信息防泄漏怎样慧眼识良方
发布时间:2022-02-16 10:09:52 所属栏目:安全 来源:互联网
导读:现如今的信息防泄漏解决方案不胜枚举,宣传带有防泄漏功能的产品比比皆是,然而企业在面对众多方案时却常常眼花缭乱、无所适从。什么样的系统才是好系统?什么样的方案能帮助企业切实提高信息安全防护水平?应该以怎样的标准来判断不同方案的优劣?对此,知
|
对于这个问题,专家们有着各自的看法。信息安全专家李洋博士建议从"功能性,稳定性,兼容性,可审计性"对防泄漏产品进行判断;而郑州三全食品CIO周清湘则强调防泄建设方案应从"安全性、方便性、完备性、容灾性"下手。综合各方专家的观点,我们可以归纳为以下6条判断标准,供读者参考:标准1:企业内部操作行为应该可视化。 这也是常说的审计工作。信息化管理比较成熟和规范的企业如今都比较重视这部分工作了,哪怕在企业文化等原因而控制和加密有所不足,审计却做的很全面和细致,并且还会安排专门的人或者工作组来查看审计内容、为管理者提供审计报告。如果没有审计,那么企业将对存在的安全威胁一无所知,所做的安全防护自然也是全凭想象,很难达到效果。毫不夸张的说,审计是安全必须的基础。 标准2、 信息防泄密建设根据涉密程度不同,防护力度必须轻重有别。我们都知道,安全和效率是一对矛盾体,安全措施越多安全性越高,但过多的安全措施会使得工作效率降低。企业必须要在安全和效率之间取得平衡,在不影响工作的前提下实现高安全性。实际上,信息的涉密级别是不尽相同的,企业没有必要对低密级信息实施高密级防护,也不能对高密级信息进行低密级防护,一刀切的进行安全管理会造成要么牺牲安全、要么牺牲效率的情况。因此,信息防泄密系统要能够对涉密程度不同的信息进行轻重有别的防护,让安全和效率更加平衡。 标准3、信息防泄密产品必须随需而变,实现扩展性。企业总是在发展和变化的,安全的需求也随之成长和变化。"像给小孩子买衣服,往往会买稍大一点的,因为小孩子长的很快,如果买现在刚好的,很快这件衣服就不能再穿了。"溢信科技产品总监黄凯如是说。选择防泄漏产品时也是一个道理,在防泄漏方案的选择上要未雨绸缪,具有前瞻性,考虑到将来一段时间企业的安全需求。如果选择的产品(解决方案)仅仅能满足眼下的需求,那么很快就又要重新选购了。 标准4:信息防泄密建设应从全局角度出发,兼顾"安全、效率、成本"。杭州汽轮机股份有限公司所长黄梁认为:在信息防泄漏建设中,企业应从全局上考虑提升安全性、降低泄露风险带来的业务操作、使用上的一些障碍、安全成本的投入问题。实际上"安全、效率、成本"的问题不仅仅是企业需要思考,厂商更应该在产品设计之初就考虑到这个问题,信息防泄密产品不能只在其中的一个或两个方面表现优秀,而应当兼顾"安全、效率、成本"。 标准5、帮助企业及时发现安全威胁。 许多人都认为信息防泄密重在"防护",在安全威胁面前处于被动防守的状态,其实不然。许多泄密事件在发生之前都是有迹可循的,如果企业能及时发现安全威胁发生的迹象,就能够将其扼杀在摇篮中。因此,信息防泄密系统应当能够通过监控、审计等手段对潜在的安全威胁发出预警,帮助企业及时发现安全威胁。防患于未然,才是信息防泄密的真正目的。 标准6、 安全体系应该容易使用和维护。使用的便捷和完善的维护也是防泄建设中必不可少的工作,利用简易的模式保障信息安全会更易于用户接受,这也是为什么富豪家中保险柜如此盛行的原因。 在选择了合适的防泄漏方案后,就可以高枕无忧了吗?当然不是,面对千变万化的非安全因素,作为防守方我们只有随机应变,防微杜渐,难有以不变应万变之法。经过上述讨论如何评价一个信息防泄漏方案的好坏之后,面对各种泄密事件又带给我们哪些启示?内网安全建设未来走势如何?云计算等新兴技术会是内网安全的噩梦吗?敬请关注"内网安全 十年之辩"下期内容。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号