安全风险

[企业安全风险]

如果我们将互联网比作蓝色地球上所有的水域网络,那么办公信息可以看成陆地上的饮水湖泊,而网络中的信息则流转如水。 这样,我们就能形象的看出办公信息所面临的主要威胁是其中流转的信息存在或者可能存在的危险。

信息如水,控制得当可以成为生产力、竞争力,控制不当或者缺乏控制则可能酿成破坏力、腐蚀力。要保障办公信息这个小生态 系统的正常、健康和可持续运行,就必须对信息的运转了如指掌,强化对信息各个环节的控制,如同确保饮用湖水的安全,就必 须清楚“水源来自何方?是否被污染或者可能被污染?”“湖中的水是否经过消毒过滤处理?”“湖中是否存在危险的生物或者污染 的源头?”“湖区有没有完整的水体监测系统?”“湖中的水是不是可以自由享用?有没有人心怀不轨呢?”

[您的企业是否存在如下问题]

文件随意查看

公司重要文件管理不善,员工可随意查看和传播,易造成泄密

员工上网聊天

员工可随意登录QQ、MSN、Email等网络传输工具将公司内部的重要数据外发送

员工打印泄密

员工可随意打印公司文件资料,易造成信息泄密

员工出差泄密

员工携带重要资料出差,监管效果无法保障易造成泄密

移动设备丢失

移动存储设备或笔记本电脑等的丢失会导致公司重要信息泄露

外发文件扩散

发送给客户或合作伙伴的重要资料被二次传播导致泄密

员工离职泄密

离职员工将掌握的公司重要资料带走,易造成信息泄密

商业间谍窃密

商业间谍通过各种手段窃取公司的重要数据

[泄密途径]

据FBI和CSI对484家公司进行了网络安全专项调查,调查结果显示:

超过85%的安全威胁来自公司内部。在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。


市场分析

经过十余年的发展,数据安全产品种类不断丰富、功能也不断强化,从单独产品部署到数据安全整体解决方案的提供,数据安全市场开始走 向成熟。目前,市场上的数据安全产品从大的方向上可以分为五个板块:

  • 桌面运维类产品
  • 安全防护类产品
  • 监控审计类产品
  • 文档加密类产品
  • 准入控制类产品

桌面运维类产品是网管产品在桌面领域的延伸,能够实现多种远程终端维护和管理功能,其价值是作为桌面运维人员的助手,将以前手工的工作实现自动化,能够高效解决终端 运维工作的同时,大幅度降低决终端运维成本,并且使终端管理更加规范。桌面运维类产品的基本功能就是工具,比如软件分发、远程协助、资产管理、补丁分发等。

安全防护类产品是传统网关安全产品在终端上的实现,其价值是通过终端防护,防止外界对终端的入侵,确保终端及网络的可用性,同时也防止入侵造成信息资产外泄或受损。其 基本功能以主机防病毒和主机防火墙为核心实现安全防护,包括防病毒、防木马、主机入侵防护、网络访问控制、防ARP欺骗、网页防挂马、反间谍软件等。

监控审计类产品算是最早的一类办公信息安全产品,采用一种间谍式的工作方式,管理终端上操作者的活动,如在线聊天、邮件、文档操作、上网等,确保操作者的活动符合法律法规 和规章制度。监控审计类产品的价值在于帮助管理者全盘掌握用户计算机使用行为,为决策提供依据?;竟δ馨词蓖ㄑ犊刂萍吧蠹?、邮件收发控制及审计、文件操作控制及审计、 网页访问控制及审计、打印控制及审计、移动存储管理及审计等。

文档加密类产品是目前市场上最热门的一类办公信息安全产品,它是通过加密技术将明文文档变成密文文档,合法使用者可以通过授权使用文档,而非法使用者则无权使用文档,即使窃取 也无法使用。文档加密类产品的价值在于保证文档流通效率和不影响用户操作习惯的同时,从最底层对文档进行安全防护,确保企业重要信息资产的高度安全。文档加密类产品的基本功能 包括文档加密、文档授权、文档审计等。

