还剩21页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
企业数据安全防护,防泄密技术分析优盾智能信息防泄漏系统采用透明加解密技术,在完全不改变企业原有工作流程和文件使用习惯的前提下,对企业内部的关键数据文件实行监控和强制加密保护,有效的防止被动和主动泄密
一、当前主要的防泄密手段概述
1、内网管理 内网管理一般是指对单位内部网络终端的综合管理内网管理软件主要通过禁止远程屏幕拷贝、远程屏幕监控、全硬盘文件监控和文件监视、上网行为检查和打印监控等网络监控功能;具有禁用USB、禁用光驱、软驱、管理非法外联等阻断管理功能;具有禁用QQ、禁用P2P、禁用游戏、远程修改IP、禁止修改IP、通过进程知识库进行木马分析和查杀、自动补丁分发的补丁管理、注册表监控、流量排名和流量报警阻断等运行维护功能 内网管理软件属于早期的初级防泄密手段从技术上讲,内网管理不可能阻截所有的泄密通道,而且没有对文档和数据进行加密,所以其防泄密程度有限,难以做到真正的数据泄露因此,内网管理软件更多被视为网络运维管理软件,而作为防泄密方式逐渐被淘汰
2、硬件加密 硬件加密是通过专用加密芯片或独立的处理芯片等实现密码运算将加密芯片、专有电子钥匙、硬盘一一对应到一起时,加密芯片将把加密芯片信息、专有钥匙信息、硬盘信息进行对应并做加密运算,同时写入硬盘的主分区表这时加密芯片、专有电子钥匙、硬盘就绑定在一起,缺少任何一个都将无法使用经过加密后硬盘如果脱离相应的加密芯片和电子钥匙,在计算机上就无法识别分区,更无法得到任何数据如加密狗 硬件加密方式往往是对硬盘上的数据进行管控,使用范围相当有限,不是主要的防泄密手段
3、文档加密软件 文件加密主要是指文档加密软件文档加密软件是通过对内网员工客户端产生和存储的文档进行透明加密或者文档使用权限管理,实现文档安全管理优盾智能信息防泄漏系统采用底层驱动透明加解密技术,在完全不改变企业原有工作流程和文件使用习惯的前提下,对企业内部的关键数据文件实行监控和强制加密保护,有效的防止被动和主动泄密优盾企业加密,支持各种文件类型加密,从源头杜绝文件泄密,解决了外贼好治,家贼难防的管理局面 优盾智能防泄漏产品基于驱动层智能动态加解密技术,通过文档透明加密、文档权限管理、文档外发控制、文档备份、业务流程审批、磁盘全盘加密、磁盘分区加密等基本功能,融合身份认证、日志审计实现数据的全面防护
二、几种防泄密方式的优缺点
1.内网管理软件从防泄密角度来看,基本不能满足需求,这一点已经得到大多数人的认同
2.硬件加密方式的优点在于稳定性比较高,但是适用面比较窄,而且价格比较高,因此长远发展趋势还不好预测
3.文档加密软件从长远来看,文档加密软件还会继续得到使用随着客户应用的深化,文档加密技术还会得到进一步的发展,还会有更多的相关产品面世优盾文件加密安全管理系统,已经应用与各大领域,具备高度的安全性和稳定性
4.优盾智能防泄漏产品,具备非常高的性价比、稳定性和安全性,能广泛适用于各种情形下的防泄密企业4个加强防范“泄密”的方法近年来,山东烟台市商业泄密案件有所增加办案法官说,商业秘密是指不为公众所知悉,能为所有人带来经济利益,具有实用性并经所有人采取保密措施的技术信息和经营信息,如工艺配方、工艺流程、技术秘诀、设计图纸等技术信息,也包括管理方法、产销策略、客户名单、资源情报等经营信息
(1)通过制定一定的规章制度,对公司生产设备、工艺过程、原材料、甚至废弃物及有关文件、计算机电子文档等进行保密要求;
(2)企业可以在与员工签订的劳动合同中增添保密条款,也可以与员工另行签订单独的保密协议,这是企业与劳动者签订保守商业秘密的法律依据;
(3)企业还可以通过签订竞业禁止协议,约定员工在双方劳动关系存续期间,甚至离职以后一定的时间、区域内对用人单位的商业秘密具有保密义务,不得兼职从事与用人单位相同或者类似业务的竞争性行为
(4)市场的加密软件也越来越多,各有千秋,现在很多企业也在不断的加强自身的安全意识,他们认为仅仅有法律的保护是不够的,法律总是在事情发生之后才生效的,但是确已经给公司造成损失了,所以很多公司都选择上加密软件中小型模具企业的泄密问题及防范措施【摘要】民营模具企业面对的泄密问题、防范措施【关键词】模具企业泄密客户资料保护监控【Abstract】TheLeakingSecretProblemofSmallBusinessMouldCompanyAndTheSolution【Keywords】MouldCompanyLeakingSecretCustomerInformationProtectionAdministration中小型模具企业,由于规模小,管理经验和经营水平限制,存在多种可能的泄密途径不仅造成客户资料流失,也可能导致公司的核心竞争优势丧失下面就以笔者一位模具行业的朋友H作例子,向大家介绍一下中小模具行业的泄密问题以及防范措施H是业界内一家小有名气的模具企业老总,他凭着敏锐的眼光和过人的能力,在数年间带领这家只有数人的贸易公司,发展为拥有近400人的塑胶模具厂从经营水平和发展速度来说,这间公司几乎是无可挑剔的但H也有自己的苦恼几年来,至少有10位员工离职创业,成了竞争对手;公司也多次发生客户资料泄漏、email通信被偷窥的事情亡羊补牢,H向笔者求助,希望可以堵住公司的泄密渠道,防患于未然下面是H和笔者的一些分析思路泄密途径一由于离职员工造成的泄密案例一H公司在发展壮大的过程中,有超过10位员工离职创业,而且都成了竞争对手每家公司都采用了和H公司完全相同的技术手段拓展客户,给H公司造成很大损失比如,数年前,H公司发现采用传统的企业邮箱发送推广邮件会经常被封锁,而且到达率很低于是H率先采用了北美的全速双通道技术发送邮件,在当时全国只有极少模具企业采用,效果非常好而现在,由于众多“叛将”不断出走,这个技术在行业内已经不是什么秘密目前仅深圳地区就已经有数百家企业采用了这种模式发掘新客户案例二一些核心员工的离职,带走的不仅仅是技术,还包括公司的客户资源比如,H公司曾经一位销售经理的离职,就带走了公司将近10%的老客户由于行业的特殊性,对于中小模具企业来说,国外客户的忠诚度并不高竞争对手1%的降价,就可能抢走一个客户对于通过阿里巴巴或者环球资源网获取订单的模具客户,这种情况是习以为常的,因为一个询盘往往都是发给数十家同行的而对于H公司,他们是采用邮件营销开拓客户的,一个客户的开发往往要用半年时间离职的那位销售经理成立了一家模具贸易公司,针对H公司的老客户直接给出10%的折扣,抢走了很多老客户要尽量避免员工离职,就要找到哪些人是潜在的“叛将”-是跟单员?是技术人员?是公司主管?公司每个部门都可能存在着有创业精神的员工他们多数是比较积极的员工中小模具企业面对两难选择,到底是选择比较安全的庸才,还是选择比较危险的优才?