于客戶資料、金融財(cái)政信息等，攻擊者利用病毒、惡意代碼或其他網(wǎng)絡(luò)打印機(jī)來(lái)竊取核心數(shù)據(jù)資料，用于非法獲利。這種類型的數(shù)據(jù)泄露往往攻擊面大，破壞性非常嚴(yán)重，給企業(yè)所造成的打擊和損失也十分巨大。

如何輕松化解危機(jī)

如何確保企業(yè)在當(dāng)前Web應(yīng)用異常深入且Web2.0技術(shù)越來(lái)越廣泛的時(shí)刻擁有核心機(jī)密數(shù)據(jù)的高度可信賴的安全保障，將是企業(yè)迫切需要處理的問(wèn)題。針對(duì)核心數(shù)據(jù)泄露防護(hù)，企業(yè)應(yīng)該從以下幾點(diǎn)著手：

首先，充分了解企業(yè)的IT架構(gòu)，即了解企業(yè)的內(nèi)部網(wǎng)絡(luò)與Internet的連接狀況，如果企業(yè)的內(nèi)部網(wǎng)與Internet完全連接，則應(yīng)注重網(wǎng)絡(luò)訪問(wèn)權(quán)限的設(shè)定、端口的設(shè)置等，選取基于網(wǎng)絡(luò)的數(shù)據(jù)泄露防御解決方案，如果企業(yè)的內(nèi)部網(wǎng)與Internet完全隔離，則應(yīng)選擇基于主機(jī)的數(shù)據(jù)泄露防護(hù)解決方案，借助可對(duì)終端數(shù)據(jù)傳輸、轉(zhuǎn)移等操作進(jìn)行監(jiān)控、阻止的策略來(lái)進(jìn)行數(shù)據(jù)泄露防護(hù)。

其次，對(duì)企業(yè)內(nèi)部的核心數(shù)據(jù)進(jìn)行分門別類，并對(duì)此類數(shù)據(jù)選擇加密措施和訪問(wèn)權(quán)限的策略設(shè)定。對(duì)企業(yè)而言，類似源代碼、產(chǎn)品設(shè)計(jì)圖、財(cái)務(wù)信息、客戶資料等核心數(shù)據(jù)應(yīng)被列為高度機(jī)密資料，該類數(shù)據(jù)丟失的風(fēng)險(xiǎn)也為最高。

第三，明確設(shè)置策略和工作流程。當(dāng)企業(yè)的核心數(shù)據(jù)重要性等級(jí)被清楚評(píng)定之后，企業(yè)需要設(shè)計(jì)出流程來(lái)對(duì)這些核心機(jī)密數(shù)據(jù)的動(dòng)向、使用和訪問(wèn)行為進(jìn)行嚴(yán)密監(jiān)控。一旦發(fā)生數(shù)據(jù)使用的異常狀況，該流程可在第一時(shí)間內(nèi)對(duì)異常行為做出反應(yīng)，并生成詳細(xì)的日志報(bào)告。避免數(shù)據(jù)的最終泄露。優(yōu)秀的數(shù)據(jù)泄露防護(hù)解決方案將能夠幫助企業(yè)準(zhǔn)確判斷核心數(shù)據(jù)向外傳輸?shù)脑敿?xì)狀況，包括通過(guò)哪個(gè)網(wǎng)關(guān)、使用哪臺(tái)終端電腦等。

最后，加強(qiáng)企業(yè)內(nèi)部員工的安全意識(shí)教育，通過(guò)不斷強(qiáng)化員工的風(fēng)險(xiǎn)意識(shí)，實(shí)際操作培訓(xùn)等使員工自覺遵守相關(guān)的策略，幫助企業(yè)避免核心數(shù)據(jù)從內(nèi)部泄露。（IT專家網(wǎng)）