随着近几年准入控制理念逐渐深入人心,准入控制已经成为办公信息终端管理的一个基础平台。准入控制最主要的价值在于终端接入管理和保证办公信息终端管理产品客户端的部署。终端接 入管理确保只有受信的用户及受控的终端才能接入内网,而内网终端管理产品客户端的部署是实现有效管理的基础。

[以湖为镜,我们可以直观的看到企业数据安全面临的种种威胁]

虽然数据安全产品种类繁多,但并不意味着企业应该“全副武装”。根据自身业务流需要,选择适合自己的数据安全产品才是明智 之举。因此,在企业选择数据安全产品的时候,切勿急于求成、仓促执行,盲目堆砌,时刻保持警惕和理性,应尽量避免以下几 大误区:

误区一

信息安全头痛医头脚痛医脚>>

办公信息安全不是简单的产品堆砌这早已是行业的共识,但是用户往往缺乏整体的防护意识,对自身的办公信息安全需求和 解决方法也不甚了解,通常是出现了U盘泄密问题,就封锁了所有的USB接口;出现了邮件外泄机密的问题,就上一套邮件外 发管理软件……这样头痛医头脚痛医脚,不仅造成产品的无序叠加,兼容困难,成本增加,更是影响了内网的工作效率。

误区二

技术手段可以完全解决安全问题>>

“三分技术,七分管理”同样是行业早有的共识,很多企业将解决办公信息安全问题的希望全部寄托在办公信息安全产品上, 希望通过技术问题可以完全解决内网出现的各种“疑难杂症”。殊不知好的产品和技术都必须通过强大的管理力来推动实施 的,如果产品得不到员工的支持,得不到执行部门的认可,技术再先进也可能成为摆设,效果难以显现。强化安全管理意识 ,优化安全管理执行,是安全产品和技术达到最佳效果的前提。

误区三

信息安全只要解决点上的问题>>

办公信息安全是一项系统工程,我们在进行安全的规划就是应立足系统安全的高度来分析需求。从基本的制度安全、物理安 全到人员的认证、授权、审计管理,再到数据的安全管理等,其中任何一个环节上的安全措施处理的不当都有可能带来严重 的后果。因此,信息安全应该是解决安全面上的问题,部署安全体系之前先应当做好分析和规划,确保信息安全的全面防护。

误区四

以产品价格权衡安全的投入

办公信息安全产品属于管理型软件,不能直接给企业创造效率,对其价值的评估和投入权衡需要强调的是我们做办公信息安全规划时 应当以信息资产的价值重要程度和相应的安全风险来决定信息安全的投入。如果是为了防止员工上班时间做其他与工作无关的事,可 以部署一套上网行为监控软件就足够了,但如果涉及到企业设计图稿的防护,就要考虑加密技术和整体防泄漏方案了。此外,在产品 策略方面也可以做灵活的配置。


选型推荐

数据安全市场的火热点燃了诸多企业的需求,但是由于缺乏统一的标准,部署一套适合企业自身情况的数据安全管理系统并不是一件容易的 事情,众多网络管理员和CIO对能否确保成功建立企业数据安全管理系统,确保数据安全投资的效果,表现出担忧。


所幸的是,基于大量数据安全解决方案的成功经验,已经有一些值得我们参照的最佳依据。这些最佳依据包括:“制定安全策略、数据安全产 品性能和数据安全产品服务”,通过三个环节的整体体系的设计和规划可以帮助我们在建立适合自己的企业数据安全管理系统上迈出成功的第 一步。

[制定安全对略]

制定一个全面的数据安全总体策略是部署数据安全管理系统的前提,包括需求分析、预期目标和部署计划。


需求分析是一项十分复杂的工程,企业首先应该明确哪些环节最需要部署安全措施,以及哪些数据属于机密数据。有的企业办公数据安全 风险主要来自人员不合法的上网行为,有的企业数据安全风险主要来自移动存储设备的随意使用,有的企业办公数据安全风险主要来自沟 通环节上的数据随意使用……在制定总体策略时应当适当的主次偏重、重点防护。而企业的机密数据类型上,技术代码、方法专利、发展战 略、设计图纸、供应商信息、营销数据和客户信息等等也应当采取不同策略的防护手段,尽量避免给企业带巨额的经济和无形资产的损失。