单纯依靠薪资的提升不是长久的解决办法解决思路一适当提升员工福利,除了短期跟单提成激励之外,辅助以长期激励计划这样才可以留住有能力的员工H根据笔者建议,引入国外企业常见的带薪长假福利由于H公司主要做海外订单,欧美地区年中有高温假,年末有圣诞假,这段时间往往是国内模具贸易公司的淡季,在淡季让核心员工适当的带薪休息,会增加员工对公司的忠诚度解决思路二让特别优秀的员工成为自己的合作伙伴再好的福利也不一定可以留住优秀的创业型人才H几年前已经尝试性的采取了投资某些有能力员工合股开设新的模具贸易公司的方法用这样的方法,老员工不会成为自己的仇家,同时扩大了母公司的影响力这种模式比较适合小巧灵活的模具贸易公司,一旦企业规模扩大到一定程度,要想兼顾到母公司和子公司,在精力和管理水平上是严峻的考验解决思路三尝试更加昂贵有效的营销手段,提高竞争门槛“叛将”创立的新公司,毕竟资金实力有限,只能模仿H公司的比较省钱的营销手法比如H公司采用email营销开发客户的方法,“叛将”也有样学样,请人在网上搜索email发送email在笔者的建议下,H购置了一些强有力的email营销软件,比如全速商务邮件智能发送系统,采用了这套系统之后,原来10个人的工作一个人就可以完成,而且可以比较好的监控员工的工作质量但智能发软件每年数万元的价格对于“叛将”新成立的公司来说,就不是马上可以承受的了所以H公司至少可以保持半年的领先优势,利用这段时间完善管理、扩充实力采用了上面的三个方法之后,H公司的员工频繁离职的势头被遏制了部分离职员工和H一起开设了新公司,也小有成绩而一些恶意的离职员工,由于资金实力有限、竞争门槛提升,业务拓展速度也逐步落后于H公司泄密途径二由于IT资源管理不善造成的泄密案例一H公司长期采用邮件推广模式发掘客户,他们曾经使用福建某家软件公司的服务,通过互联网的程序筛选重复的邮件,避免重复发信给同一个客户后来H突然发现该福建公司正在打包销售模具行业目标客户的email地址库,方恍然大悟,原来这家公司把他们的潜在客户的email卖给其他同行理论上,一家公司只要使用企业邮箱收发邮件,那么通信记录就完整的保存在邮箱服务商的服务器日记内,如果某些公司违反职业道德,泄漏或者贩卖用户机密,就必然给公司造成损失案例二H公司的众多员工离职故事中,最无奈的是他们公司的IT管理员离职时间发掘并跟进一个潜在的海外订单机会,周期是3~6个月,中间涉及到关于回复询盘、价格谈判、工期谈判、设计沟通等大量文档,而且多数是外文的H公司经过数年的磨练,总结出一套比较完善的标准文档这些文档都存放在公司的服务器内,服务器只有两个人有权限进入,一个是H,一个是IT管理员这个IT管理员窃取了服务器内所有资料,然后离职开了一家模具贸易公司虽然外行始终是外行,很快折价公司就倒闭了,但H还是惊出一身冷汗其他的IT泄密渠道分析1)通过email泄密大多数模具企业,都采用了不告诉员工邮箱密码,统一由老板掌握的方法做法是,老板亲自帮员工设置好outlookexpress或者foxmail的邮箱密码,然后老板对员工收到的邮件进行监控员工收到的每一封信,老板都会看到这种做法的确很有效,但也有一些问题首先老总往往非常忙,根本无法对员工的邮件进行有效监控;其次员工通过某些软件,可以轻松查看到outlookexpress的帐号密码有些模具公司为了窃取竞争对手机密,甚至雇用黑客破解他人的邮箱全速企业邮箱(CS-CorpMail)给上数千家模具公司提供企业邮箱服务,根据全速的防火墙记录,显示每天都有某些特定的模具email帐号被黑客采用猜测密码的方式进行攻击2)通过局域网泄密大多数局域网存在安全问题,只是大小不同而已一台没有打补丁的windows系统,即使设置了复杂的密码,也可以让专业人员在数分钟之内进入模具公司往往会将重要资料集中放置在某台公司服务器内,而对于稍微掌握黑客工具的人来说,窃取资料犹如探囊取物3)通过网络硬盘泄密不少模具公司,都使用网络硬盘用来传递资料给客户网络硬盘只有一个上传下载的密码,不同客户的设计要求、设计图纸、公司文件甚至是公司网站内容都放在同一个地方,这也是一个泄密途径如何解决IT渠道的泄密,下面是笔者的思路解决思路一重整互联网存储资源,选择更有信誉的服务商互联网存储资源,不外乎网站空间、网络硬盘、企业邮箱三类公司的网站,里面都是公开信息,并不会造成机密泄漏而网络硬盘的和企业邮箱的选择,就需要非常慎重了先说说企业邮箱,建议选择国内比较知名的品牌企业邮箱,比如尚易、新浪、全速、21cn等,尤其是全速邮箱,已经在国内有数千家模具行业用户,积累了一定口碑而网络硬盘,则建议采用支持分级管理的,避免了同一套帐号多人使用的局面解决思路二采用新的邮件营销模式,摒弃传统方法大多数模具公司发送推广邮件采用outlookexpress和foxmail,密码明文保存在用户电脑上,而且发送邮件的过程中,密码也是非加密传输的也就是只要在局域网内安装一个嗅探软件,就可以获得局域网内所有email用户的密码,这是非常危险的企业可以采用更安全的商务邮件智能发送系统(简称邮件智能发)主要从三方面减少泄密a.原来需要10个员工找email、发送email,现在只要一个人就可以做到不仅仅更加保密,而且节省了成本b.可以灵活分配给10个用户分散使用,使用过程中的密码是加密存放的,不需要员工输入c.可以对邮件发送情况进行统计,进行有效的监控解决思路三设置权限,严控敏感信息的接触人数量大多数泄密的最重要原因就是人的因素所以需要避免更多的人接触到公司的机密信息,必要的时候可以引进一些管理软件,比如上文提到的邮件智能发软件,就可以使原来10个人的工作交给一个人做,大大减少了泄密的可能当然,如果有条件的公司,也可以考虑购买ERP或者CRM软件,在经过培训和磨合之后,也可以帮助企业防止泄密针对上文提到的网络硬盘安全问题,H公司采用了全速的网络硬盘管理系统,可以将一个网上空间分成若干区域,同时可以设定几十种用户角色,每个用户只能访问自己有权限访问的区域,增加了安全性经过H对IT资源重新加强管理之后,类似的泄密情况大为改善,没有再出现重要信件被偷窥以及网络硬盘资料外泄的事件H公司的苦恼,也是外向型中小模具公司老总共同的苦恼这类企业的成功经验很容易被复制,而且企业的泄密渠道比较多要解决这些问题,不仅仅需要上文描述的针对性措施,也需要企业提升整体管理水平,并且形成健康的企业文化企业泄密的发生原因和防止思路近几年来,泄密案件日益成为企业管理者的梦魇各种数据泄露事件越演越烈,不仅给企业带来严重的直接经济损失,而且在品牌价值、投资人关系、社会公众形象等多方面造成损害因此,企业必须加强信息安全管理
一、泄密是如何发生的泄密的情况是多种多样的,不该将所有的泄密都混为一谈分析泄密的产生原因是很有必要的,这对于如何防止泄密有直接的关系在国外,由于粗心大意而误使机密泄露的情况往往比较多在中国,首先要考虑的是来自内部人员的问题泄密并不是一个道德问题,而是实实在在的利益问题由于法律监管效果不足,社会信用体系的缺失,使得内部泄密者很容易逃脱法律的制裁,所以很多内部人员出于牟利的动机,私自盗窃企业核心机密兜售与其他企业,甚至是竞争对手在离职的时候,员工也往往将企业的核心机密拷贝带走,以作为下一步工作的重要基础因此国内企业要防范的重点是内部泄密从总体上看,基本上可以分为来自内部和外部两大类泄密的原因有内部泄密、内部失密和外部窃密细分起来,应该有以下七种情况
1.内部人员离职拷贝带走资料泄密这类情况发生概率最高据调查,中国企业员工离职拷贝资料达到70%以上在离职的时候,研发人员带走研发成果,销售人员带走企业客户资料,甚至是财务人员也会把企业的核心财务信息拷贝带走
2.内部人员无意泄密和恶意泄密企业内部人员在上网时候不小心中了病毒或木马,电脑上存储的重要资料被流失的情况也非常多由于病毒和木马泛滥,使得企业泄密的风险越来越大而部分不良员工明知是企业机密信息,还通过QQ、MSN、邮件、博客或者是其他网络形式,把信息发到企业外部,这种有针对性的泄密行为,导致的危害也相当严重
3.外部竞争对手窃密竞争对手采用收买方式,买通企业内部人员,让内部人员把重要信息发送竞争方,从而窃取机密的情况也非常多这种方式直接损害了企业的核心资产,给企业带来致命的打击
