《了解21世纪IT环境的安全复杂性数据泄密调研报告》

2017/5/27 |

当今竞争激烈的商战模式中,企业除了因为自身核心竞争力缺失而逐渐失去市场和客户进而败下阵来以外,企业关键技术、重点客户及财务帐目等核心机密数据意外泄密并被竞争对手截获,失密企业通常也必将难逃灭顶之灾的厄运。事实上,据互联网安全解决方案供应商Check Point及波耐蒙研究所(Ponemon Institute)共同最新发布的一份题为《了解21世纪IT环境的安全复杂性》的全球调研报告,全球有77%的受访企业在去年遭遇过数据泄密!

从各类泄密事件的规模看,超过七成的比例不能不说触目惊心,一方面企业用户并没有坐以待毙,应付纷繁复杂的安全环境以及寻求最佳性价比的安全解决方案是全球企业日常工作的核心部分之一,另一方面面对越来越复杂且人为操纵成分越来越大的泄密途径和泄密手段,企业IT安全管理人员更加需要和更加渴望安全技术具有全球视角。这项调研显示企业都在穷于应付不断增多的安全优先考虑,此外员工对公司的安全政策所知有限,其主要结果印证了Check Point 3D安全理念的重要性,这个崭新的方针超越技术层次,把政策、人员与执行力相结合,令IT政策能全面配合企业的业务需要。据悉本次参与调研的包含了美国、英国、法国、德国以及日本的2400多名IT安全管理人员,调查样本更是涵盖了包括金融、工业、国防、零售、医疗保健以及教育等14个行业的各种规模企业。

从《了解21世纪IT环境的安全复杂性》报告中的全球调研数据看:企业数据泄密的信息类型包括了客户信息(52%)、知识产权(33%)、员工信息(31%)和公司计划(16%),其中知识产权和公司计划涉及公司核心商业机密,而客户和员工信息同时涉及公众隐私;而企业数据泄密的主要途径中像设备丢失或被盗、网络攻击、不安全的移动设备、Web2.0和文件共享应用程序,以及无意地发送电子邮件给错误的收件人等都位于了前列,企业数据泄密呈现出了涉密范围扩大化和泄密途径多样化的可怕趋势。在上述调研中,超过700名受访者认为采用新兴技术首要考虑是法规遵从。随着云计算、移动性、Web2.0以及文件共享应用的繁衍,企业要为其网络各个层级构建合适的安全保护,同时又遵从严格的法规要求并不容易。在现今的IT环境中,安全与法规遵从的基础是一个定义清晰的策略,该策略必须兼顾企业的业务需求及行业的法规要求,这一点也一直受到大部分安全专家和企业高管的认同。

作为一家最具专业水准的著名隐私及信息管理研究公司,波耐蒙研究所董事长暨创始人Larry Ponemon博士表示:"企业经常要面对来自内部及外部的新安全威胁,这些威胁能危害其业务,带来高昂的经济损失。我们的调查表明,一次网络攻击可导致企业蒙受23.7万美元到5,200万美元的经济影响。然而,员工可以在第一道防线上发挥举足轻重的作用,协助企业执行更为扎实的安全措施,同时唤醒用户注意IT安全。"

在我国以信息化带动工业化的企业发展总体战略背景下,企业数据泄密不仅直接危及企业自身生存和发展,而且在一定程度上也危及到了客户和公众的社会化信息安全。那么企业用户如何对自身核心机密数据进行切实有效的防泄密保护呢?Check Point软件技术有限公司网络安全产品副总裁Oded Gonda曾告诫企业级用户:"应该把数据防泄密视为一项策略,而不是一种技术"。以下给出企业级用户防止数据信息泄密的几则"经营"性策略:

第一,部署可从泄密源头防泄密的专业级防泄密系统,这一点非常重要也非常关键。众所周知现如今随着企业数据泄密范围的持续扩大化和泄密途径的多样化,单一的防泄密产品已经不能满足安全需求,这里大家不妨设想一下,在企业中电脑外设通常并没有任何监控,每台电脑可以任意使用各种USB设备、可以随意读取光盘、可以连接打印机并能够随时的打印文件,这些其实也都是企业内部员工成功泄密的最主要途径;另外像电脑存储设备拆下后外出送修、为了便于通信而开放企业内网与外网对接的端口,员工就可以轻而易举的借助网络传输泄密核心机密电子文档。以上这些都需要可从泄密源头防泄密的专业级防泄密系统。