预期目标是指部署数据安全产品希望达到怎样的效果,如将企业机密外泄的概率降到1%,企业不会出现重大的机密外泄事件,员工上网工作合 规率提升60%……为了使这个预期目标可以衡量出来,我们还需要一套效果测评指标,可以通过具体数据来反应产品部署前后的情况变化。


最后一份具体执行的计划书将确保整个数据安全策略能够完好的推行下去,不会因为种种原因搁浅、甚至撤下。这份计划书必须包含产品如何 去部署,部署之后如何去管理,以及如何发挥员工的能动性,如何划分数据的最终责任人等。事实上,很多突发情况是计划书无法涵盖到的, 对于这一部分我们只能根据具体部署环境做相应的调整,以达到最佳的部署效果。

[产品性能指标]

在进行具体产品选型之前,必须仔细考虑产品的性能指标是否符合单位的需要。数据安全产品的性能,主要体现在安全性、维护性、兼容性和扩展性四个 方面。


安全性是数据安全产品首先需要考核的要点。不同的数据安全产品,依据其设计理念不同,其安全性区别很大。譬如监控审计产品,其重点在于事后审计, 其事前防范的能力有限,如果员工安装了双操作系统,那么很容易就可以避开办公信息安全系统的监管。而文档加密产品,由于基于文件类型进行加密和区 分,采用了临时文件等技术,使得临时文件、剪贴板和内存等成为显著的安全漏洞,但是也具有部署简单的优势。


维护性是选择数据安全产品的时候CIO要考虑的另外一个问题,因为数据安全产品跟传统安全产品最大的区别在于其基于终端控制技术,要尽可能选择跟上层 应用无关的产品,这样可以确保在应用产品升级和增加新应用等信息化建设的时候办公信息安全体系依然可以支持。有些文档加密产品可维护性就存在比较大 的争议,以至于即便AutoCAD版本升级的时候,也需要厂商进行二次开发工作。选择一个可维护性好的数据安全产品,是数据安全系统能否有效运行的关键。


兼容性是数据安全产品发展初期曾经出现的致命问题,目前已经有所改善,但是,跟所有终端安全产品一样,兼容性依然是很多数据安全产品面临的问题,甚至 一些最早进入数据安全领域的厂商,在该问题上都迟迟得不到提高。在兼容性的考虑上,应该尽可能选择通过采用系统底层技术和正常系统机制实现的数据安全 产品,而尽量避免选择钩子技术(如剪贴板拦截和DLL替换)和非正常系统技术实现的数据安全产品,这样可以确保系统的兼容性。


扩展性是在数据安全产品选型中容易受到忽视的问题,事实上,数据安全是一个完整的体系,只有进行整体的规划,才能达到最大的效果,虽然一个单位在初期 可能仅具有简单的数据安全需求,但应该从长远着想,选择扩展性能良好,??榛潭雀叩氖莅踩?。很难想象,为了达到监控审计、数据保密和授权管理 的目标,在客户端安装三个不同的数据安全产品,使用三个不同的服务器进行管理,这无论对管理还是系统稳定性,都会造成很大的不便和隐患。

安全性

维护性

兼容性

扩展性

[服务能力]

数据安全系统的实施跟其它安全系统的重要区别在于,企业数据安全体系建立的过程,是一个咨询、实施和改进的过程,涉及到对单位管理制度、 网络拓扑、应用系统和使用习惯等调研、协调和设计的过程,要求数据安全厂商和供应商能够提供高质量和持续的服务。

  是否是专注于信息安全行业?

只有专注的厂商,才可能以办公信息安全产
品为其企业生命线,提供高质量的服务。

  考查信息安全厂商的核心队伍结构

信息安全产品是一个技术含量相当高的产品,
其队伍的专业背景和组成决定了该产品的优
越性。

  信息安全产品的本地化服务能力如何?

具有本地化服务的提供商,能够为本单位提
供及时有效的服务。

? 北京pk赛车7码计划规律 161| 200| 329| 905| 755| 842| 314| 986| 38| 749| 455| 884| 827| 392| 647| 422| 602| 266| 623| 248| 737| 230| 95| 131| 473| 644| 575| 53| 491| 176|