4.黑客和间谍窃密目前国际国内许多黑客和间谍,通过层出不穷的技术手段,窃取国内各种重要信息,已经成为中国信息安全的巨大威胁虽然许多企业都部署了防火墙、杀毒软件、入侵检测等系统,但是对于高智商的犯罪人员来说,这些防御措施往往形同虚设
5.内部文档权限失控失密在单位内部,往往机密信息会分为秘密、机密和绝密等不同的涉密等级一般来说,根据人员在单位中的地位和部门的不同,其所接触和知悉的信息也是不同然而,当前多数单位的涉密信息的权限划分是相当粗放的,导致不具备相应密级的人员获知了高密级信息
6.存储设备丢失和维修失密移动存储设备例如笔记本电脑、移动硬盘、手机存储卡、数码照相/摄录机等,一旦遗失、维修或者报废后,其存储数据往往暴露无遗随着移动存储设备的广泛使用,家庭办公兴起,出差人员的大量事务处理等等都会不可避免地使用移动存储设备因此,移动存储设备丢失和维修导致泄密也是当前泄密事件发生的主要原因之一
7.对外信息发布失控失密在两个或者多个合作单位之间,由于信息交互的频繁发生,涉密信息也可能泄露,导致合作方不具备权限的人员获得涉密信息甚至是涉密信息流至处于竞争关系的第三方因此,对于往外部发送的涉密信息,必须加以管控,防止外发信息失控而导致失密
二、防止数据泄露的基本思路根据以上分析,企业可以根据自身情况,有针对性地采取措施,做到有的放矢,彻底防至于泄密事件发生因此,防止数据泄露主要考虑以下三个重要方面
1.从源头上确保数据安全,对核心数据加密通过加密来确保数据安全,已经成为多数信息安全专家的共识不论是防火墙、杀毒软件、入侵检测这“老三样”信息安全系统,还是新兴的上网行为管理、防水墙等系统,都已经在实践中证明是无法防止泄密的不论企业网络的各种端口管控如何严密,由于数据本身并没有做安全处理,都给留下了极大的泄密隐患再高明的上网行为控制,都无法阻止内部人员直接把硬盘卸下来,挂到另外的电脑上去拷贝数据采用加密手段,对数据进行加密保护,已经成为业界主要的做法北京亿赛通是中国最早从事加密软件研发的信息安全企业,从2003年开始已经在国内首倡加密保护数据安全的理念
2.从数据产生、存储、使用、修改、流转和销毁的全生命周期防止泄密虽然我们确定要对数据进行加密,但是如何对数据进行加密却是一个巨大的问题而且,由于要不断地被使用和修改,必须采用不影响工作效率的加密技术,确保信息安全与工作效率之间的均衡由于企业数据环境复杂,数据不仅仅保存在数据库,还流转和存储在网络平台、应用系统、移动存储设备和终端等等物理环境企业信息系统在运行过程中,数据一般都会在服务器、终端、网络、业务系统等物理环境上产生、存储、使用、修改、流转和销毁而不同的物理环境中,数据的状态也是不同的因此,因此采用加密手段,要分别针对不同的信息环境来进行
3.对特别容易发生泄密的情形,要采用加强型防泄密措施首先要提到的是服务器和数据库服务器和数据库往往存储企业最核心的信息,是必须加强保护的重点 笔记本电脑也往往是数据泄密的重灾区已经有不计其数的人因为笔记本电脑丢失、维修和报废后导致的数据泄露,闹得声败名裂移动存储设备U盘、移动硬盘、MP3/MP
4、录音笔、摄录机、数码相机、手机等也往往是数据泄密的祸根针对移动存储设备的防范措施比较多,此处不赘述企业要做好技术防范泄密工作近年来国内许多陶瓷企业致力于建设自身技术创新体系和知识产权不断在新产品开发与营销发明赢得先机作出了举世瞩目的成就如此一来技术与商业保密工作越发更加重要起来我国各地建筑卫生陶瓷行业虽然起步与发展时间较晚但由于各个企业在生产技术工艺及市场销售方法等方面具有一定的独特性及知识产权,也往往有可能成为竞争者以不当手法刺探的主要目标多年来国内许多陶瓷企业尽管千方百计防止技术秘密外泄,但仍有失密事件见诸于媒体报道由此而给企业造成了非常巨大的经济损失众所周知目前如何预防企业技术与销售市场情报失密已经成为企业经营管理非常重要的一个方面那么陶瓷企业应当如何防止其技术秘密与商业秘密被外人窃取,可从以下方面作些借鉴参考,肯定有益
一、建立与识别技术秘密范围 国内建筑卫生陶瓷企业在生产与经营的整个过程中首先应确定本公司的生产工艺技术与商业保密范围,对所有有关陶瓷产品生产的工艺、技术配方专利与技术秘诀、商户名单及销售状况等都要预先进行分门别类,建立不同的密级标准与范围,把真正属于技术与商业秘密的内容确定下来,严格加以保护但是也不要把应该公开的内容及太多的东西都划入保护单内,这样反而会适得其反如果某些普通的陶瓷信息也被错误地不加区别地当作商业秘密,那么企业真正的技术与商业秘密的完整性可能会遭到破坏,所以对于一个企业来讲做好技术保密工作首先要正确识别与划分商业、技术秘密这一点至关重要
二、有关建立必要的管理制度与控制手段 目前生产经营工作繁忙的陶瓷企业,只有采取适当措施保护好其技术与商业的核心秘密,才会使其成为有价值的秘密要在企业内部建立不同类别的密级管理制度,防止他人接近与泄露技术、商业秘密对于技术秘密档案只能让需用技术秘密的人员接触它在对技术与商业秘密资料管理方面全部的数据内容均应该安全存放,不得听任任意多余的拷贝与复制而对于凡是需要接触技术秘密的人员均加以注明、登记在册,根据确实需要在规定的时间与地点进行阅读并明令警告其防止扩散与泄露,当然也应建立对泄密与窃密者的惩戒制度,对于保密工作进行定期检查 一些与陶瓷生产经营有关的商业及客户信息资料一旦被确定为商业秘密后,要清楚地标明“秘密”、“机密”及“绝密”等字样,并在有关拷贝上也应注明,还需在商业秘密的文件上,标明概括信息的简明警告如该信息包括有某公司极有价值的机密与商业技术秘密资料,未经正式书面许可,任何部门与个人不得拷贝、泄露与使用等等
三、企业要制定好技术、商业秘密的防盗措施 企业拥有的秘密的内涵可以是一种制造工艺、一种电脑程序或客户名单事实上,许多陶瓷企业的工程、设计、制造及服务都拥有其自身的秘密但是目前不少陶瓷企业对于商业、技术秘密的权利与价值,在思想认识上远远不够,存在许多麻痹轻敌的思想由于未能采取必要及时的防盗措施,因此极易造成泄密事件,给企业的经济利益带来莫大损失 商业泄密最常见的方式是公司职员跳槽时将秘密携去,有的则是在企业内部寻求知密者作鼹鼠将技术秘密收买过去为此,企业必须制定相应的用人计划和措施,这对于防止企业秘密被盗十分有用
四、号召企业员工共同参与保密工作 经营素质优秀的建筑卫生陶瓷企业平常应该发动企业内部的全体员工共同参与保密,要让他们充分认识到:失密对于企业及员工自身利益的损害,是陶瓷企业防止机密被盗用的关键所在有条件的陶瓷企业应让从事技术工艺操作的员工签署保密协议,承认技术与商业秘密的机密性为使员工自觉保护企业商业秘密,一个完善的协议是十分有用的因为任何可能的技术泄密,如广告内容或正式出版的资料等都应进行严格的保密审查,防止意外泄密和在与外界客户接触中泄密
五、实施泄密追查制度 国内陶瓷企业对于严重的技术及专利泄密事件,一是必须诉诸法律保护自身利益在受侵害后的赔偿不能容忍任何的技术或商业窃秘者在获得经济利益之后逍遥法外二是要从技术及商业泄密事件中吸取教训,筑牢防泄密的铜墙铁壁,严格实施泄密追查制度,查到人,查到事,做到亡羊补牢 随着国内外建筑卫生陶瓷市场竞争的不断加剧,陶瓷企业面临的保护自身 的技术秘密与商业秘密的任务也越来越重要因为只有保护好自身的技术秘密才能保证企业本身的竞争优势,在激烈的 市场竞争中立于不败之地如何预防企业商业秘密泄密
一、防范家贼 俗话说“家贼难防”,其实,留意一下这些细节就能让他无处下手!