从目前国内企业级用户防泄密工作的大量实践看,现阶段许多重点行业企业都部署有"铁卷",这是一款由国内终端与数据安全产品的领先企业深圳大成天下自主研发,集成了包括驱动级核心加密、透明加密、细分化分级审核等在内的多项目前全球最先进的专业级企业防泄密系统,可以针对各商业企业及公共服务行业整个内部网络进行全方位的机密数据加密和实时保护。"铁卷"专业的企业级防泄密保护的优势在于:软件能够让脱离对应内网环境的所有机密企业数据和电子文档自动无法使用或在未经合法授权打开时呈现出一堆无法阅读的乱码,也就是说即便是黑客攻击或企业员工通过多种手段窃取了企业服务器中的企业机密数据和电子文档,但是由于脱离了对应的内网环境且没有被赋于离线使用授权,所以对应的企业机密数据和电子文档根本打不开或者就是一堆杂乱无章的乱码字符。从另一方面看,"铁卷"也是目前国内功能最全和最先进的全透明化防泄密专业保护工具,对企业机密数据和电子文档的保护能够贯穿其存储、使用和传输的整个生命周期。

第二,部署企业机密数据和电子文档应用权限分级审核和使用机制。现代企业信息化程度已经越来越高,办公自动化的相关应用也达到了前所未有的高度,一方面企业绝大部分文件和许多关键数据分散于多台电脑终端的电子化存储给泄密留个了诸多隐患,另一方面企业协同办公的动态性、协作性和广泛性合作过程又会加速企业电子文档及关键数据的流通并且在整个流通环节也很容易突发泄密事件。基于以上情况,企业只有通过部署企业机密数据和电子文档应用权限分级审核和使用机制,建立全程管控,才能最有效的防泄密。"铁卷"产品通过全面整合访问控制,将电子文档机密性保护和应用权限细分式应用直接集成到所有需要保护的电子文档中,也就是说其在访问保护和使用控制策略时能够将机密电子文档的应用权限准确细分给不同的用户,从而彻底避免机密电子文档被泄密、窃取或恶意修改。这里比如企业工作人员出差需要外带保密级别较高的电子文档时,他们只要向软件的"管理中心"提出一个"解密申请"或"离线申请"即可,宽严相济,最终实现对机密电子文档安全保护和使用的最佳结合,一旦出现泄密事件和泄密后果,软件的"管理中心"通过查阅操作日志,可以即时对泄密行为进行追根溯源。

第三,部署针对重点泄密环节的全程安全管控,把每一个可能造成泄密的薄弱点给统统堵住。比如现在许多企业对U盘等移动存储介质的使用和管理比较宽松,比如在企业内网里开启外网通信的端口,比如员工离职前后对他们使用和调阅机密电子文档的审计并没有跟上等,这些企业管理层都需要给予足够的重视。事实上许多安全专家都会推崇"铁卷"从泄密源头防泄密的安全防御模式,就是因为"铁卷"能够实现同时防堵几乎所有的企业电子文档泄密途径,企业机密数据和电子文档无论是通过移动介质还是网络带出企业,无论是通过打印还是借助于屏幕截取,所有的泄密途径和泄密行为都会因为"铁卷"的存在而彻底失效。事实上针对离职员工泄密频发的现象,像"铁卷"这样的技术防范是一个方面,而针对员工的保密教育、职业道德教育以及信息安全政策教育也同样需要跟上,波耐蒙研究所董事长暨创始人Larry Ponemon博士就曾明确表示:"随着每年发生数以百计已报告或没有报告的数据泄密事故,治理、风险及法规遵从等课题自然成为焦点。 现今数据安全不仅仅是部署一套技术来克服这些挑战,事实上,员工缺乏有关意识是数据泄密事件的主要原因,这也促使更多企业教育其员工了解公司的信息安全政策。"

其实对于做企业的朋友来说,懂得市场经营当然至关重要,市场经营会让企业拥有更广阔的市场;而懂得防泄密"经营"应该更加重要,安全经营会让企业拥有更立体的发展空间。

分享 :

友情链接:

宁波杭云网络科技有限公司

Copyright 2010-2020 © All Rights Reserved 版权所有 浙ICP备16001501号-4