创新应用加大数据风险 专家支招破解安全难题

企业移动社交下的数据泄漏压力

2012年被称为是 “移动设备年”，最新的移动设备的应用，特别是苹果iPhone和iPad以及基于谷歌Android系统的智能手机和平板电脑的应用，将是2012年企业安全的一个巨大的破坏因素。卜宪录总监介绍到，“移动设备日益成为恶意软件的攻击目标，给移动终端的安全防护工作带来更大的压力。并且随着移动终端设备网络化比例的不断增长，对于数据泄露防护的需求将会呈现出爆发式的增长。社交网络仍是数据安全领域较大威胁。”近年来，在中国由微博等社交网络带来的影响力可见一斑，从另一个角度讲，社交网络极大推动数据泄露防护产品的市场需求。 黄凯表示 “无线网络和移动设备的普及使得有更多类型的系统，可以更方便快捷地获取数据。社交网络也是的数据的传输多样且快速。防止数据非法流转面临着的巨大挑战，快速，便捷，灵活和变化是数据防护工作需要应对的。”

移动设备和社交网络的普及使得BYOD办公模式迅速普及，进一步扩展了数据分布和交换的方式，迫使企业数据安全管理措施必须向个人设备和互联网进一步延伸，这给传统的数据安全管理观念和系统都带来了冲击。王志海在采访中说到，“移动终端和社交网络因为具有个人属性的特点，数据安全防护工作在保护企业数据的同时，还要考虑可用性和个人隐私等问题，需要在这之间取一个可被广泛接受的平衡点，这是在移动互联网时代企业数据安全防护工作的新压力。”

从互联网技术和服务发展的过程看，每一次的重大技术和应用创新都会对数据的共享及传播速度带来极大的促进。移动设备的增长和无线技术的融合，使得这种趋势变得越来越明显，同时也增加了新的数据泄密途径，这也增大了企业的合规成本。阮晓迅表示，“移动设备设备类型众多，使用灵活，所以在企业中一直是管理的难点，同时也是泄密的重要渠道，所以在确保业务便利灵活的情况下，实现集中管理并纳入到企业信息安全管理工作中，移动设备的数据泄密也就成了重点关注对象，而现有的移动安全技术方案规模化应用从技术和成本上都还不具备优势，使得企业在面对移动设备管理时总是处于比较被动的地位，这也给企业的数据安全保护落实带来很大挑战。”

企业数据泄漏防护重在管理

记者近日就企业数据泄漏防护的问题电话采访了业界数名知名CIO，他们对于目前云计算、移动办公，社交网络无不担心。对于安全级别较高的企业，CIO表示除了部署必要的安全策略，最重要的是安全管理。这些与业界安全专家的想法不谋而合。

数据防泄漏的重点确实在于管理，这一点毋庸置疑。王志海表示，对于企业来讲，首先对企业数据进行清晰的分类，这是数据安全管理的基础；其次是对各种数据的生命周期进行清晰的整理和定义，包括数据产生、使用、存储和交换的所有环节；再次对各种数据的使用权限进行清晰的定义，确定数据使用和管理原则；最后再采用相匹配的DLP技术手段帮助企业防数据泄漏。

事实上，信息安全管理的本质是风险管理，目前业绩已经达成共识。阮晓迅表示，对于企业来讲，数据保护的驱动力也就是业务的安全要求，IT部门应该了解需要保护的数据并理解这些数据的价值及使用场景，从而了解企业的泄密途径和风险。其次企业应根据风险梳理的结果制定数据安全的策略要求，并考虑和企业信息安全管理体系的结合来共同支撑业务目标的实现。然后才应该是选择合适的产品及解决方案。

对于计划上马DLP项目的企业，卜宪录建议先从管理上角度考虑问题，如企业数据保护，业务流程更改必须获得公司管理人员支持；保密资料设置优先次序；用来识别新威胁、确保最新策略以及修复中断业务进程的信息资料，必须来自于与业务数据最近的人员；培养训练有素的事件响应团队（IRT）；加强员工教育等等。

企业是否可以完全防泄密？

防泄密工作是个风险管理的过程，企业面临的数据泄密风险各不相同，而且随着新技术的发展和深入应用，新的威胁也不断产生。阮晓迅表示，即使企业部署DLP，也不可能做的完全仿泄密。“往往企业在决定实施部署防泄密产品的时候关注点都停留在已知风险的处理，对于风险认知不够全面，同时技术方案本身对泄密风险的处置不能完全落实，因此即使在部署DLP后有些泄密风险也是存在的。企业和厂商对风险的认知和工作是比较缺失的，这本身就造就了泄密的隐患。”

通过上面的论述，我们了解到，企业数据泄密的方式有各种各样，王志海表示，完全杜绝确实是不可能的，这一方面是由于技术原因难以实现完全的防护，另一方面即便部署了完善的DLP系统，社工攻击手段依然是有效的方式，例如具有高级权限的企业内部管理人员或许就可以将数据窃密出去。对于一些企业掩耳盗铃的做法，黄凯表示，“我们不应该有使用工具和方法能够完全杜绝泄密的想法。凡事没有绝对，我们是要尽可能地减少泄密的风险和泄密成本。科技在不断发展，风险也是不断变化，坚持不懈地去应对各种不断变化的风险是安全管理需要做到的。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友