1.打印机——老掉牙的办公设备,但也是泄密的罪魁祸首 即使是激光打印机,也有10秒以上的延迟,如果你不守在旁边,第一个看到文件的人可能就不是你了大部分的现代化公司都使用公用的打印机,并且将打印机、复印机等器材放在一个相对独立的空间里于是,部门之间的机密文件就正式从设备室开始,在其他部门传播当部门之间没有秘密,公司也就没有秘密了 提醒守住你的打印机,如果你要上厕所,那么不要用统筹法在上厕所前按下打印键,节约的只是数十秒,丢掉的可能是更多
2.打印纸背面——好习惯换取的大损失 节约用纸是很多公司的好习惯,员工往往会以使用背面打印纸为荣其实,如果我们中的某位有心人将“废纸”收集在一起,往往不费吹灰之力就可以知道董事会的决议、办公会的决定既详细又准确,活脱脱一幅呈阅领导过目的文件 提醒重要文档不要戴着节约的帽子,就顺手纳入到废物利用的行列!
3.电脑易手——了解新公司最好的渠道 几乎所有的白领可能都有过这样的经历:如果自己新到一家公司工作,在前任的电脑里漫游是了解新公司最好的渠道在一种近似“窥探”的状态下,从公司以往的客户记录、奖惩制度、甚至前任的辞呈,很多事情“尽收眼底”一切历史机密,统统泄露!提醒电脑部的管理人员如果公司太小,那么就劳驾老板将工作资料清空再格式,小心驶得万年船,况且这只是举手之劳
4.共享——做好文件再通知窃取者 这样的事情肯定您都做过将文件放在电脑共享后,大喊一声“文件在共享,自己取”,对方应答后乐颠颠地拷出没错,是好方法,但你共享后,你记住删除了吗?对方删除了吗?问100个人,大概90个人不敢说自己都删除了,事情一多,谁记得这个? 提醒要么不用共享,要用的话,记住删除你的共享文件,或者提示一声“拷完就删”
5.新进培训——无所保留只会有所失望 新员工进入公司,大部分的企业会对新员工坦诚相见从第一天开始,以“更快融入团队”的名义,新员工就开始接触公司除财务以外所有的作业部门,从公司战略到正在采取的战术方法,从公司的核心客户到关键技术但事实上,总有超过1/5的员工会在入职3个月以后离开公司你的竞争对手了解你,只因为你举办的一次招聘会 提醒培训是好事,但对新员工而言,重要的是基础培训,而不是一切信息告知
6.传真机——错过的往往是最重要的 传真永远不及时,尤其是使用公用的传真机,你往往望眼欲穿也可能错过传真你一定要求过对方重新发送,同时,你肯定也错拿过别人甚至领导的重要传真而这些最重要的信息自然也可能通过这个渠道流落出去 提醒传真机一旦公用,就意味着你应该小心“信息失真”,最好的办法也是最笨的办法,专人负责,如果没有专人,那么不妨做个守株待兔的“农夫”
7.公用设备——不等于公用信息 人们经常公用U盘、软盘或手提电脑如果“有心人”把U盘借给公司的财务用,在对方归还的时候就有可能轻易获得本月的公司损益表和税收明细商业竞争对手完全可以把你的家底摸清,甚至会向税务部门举报你的偷税漏税 提醒部门内通用的设备要设定权限,每次使用公用设备前一定要做好清除工作,这样也是对自己使用公用设备的一种负责
8.光盘刻录——资料在备份过程中流失 如果想要拿走公司的资料,最好的办法是申请光盘备份,把文件做成特定的格式,交给网络管理员备份,然后声称不能正常打开,要求重新备份,大多情况下,留在光驱里的“废盘”就可以在下班后大大方方带出公司 提醒光盘备份要谨慎,严格控制,网络管理员要亲自负责监管,为了保证其细心负责,监管工作要纳入到日常工作考核
9.会议记录——被忽视的黄金 秘书往往把会议记录看得很平常,他们不知道一次高层的会议记录对于竞争对手意味着什么公司里经常可以看见有人把会议记录当成废纸丢来丢去,任由公司最新的战略信息在企业的任何角落出现 提醒秘书没有安全意识,起码职业能力应该值得拷问,赶紧给你的秘书打招呼,下次别把你的会议记录拿去画卡通了
10.客户—你的机密可能变成客户酒后佐证知识渊博的可怜证据 一些客户喜欢引经据典来证明自己的英明,现在又流行理论结合实践,于是在一时尽兴之下,你的一些本应天知地知的机密在各种论坛、各种采访、各种应酬中频频曝光 提醒我们不能期望所有的人都是圣人,但我们也无法大度地笑看自己的隐私和公司机密一再被外人点评议论,所以,再好的客户也要“不该说的不要说,不该问的对方问了也不要说”如果实在避免不了让客户接触知道公司机密,那么再好的朋友也还是请他签署一份规范公证的保密协议书;靠一份厚厚的协议书和违规条款,足以经常提醒他要恪守职业道德
11.入职后一星期——新人的学习期 新人在第一个星期里收集的资料是平时的5倍,他为了熟悉公司,时刻处在疯狂的拷贝和传送状态中只有在这一个星期里,他是随时准备离开的提防你的新员工,无论你多么欣赏他 提醒如果建立好了信息级别制度,那么拷取的也只是边角碎料,无伤大雅
12.合作后半个月——竞争对手窃取情报的惯用手法 假冒客户,在初次合作的半个月里,你对信息安全的谨慎只能表明企业做事的严谨,可以赢得大部分客户的谅解和尊敬除非,他是你的竞争对手 提醒合作的人不都是远方的贵客,多个心眼,总没错的
13.私人电脑——长期窃取公司资料必备手法 只要把自己的笔记本电脑拿到单位来,连上局域网,只要半小时,就是有1个G的文件也可以轻松带走 提醒请出信息限级的招数 警惕外患 持刀明劫的强盗往往很少,而披着各种伪善外衣,打着“合作共荣”的间谍倒是常有
14.宣传、接待——“主动”的泄密 不少单位或组织在对外的宣传报道中惟恐人家知道得不全面、不具体,在接待过程中惟恐人家说不热情,有求必应在不知不觉中,造成了秘密泄露我国一家电子企业设计成功国际独有的高灵敏度电子信号接收馈线,外商极感兴趣,与其签定了合资生产意向书后,中方忽视保密,多次接待外方参观,提供资料,外方掌握了全部技术工艺后,在美洲生产出同类产品,意向书成为一纸空文 提醒接待的贵客中可能也夹杂着阴险的豺狼最可恨的就是,善良的企业家们对于打着招商、引资、业务洽谈、招标等旗号的客人,往往放松了警惕,好吃好喝招待之余,生怕招待不周,于是,一些有心的同志,就顺其自然地,借参观考察之机对生产设备、工艺流程进行录像、拍照,并套问关键技术,索取相关资料,窃取商业情报
15.合资、合作的幌子——打着引入资金的路子进行窃密 不少中方企业都吃过假合资、真窃密的苦通常的中外合资中,外方以资金入股,中方以技术、土地、厂房等入股是一种惯用的投资方式但对于用何种技术入股,如何保护有秘密性的技术,则忘记或忽略了,一不小心技术就被忽悠泄露了出去 某大型石化公司研究所在西气东输过程中,与境外某公司共同组建一股份制公司,该石化公司以其专有技术入股,占20%的股份然而,股份公司经营不足半年就垮了,该研究所的技术成果没有得到一点回报,而其他合作方却因掌握了该技术而自行办厂,效益丰厚又如,某市一家粮油公司在对花生加工设备的技术改造中取得突破性成果,由于忽视了保密,没有作为商业秘密采取一定的措施去保护,被打着合作幌子的日本一家企业套去了技术资料,人家抢先申请了专利,反过来状告我方侵权,要求赔偿,我方干吃“哑巴亏” 提醒即便合资、合作成功,你的技术专利算成钱入股的情况下,你也要明白,如果合资合作对手不诚实,技术也不一定能产生效益,甚至反被他人窃用慎重选择合资合作对手,不要因为对方答应你的技术入股,就以为万事大吉!
二、防患于未然 探本溯源,信息偷窃常有既然无法杜绝外部大环境的丑陋,消除窃贼的惦记,那么就只能从内部信息源头入手,建立起完善完备的信息保密制度 毕竟,围堵终究不是办法,不切断源头,泄密事情总是防不胜防
1.切断源头,设立信息级别制度——对公司的机密文件进行级别划分比如合同、客户交往、股东情况列为一级,确定机密传播的范围,让所有人了解信息的传播界限,员工由自身的岗位确定相应的信息级别,低层次的岗位级别不能查阅了解、拷贝、接触到高层次的信息级别
2.重视保密协议——无规矩不成方圆,无论作用大小,和员工签署清晰的保密协议还是必要的保密协议的内容越详细越好,如果对方心胸坦白,自然会欣然同意
3.责任分解——明确每个人对相关信息的安全责任所有的机密文件如果出现泄露,可以根据规定找到责任人,追究是次要的,相互监督和防范才是责任分解的最终目的
4.技术防盗——比如西门子公司从硬件设备上防止员工拷贝公司资料,根据级别区分,公司的大部分员工电脑是不能安装软驱和移动硬盘接口的而IBM公司规定每个员工只有三次查阅同一文档的机会,并且这三次查看的时间、地点、原因都会被严格地记录下来 同时,一些公司的设备还时刻提醒员工注意保护商业机密例如,在苹果计算机公司的一些会场内总会有这样的提示语“请擦去黑板并将你所有的秘密文件处理掉,工业间谍在你之后预定了这一房间”而夏普的办公区每隔不远处放置了碎纸机,员工需要将所有用过的废纸进行处理
5.科技防盗——“科技鼹鼠”的产生,导致利用技术获取商业秘密的手段花样繁多,所以企业也应配置必要的防范设施,提高技术防范能力例如,选择低辐射的通信、办公自动化设备;在有关涉密部位或区域安装报警器、电子监控系统、物理屏蔽;配置计算机视频保护器、磁盘消磁器 信息时代自然需要加强对信息的保密,我们的企业家不妨立马行动起来,仔细对照上述细节,好好挖掘反省,这样,你的商业秘密被敌人获得的几率将大大降低如何防范员工的泄密离职高峰潜伏的风险年底将至,企业开始渐渐进入一年中的跳槽高峰期最近一份调查显示85%的职员可以轻松地下载“有竞争力”的资料和信息,然后带到下一份工作中尽管大部分工作者可以从现在的公司下载资料,但只有32%会为了增加在下一份工作中的竞争力而“出卖”资料超过80%的人承认从工作中下载资料文档等回家使用,最常用的方式是使用USB传输数据对于企业来讲,那些即将离职的员工是很危险的因为不论出于什么原因,他们都希望能够为自己以后的工作获取必要的资源一位离职员工很坦然地说“实际上,离职员工通过各种手段从原公司拿走一些资料已经成为一种习惯,当然这些资料只是方便以后工作,而不是直接用来出售”当然,也有些员工为了在应聘时博得新雇主的喜爱,而积极地回答雇主的疑问,而其中有许多问题都是新雇主为了获取竞争对手的资料故意设置的当然,也不乏有员工故意泄露企业商业机密,以为自己牟取利益在几年前,可口可乐曾出现过员工出卖公司资料的事件总部设在纽约的百事可乐公司向可口可乐提供了一份邮件复印件而该邮件是用可口可乐正式商业信封寄往百事的,寄信人“德克”自称为可口可乐高层雇员,并提供了“十分详细的机密信息”可口可乐立即与联邦调查局取得联系,后者当即展开了秘密调查此后,这个自称“德克”的泄密人又提供了另几份被确认为商业机密的可口可乐绝密文件,并提供了一份机密的可口可乐新产品样本几天后,一名联邦密探提出以150万美元向“德克”购买其他商业机密后被证实这个机密为可口可乐正在开发的新产品样本最后,3名嫌疑人得到了应有的惩罚,而可口可乐公司也重新审核了其资料保护的相关政策、程序及制度,以确保知识产权不受侵害那么,职员什么样的行为算泄露公司商业机密?企业该如何预防和应对雇员泄露公司商业机密呢?到底什么才是“秘密”对于企业来说,什么才是商业秘密?商业机密的范围很广,任何与社会竞争、经济利益相关的特定信息都可能构成商业机密比如产品配方、工艺程序、研发材料、机器设备改进方案、图纸、客户资料、财务数据、商业计划书等同时,商业机密是特指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息在许多企业中,商业机密的泄密事件每天都在发生然而,对于这种信息流失,企业和员工却有可能是全然不知比如作为老板在工作会议中无意中就透露了商业机密,而不要忘了“说者无意,听者有心”,因此要避免“祸从口出”,首先就要从高层树立起保密意识,并且要身体力行,才有可能让你的员工有意识、审视和意识到自己的行为,是否已经是泄密了有位老板说他曾经有一个员工,在离职时带走了自己设计的软件因为他的理由是软件是自己设计的,就应该是自己的所有权,如果公司要用,那么就要付费,否则就是侵权;还有的员工认为客户是我开发的,我为什么没有权利带走他们的资料?于是,员工普遍理直气壮,而企业又有些束手无策然而,在法律上有一个关于“职务发明”的界定,而这类发明的所有者就是企业职务发明指执行本单位包括临时工作单位的任务或者主要利用本单位的物质技术条件是指本单位的资金、设备、零部件、原材料或者不对外公开的技术资料等所完成的发明创造那么,基于职位获得的客户资源,毋庸质疑的应该是企业资源因此,企业就要想方设法地收集和存储这些资源,充分做好知识管理;而研制新产品的过程中,其实是保护最薄弱的时刻因此,在企业里要相对封锁消息,让最少的人知道新产品的动向然而,为什么会有员工泄露公司机密和出卖情报?不可否认,出卖情报有时可以成为赚钱的手段,跳槽的资本或者要价的砝码,甚至是报复的暗箭那么,又该如何看好企业的“机密库”?看好企业的“机密库”无论是当年秉承着“企业是家”文化的联想,还是百度这个近年来的最佳雇主,都曾因闪电裁员而备受争议尽管这不能不称其为保护商业秘密的好方法,但确实会让人难以接受这种太过“冰冷”的方式但不可否认,联想在裁员前先封掉其局域网中ID的做法,不失为一种办法随着科技程度的提高,一个小小的闪存、一封EMAIL、录音、偷拍等手段都可能使机密瞬间不再是秘密,甚至随着知情人的增加,连追究与索赔都变得十分困难那么,如何防范员工的泄密问题呢?第一,大量的泄密是通过计算机和拷贝,所以技术泄密的问题必须用技术的方法去解决比如加载防止拷贝的软件既要设置专人的监管,也要通过技术性的监管第二,就是分割条块,稀释机密企业不妨根据信息的价值,来确定保密的等级和涉秘的人群由于一个项目的开发需要众多人的合作,如果部门之间完全没有秘密的时候,那么公司也就没有秘密了因此,有一个重要的保密原则就是稀释核心机密,让需要的人只知道可以知道的东西也就是说,把一定的事项方案和计划分成若干部分和环节,允许不同的人知道,但每一个人只知道自己的一部分,而谁都不清楚全部,也就是不把鸡蛋放在同一个篮子里的原则第三,绝密文件的使用需要有法人代表进行审批同时,要建立严格授权制度,以及泄密的问责制度对于企业来说,保密的重点不是已经成熟的技术,而应该是正在研发的技术和核心的新技术因为这些技术还没有受到专利保护,一旦泄密的话,会成为被竞争对手打击你并战胜你的手段信息安全不是一个部门的事情,而是需要在信息形成时期,就开始安全防护根据机密的价值,设定保护的成本,以被保护商业秘密的价值,来确定适合的保护范围同时,知道的人越少,当一旦有机密的泄露,也相对更容易界定责任和责任人第四,注重细节管理确定关键岗位和关键部门实施重点防护同时从内部流程制度建设上,完善保密程序尤其对于研发、财务、信息系统等核心部门,更要注意其人员的素质水平,不仅要注意管理和激励,更要让他们感受到信任和责任感同时,企业要关注员工的情绪和心理感受,以防止产生恶意的泄密现象第五,健全制度,依法维权加强保密教育和培养保密意识,是企业不仅要做,并且是要根据企业的具体情况制定出保密制度比如与核心员工进行的竞业禁止协议的签订,电脑硬盘的管理,离职前的交接,客户信息的集中管理等竞业禁止协议固然重要,然而企业的保密文化的建设、员工激励、对员工的信任,以及高管自身的职业操守的加强则更为重要道德与利益的博弈,无时无刻不存在邓小平曾经说过“在安全战线上没有朋友”对于企业来说,如何让离职员工,心中充满感恩而不是怨恨,甚至依然能和企业是朋友,的确需要一种文化的境界六项措施教你如何防范企业数据泄密 对于一个有着与人体生命体特征相似的企业来说,企业当中的机密数据就构成了它的血液如果与企业相关的机密数据丢失,就不可能及时给企业的生存和发展带来需要的营养,也就有可能危及企业的生命并且,一些特殊的企业还必需遵从其所在位置的地方性数据保护法规的要求,也需要解决企业数据丢失的问题因此,如何防范企业数据的丢失,就成为现在企业信息化应用过程中最需要解决的问题之一 但是,现在的企业要想防范其机密数据不丢失,并不是一个轻而易举就能解决的任务主要原因有3个
1、第一个原因就是随着企业和信息化应用规模的不断扩大,在企业的信息化应用过程中会产生大量的机密数据而企业信息化应用规模的不断扩大,也就意味着网络结构越来越复杂,再加上现大各种可移动存储设备,例如笔记本电脑、PDA、智能手机和U盘等,以及WIFI无线的应用,就使得企业的信息化应用结构也越来越复杂当这些企业机密数据在复杂的信息化系统结构中不断流转时,就会给我们控制机密数据的使用增加了难度,也就相应地增加了机密数据丢失的风险
2、第二个原因就是现在的企业所处的网络环境中存在越来越多的安全威胁,例如黑客入侵、特洛伊木马和网络嗅探等,这些安全威胁的攻击水平和攻击破坏力也在不断地提高并且,现在的企业还面临一个更加严重的问题,就是企业原本部署的传统安全防范设备,只能用来防范来自企业外部的安全威胁,而现在企业数据丢失的主要原因却来自企业的内部这是因为企业内部的员工已经处于企业网络内部,拥有一定的访问企业网络资源的权限,并且,他们知道企业中的机密数据主要分布在什么位置的什么设备之中而且,他们对企业内部已经部署的安全防范措施有了一定的了解,更加容易知道其安全防范的死角在什么地方,也就更加容易找到突破口来得到企业中的机密数据 这个问题在经济危机时期显得更加明显,主要是一些企业开始大规模地裁员,而这些离职的员工手上拥有大量的与企业相关的机密数据一旦企业不能够及时妥善地处理好这些离职员工的帐户和权限,那么企业中的机密数据就有可能通过离职员工流出到竞争企业或互联网等公共场所
3、最后的一个原因就是企业现在正处于经济危机时期,为了能够生存下去正在想方设法地缩减各种成本而现在许多企业原有的安全防范措施根本不能达到保护数据安全的要求,也就意味着需要企业增加相应的安全投入增加投入也就是会增加企业的成本,这不仅与企业缩减成本的近期发展策略相互冲突,而且在追加数据保护措施时有可能会影响现在的业务这样一来,也就将企业推到了一个两难的选择境地到底是选择增加安全投入,还是保持现状 虽然企业在防范数据丢失的过程中还存在上述所示的诸多问题,但是,很幸运的是,现在有一些企业已经成功地在其信息化结构中部署好了防范数据丢失的解决方案,并且取得了良好的效果因此,我们完全可以吸取这些企业在保护数据安全方面取得的成功经验,来为我们防范企业机密数据丢失提供相应的实践指导 防范企业机密数据丢失的成功经验主要包括6个最佳做法了解企业中有哪些机密数据,并按重要程度进行分类、了解企业中的机密数据都驻留在什么位置及设备当中、识别造成数据丢失的风险来源和性质、制定一个适合自身需的数据控制策略、集中化管理控制和安全审计下面我就分别详细说明这6个防范数据丢失的最佳做法到底该如何具体地去完成
一、了解企业中有哪些机密数据,并按重要程度进行分类 从安全的观点来看,企业中所有的机密数据并不会具有同样的重要程度因而,要防范企业中的机密数据丢失,首先要做的就是了解企业中哪些机密数据是最重要的,或者可以理解为企业中的哪些数据对企业业务来说是最重要的,并且受到安全威胁的可能性也是最大的通过确定企业网络中最重要的机密数据,就可以在建立数据保护策略时,在其中按数据的重要程度规定不同的防范等级那么,企业要如何做才能将企业网络中所有的机密数据按重要程度为类呢 要回答这个问题,首先我们需要了解企业的业务结构,调查各个部门和企业的整个业务流程等等,并且,还要明白企业中各个部门的数据是否需要遵从企业所在位置的某个数据保护法规例如,一些在美国上市的国内企业的财务数据就必需遵从萨班斯Sarbanes-Oxley法案,而销售部门可能就需要遵从另外一个法案,例如国外的PCI法案,而且还必需遵从我国制定的相关法案,例如即将执行的《企业内部基本控制规范》等 一旦我们了解了企业各个部门需要遵从的数据保护法规要求,接下来就可以将各个部门的数据分成三个主要的类别最高限制级例如企业的财务报表、新产品研发资料等;敏感级,例如企业的销售计划等;以及普通敏感级,例如各供应商分布位置和产品运费等 下一步,就是确定每一类数据的具体类别、内容和属主这要求我们根据数据对企业业务的重要程度,以及对法规的遵从要求来划分例如,我们可以将供应商的基本资料作为限制级别的数据,同时要明确这些基本资料中包含哪些具体的内容,例如原材料的供应价格等;然后,还要了解这些限制级别的数据是由企业中哪个部门中的哪个具体的员工负责生成和维护的,也就是确定其操作的属主我们可以为这些数据建立一个具体的表格,用来详细说明数据的类别、内容和属主 在这里,要明白的是,这个我们制定的表格也应该将它作为限制级别的机密数据进行妥善的保护这是由于这个表格中包含有企业中所有机密数据的类型、内容和具体的操作属主等信息,一旦这些资料落入攻击者的手中,他们就可以从这个表格中了解企业的机密数据分布情况,了解这些数据由哪些员工保管,然后就可以具体针对某个员工的弱点来进行相应的社会工程攻击或其它入侵手段 当我们将这企业中的机密数据调查清楚并划分保护等级后,我们还应当制定一个操作这些机密数据的具体规范在这个规范当中应当明确规定企业中的哪些员工可以访问这些机密数据和员工的访问权限,以及应该如何、何时及从什么位置可以访问它们等等例如,对于限制级别的数据,只有少数一部分核心员工可以访问,而且,这些员工的访问权限各不相同,有些是只读,有些具有写权限还可以规定访问这些数据时的具体时间段,例如限制级别的机密数据只可以在上午10点整到11点整,以及下午15点整到17点整这两个时间段允许特殊权限的人员访问并且,还可以明确员工只能通过某台具体的工作站才能访问这些数据,而且不能以直接接触的方式去访问它们等等
二、了解企业中的机密数据都驻留在什么位置及设备当中 对于这个问题,一些读者可能会认为它很容易回答“企业中的机密数据驻留在什么位置,这不是显而易见嘛,那当然是保存在数据库服务器或文件服务器之中了”这样的回答也对,但回答的内容只是企业机密数据可能驻留位置中的一小部分而已 企业数据库中保存的机密数据充其量也只是整个企业机密数据中的一小部分尤其是在今天这个企业
2.0和WEB
2.0大行其道的时期,各种移动存储设备在企业信息化应用环境中大量使用,造成大量的机密数据就有可能驻留在笔记本电脑、智能手机、PDA和U盘等可移动存储设备,以及有可能保存在访问这些数据的应用程序、文件服务器和协同办公服务器之中,还有可能驻留在电子邮件服务器和WEB服务器等位置当然,机密数据还可以以数据包的形式存在于企业内部网络传输介质、互联网传输通道和WIFI电波当中,更有可能保存在企业或员工的网络博客、WIKI,以及社交网站及TwITter等网站之中 对于如些众多的可以驻留企业机密数据的位置和设备,我们该使用什么样的方法去发现保存在这些位置和设备上的机密数据呢 要回答这个问题并不容易,但这又是必需详细完成的任务因此,对于大多数企业来说,必需花一定的时间来作一次全面的机密数据发现之旅,以便企业能够将所有可能驻留机密数据的位置和设备全部标识出来,并绘制一张相应的机密数据驻留位置结构原理图 但是,现在的一些企业,由于不想花费一定的时间来解决这个问题,他们通常用下列的3种方式来对待企业中的机密数据
1、保护企业中所有数据的安全这种做法从现实来说是不太现实的,而且,就算真的要去实现,也是相当昂贵的绝大多数企业更本没有这么多的预算和技术力量来完成这个不可能完成的任务
2、对企业中的所有数据听之任之不加保护这种方式在我国许多的中小企业当中仍然普遍存在他们不知道如何保护数据安全,也不去想如何去保护它们的安全,更不想花钱去做这样的事但是,一旦与企业相关的机密数据丢失或泄漏后,对这些企业的打击往往是最致命的,可能会让他们从此一厥不振
3、对企业中的部分数据进行保护这种方式在我国大多数据企业中存在,企业使用一种并不全面的数据保护方式,例如应用某种数据加密产品来保护企业中某个设备当中的某些数据的安全,然后就认为整个企业中的机密数据都已经安全了这样的数据保护方式往往让企业产生一种侥幸心理,但是这往往完全忽略了其它威胁企业机密数据的安全威胁,使这种侥幸的数据保护方式在某个时候变得不堪一击 为了防止企业还使用上述的方式来对待企业中的机密数据,我们必需超出以前错误的数据保护方式,在实施具体的数据保护解决方案之前,先使用一个完整的机密数据发现过程来回答下列的一连串问题
1、是否有机密数据保存在数据库当中如果有,那么这些机密数据是存在于数据表、列还是字段当中
2、是否有机密数据处于共享状态如果是,那么这些机密数据是存在于共享文件夹之中,还是以单独的文件方式提供共享
3、是否有高度机密的数据存储在笔记本电脑等可移动设备当中如果有,那么这些保存有机密数据的笔记本等移动存储设备的使用者是谁
4、是否有高度机密的数据需要在局域网内部及互联网上传输例如电子邮件,如果有,那么现在这些机密数据在传输过程中是否经过了加密或其它方式的保护
5、是滞有高度机密的数据可能会保存在WEB服务器或博客等互联网之中如果有,这些机密数据存储的位置是企业提供还是由员工自己提供是以什么方式存在是否经过了保护 接下来,我们还需要了解企业中的机密数据目前是如何被使用的,以及企业中的员工还存在哪些违反数据安全操作规程的行为对于目前的企业来说,我们必需重点调查下列所示的违规行为
1、调查企业中的员工是否在公共场合谈论与企业数据安全相关的话题,以及是否将企业的机密数据无意泄漏到互联网等公共场合例如,企业中有些员工在电话中、即时聊天软件或在酒吧等场合,与在场的人大谈其企业的安全防范体系是如何好,使用了什么样的安全产品,安全防范体系如何强大,其本意可能是为了以此来提高自己的话语权和受到大家的关注但是说者无意,听者却有心这就有可能将企业中使用的安全防范设备的类型,以及安全防范结构等信息透露给了攻击者,也就让一些攻击者毫不费力地将企业的安全防范体系摸了个清清楚楚
2、调查我们所在企业当中是否存在轻易将一些机密数据,不经过审核或审计就随意复制到笔记本电脑、U盘或PDA等可移动存储设备中的行为,并且,还要了解这类设备是否经常离开企业的保护范围进入公共场所
3、调查企业中的客户信息是否从数据库或文件服务器,以不安全的方式发送到其它位置,或者可以随意被任何用户打开读取
4、调查企业中的机密数据在备份的过程中,是否真的会畅通无阻地到达预定的位置的指定备份存储媒介当中,是否能保证整个备份过程中不会被干扰 我们可以通过数据发现处理过程,来建立一张企业机密数据的分布位置图,并以此来作为制定数据保护策略的重要依据机密数据发现过程是一个相当繁琐的过程,通过手工方式将让我们无法承受,也可能不能得到全面的结果,因而,我们在这个阶段可以通过使用一些免费或商业的软件来进行对于现在大部分的数据丢失防范产品来说,都已经将数据发现功能作为一个重要的构成部分包含在产品当中,这个功能也是我们在选择相应产品时需要考虑的功能之一 而且,我们必需明白的是,数据发现是一个长期的持续过程,它应当与数据的整个生命周期相对应,而不是一次性事件因为数据在其整个生命周期当中并不总是一成不变的,它会随着其使用以不同的类型,不同的方式存在于不同的位置和设备当中
三、识别造成数据丢失的风险来源和性质 相对于了解企业中机密数据的分布和使用情况来说,认识企业数据正面临的安全风险和其性质是同样重要的我们只有了解了企业数据目前面临的安全风险,才能知道要防范的是什么,才能知道以什么方式去应对同时,我们还应当了解企业在发生数据丢失的安全事件后,可能会给企业造成的损失和影响的大小,以及这些损失企业是否可以承受 对于当前针对数据的安全威胁类型,在一些安全网站上会每天进行公布,我们完全可以去这些网站当中订购一份邮件列表,然后我们每天就会收到这些网站发送给我们的最新安全威胁、漏洞及补丁更新等信息了提供这些邮件列表的网站有http://www.securITyfocus.com/等另外,一些调查机构每年都会针对数据安全风险的来源作具体的调查分析,我们也可以到这些调查机构的网站阅读这些调查报告,来了解当前主要的外部和内部威胁了这样网站有http://www.sans.org/ 在这里要明白的是,最大的安全风险并不是来自企业的外部,而是来自企业内部例如,员工的误操作,或者故意的攻击行为等等这些来自内部的安全威胁所造成的损失要比来自外部的风险大得多,这些威胁的攻击成功率也高得多因而,按前面所述的方式调查企业内部员工的违规行为也同样重要 但是,并不是每个企业当中都会存在同样的安全威胁这是由于每个企业的网络结构不同,网络应用的目的不同,因此网络中使用的设备和软件也不会相同,以及企业中员工的安全意识和忠诚度也不相同,也就决定了每个企业中的数据安全威胁的类型和多少也不会相同因此,我们必需结合企业自身的实际情况,以相应的安全威胁调查报告为参考,得出自己所在企业可能会面临的风险类型、数量及性质 当然,能够准确了解到企业可能会面临的数据安全风险,能够让我们做到有的放矢,也能为安全投入节省成本但是,威胁是会不断地产生的,而且我们也不可能做到预测完全准确因此,在考虑企业可能会面临的数据安全威胁时,应按宁可错杀一千,不可放过一个的方式进行对于企业机密数据可能会面临的安全风险,我们也可以为此构建一个风险模型来实时分析风险的类型、数量和性质 下面是目前最常见的数据安全风险
1、数据存储媒介丢失或被盗这些存储媒介包括磁盘、磁带、笔记本电脑、PDA、U盘等设备造成丢失的原因可能是员工无意中丢失,也可能是被攻击者故意盗走丢失的位置也可能是在员工出差的途中,或者存放这些设备的位置,例如员工家中、出差所住的宾馆,以及备份媒介保存的机房,企业内部保管室等位置如果这些丢失的设备中包含机密的数据,攻击者就能将它们出售,以便获得非法利益
2、员工故意违反一些企业的员工,尤其是手中掌握大量机密信息的特权员工,例如数据库管理员,或网络管理员,甚至是企业的营销人员手中握有大量的客户资料他们可能将手中的机密信息出信给企业的竞争对手,也可能将它直接出售给黑客,以此获得非法的利益例如今年央视
3.15晚会上所揭露的某些地方的移动公司员工将用户隐私信息出售的事件,就是一个非常明显的员工利用自身特权违反企业数据保护条例的行为
3、机密数据无意公布出去例如企业员工无意将一封包含机密信息的电子邮件,没有加密就发送给一个非授权用户,以及一些员工无意将一些企业的机密信息贴到自己的网络博客或WIKI当中,或者通过TwITter或即时聊天的方式发布到公共网络环境当中
4、黑客攻击内部黑客攻击者利用自己已经拥有的某种访问权限,通过一些非常规的手段以获得企业的机密数据例如使用网络嗅探、中间人攻击等方式来得到在企业内部局域网中传输的机密数据以及通过物理接触的方式直接拷贝机密数据到可移动存储设备中在使用无线局域网的企业当中,内部攻击者还可以通过无线网卡加软件的形式构造一个非法无线AP,以欺骗一些内部员工将其无线设备连接到这个非法无线AP上而一些外部黑客也可以通过社会工程方式利益企业内部员工,或使用网络钓鱼方式欺骗内部员工感染木马,然后从内部开始入侵企业数据库或文件服务器,或者使用网络嗅探来得到机密数据在无线局域网中,外部攻击者通过使用无线嗅探软件的方式得到经过WEP加密的机密数据是很容易的
5、直接物理接触方式攻击这种攻击方式大部分也是内自企业内部这是由于企业内部员工本身已经身处企业内部,他只需要使用一些小小的计谋,就可能会直接接触到保存有机密数据的设备位置,通过拷贝、打印、拍照、复印,发送电子邮件,甚至直接将存储媒介拆走的方式来得到机密数据一些外部攻击者,也可以通过社会工程的方式,欺骗企业保安人员和内部员工相信他是某种身份,然后它就可以直接进入企业内部进行数据盗取操作这样的情景我通过在一些间谍和智力犯罪的电影中看到,例如非常出名的十一罗汉系列,以及越狱等电影及电视剧中经常会出现这样的镜头
四、建立一个适合自身需求的数据控制策略 当我们完成了上述三个步骤中的任务,接下来要做的就是根据上面得到的内容来制定一个数据安全风险控制策略,在这个策略当中应当包括数据安全控制的具体操作流程和使用的安全技术和产品 一个具体的数据保护策略应当由两个主要部分构成其一就是控制机制,也就是具体的控制类型;另一个就是控制点,也就是具体要控制的对象,例如,存储设备、数据库、文件服务器、应用程序、网络设备和终端设备等 一个全面的深度数据安全保护体系应当由下列三个部分构成
1、访问控制 访问控制包括两个方面认证,也就是通过一种验证机制来证明访问数据的用户就是用户申明的他自己;另一个方面就是授权,也就是当用户通过认证后,授予给他的权限,这个权限中规定了用户可以对数据进行什么样的操作现在,许多安全产品和应用程序都使用了这种访问控制方式,例如WEB访问、双因素认证等
2、数据控制 数据控制就是控制数据本身不被违规数据控制包括相应的技术和产品,例如应用数据加密和加密密钥管理,数据丢失防范DLP产品和企业信息权限管理RMS
3、审计 审计的目的是为了提供一种反馈机制,用来确定数据保护策略和实施的数据保护解决方案果真按我们设置的方式在运行现在也将这种方式称为安全信息和事件管理SIEM审计控制功能通过会包含在一些相应的数据保护产品当中,也可能以单独的产品形式存在,它们为我们的数据使用情况提供一种反馈和记录机制,以确保所有的数据操作行为都在预期的控制范围内进行 现在,越来越多的企业开始在企业当中部署应用数据加密解决方案,或者数据丢失防范解决方案,让它们来防范数据丢失这是由于数据加密和数据丢失防范产品都能够提供一种保护机密数据的方式,而不论机密数据是否在静止状态、在移动过程中,还是存储于终端设备之中都能够被很好地保护 数据加密能够保护数据在传输过程中不被泄漏,也能防止存储设备丢失后不会泄漏其中的机密数据而数据丢失防范产品不仅包含数据加密功能,还提供其它的数据控制方式来确保数据的安全,例如网络型的DLP产品通常部署在企业网关的出口位置,它们可以对离开企业的所有数据进行基于策略和基于内容和上下文的检测,以防止包含机密数据的电子邮件或即时聊天信息,以及其它信息未经授权和加密保护就离开企业并且会记录这些数据由哪台主机发出,什么时候发现,发送到什么位置等信息而一些基于主机的DLP产品,却会对运行它的主机系统上的一切数据进行安全防范,包括主机当中可以使用的各类接品例如,主机型DLP产品可以监控在这台主机上可以使用的接口类型,例如USB接口,以及可以在这个USB接口上使用的可移动存储设备,未经授权的相应设备在插入这个接口是不起任何作用而当授权设备使用时,还会记录是由哪个用户什么时候使用,复制了哪些机密数据等信息这是为什么越来越多的企业使用DLP解决方案来保护其机密数据和遵从数据保护安全法规的主要原因所在
五、集中化管理控制 与其它任何因素比较,管理控制机制将直接影响控制效率和企业总体拥有成本可是,现在许多企业却错误地将整个管理控制机制分散成几个不同的控制机制,这样做带来的后果就是使企业的安全防范策略失去原有的作用;使企业的管理成本不断升高;以及影响企业业务的连接性等等 为了避免上述这些问题的产生,第一个需要集中化管理的方面就是企业应当将数据安全控制集中化管理,以确保安全防范策略能够由上至下全面贯彻执行这样就更能通过集中化管理工具来全面自动化地监控安全策略的执行,并且防止违反安全策略的操作事件发生另外,集中化管理控制更加有利于确保所有员工始终遵从企业制定的数据应用规则,防止机密数据在无意中被泄漏出去 第二个需要集中化管理的方面就是加密密钥的管理对加密密钥进行集中化管理可以防止由于人为错误而造成加密密钥的丢失带来的数据安全风险,以及防止与其它的加密策略相互冲突和不兼容例如,如果企业在不同的部门或不同的设备上,虽然使用的是同一种加密产品,但是每个部门之间进行独立的加密管理,这样就给加密管理带来了更多的工作量和复杂度,也就会增加管理成本而且,如果让员工自己去决定使用什么样的加密方式,就有可能产生许多不安全的因素,同时还会增加管理成本 无论如何,不集中化管理加密密钥会给企业带来意想不到的安全风险,甚至会影响企业的正常业务例如员工中的一方使用一种加密方式,却没有将解密密钥交付给解密方,这样当解密方收到这个加密文件后会要求得到解密密钥,这样就会影响正常的业务而且,如果员工将解密密钥错误地发送给一个非授权员工,又会造成机密数据的泄漏 总的来说,对数据的安全控制进行集中化管理,是一件即能解决数据安全控制的复杂性,又能降低管理成本,节省管理时间和人力开销的主要途径
六、安全审计 安全审计可以用来不断改善现有的数据安全防范策略,调整数据安全防范方案和安全产品的设置,以保证数据在企业发展的各个时期都是安全的对于任何企业来说,在安全防范过程中都需要提供一种检验方式来反馈安全防范解决方案是否真的符合安全防范的需求,以及了解安全产品目前所处的保护状态 企业的商务活动不是一成不变的,企业的数据安全防范工作也不是一成不变的我们必需使用一种机制或技术来检验、跟踪当前数据的安全状况,以及跟踪当前企业已经发生或正在发生的数据安全事件,以便企业能够迅速对各种数据安全事件做出正确的响应,对现有的安全策略做出相应的调整来应对各种安全威胁的变化 安全信息和事件管理SecurITyInformationandEventManagementSIEM系统能够帮助我们分析和报告安全日志和进行实时事件分析一个SIEM系统可帮助我们完成下列所示的工作
1、事故调查和取证;
2、事件响应和补救;
3、遵守法规和标准;
4、为法律诉讼提供证据;
5、审计和执行数据安全策略 通过使用一个有效的SIEM系统,不仅可以降低管理成本、提高工作效率,帮助企业遵从相应法规,管理企业风险和安全事件取证而且,SIEM系统还可以为我们提供一个持续不断地改进数据安全保护策略的方式,以便能保证在企业各个发展时期的数据安全这也就是说企业的安全防范是一个具体的持续不断的过程,而不是一个一次性的安全防范解决方案的部署事件 在本文中,我只对这6个最佳做法中的一些重要内容做了具体的说明,由于篇幅的原因,在实践过程中需要用到的技术和工具,我会在后续的文章中分开来详细说明本文的目的旨在为大家提供一个保护数据安全的基本框架和解决思路。