安全對(duì)"事"更對(duì)"人"

網(wǎng)康科技服務(wù)總監(jiān)陸繼周認(rèn)為,保密工作、尤其是互聯(lián)網(wǎng)渠道的信息保密,首先要從管理"人"開(kāi)始。他指出,目前互聯(lián)網(wǎng)信息泄密的典型途徑主要有以下三種:

首先,可以從"硬件"上面找原因。我們很容易想到幾種典型的信息安全泄露途徑:軟硬件故障、病毒與黑客入侵等等。再有,就是企業(yè)防火墻失效以致安全設(shè)置形同虛設(shè),或者黑客利用企業(yè)安全漏洞訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源,進(jìn)行刪除、復(fù)制甚至毀壞數(shù)據(jù)的活動(dòng)。

但另一方面,企業(yè)內(nèi)部的敏感信息也可能被內(nèi)部人員非授權(quán)泄露或刪除。目前,通過(guò)外發(fā)郵件、BBS、博客等導(dǎo)致內(nèi)部機(jī)密信息泄漏的現(xiàn)象越來(lái)越普遍。企業(yè)/機(jī)構(gòu)賴(lài)以生存的機(jī)密信息,很可能會(huì)被在職甚至離職員工有意或無(wú)意地泄露出去。

陸繼周也進(jìn)一步強(qiáng)調(diào),再?lài)?yán)密的防護(hù)體系也要依賴(lài)于操作、使用它的人,人有意識(shí)或無(wú)意識(shí)的各種行為絕對(duì)是安全的重大隱患之一。在硬件等因素完全"過(guò)硬"的情況下,信息不可能自行外泄,必然是有人的行為不當(dāng)導(dǎo)致信息暴露,或有意外泄。當(dāng)我們部署了完備的安全軟硬件,再采取正確的上作行為,就可以把各類(lèi)威脅帶來(lái)的危害降至最低;反之,錯(cuò)誤、危險(xiǎn)的上網(wǎng)行為會(huì)讓任何安全措施都形同虛設(shè)。小楊泄密事件就是一個(gè)最簡(jiǎn)單的例子。

因此,陸繼周指出,在安全體系建設(shè)過(guò)程中,除了要對(duì)"事",更要對(duì)主體– "人"進(jìn)行管理和防范。所以,可以肯定的說(shuō),要做到有效地保密,保證軟硬件安全是必須的,更重要的是對(duì)一切行為主體"人"的管理。

上網(wǎng)行為管理難點(diǎn)及現(xiàn)狀

陸繼周認(rèn)為,如果要在互聯(lián)網(wǎng)上加強(qiáng)對(duì)人的管理,關(guān)注人的行為安全,發(fā)現(xiàn)潛在的主體行為隱患,可以從人的網(wǎng)上行為入手。因?yàn)榛ヂ?lián)網(wǎng)行為已經(jīng)成為了人的第二行為。就像在著名的游戲《第二人生》中那樣,任何人的真實(shí)行為在互聯(lián)網(wǎng)中都會(huì)有這樣或者是那樣的體現(xiàn)。比如說(shuō),人們想娛樂(lè),就可以去看網(wǎng)絡(luò)視頻、P2P下載電影、聊天;人們想學(xué)習(xí),就可以去瀏覽新聞,等等。
但是,就目前的互聯(lián)網(wǎng)使用情況來(lái)說(shuō),對(duì)"人"的管理并不能有效實(shí)施。主要表現(xiàn)在我們對(duì)互聯(lián)網(wǎng)行為主體"人"的識(shí)別并不清晰。以大多數(shù)企業(yè)的情況為例,員工使用或上傳哪些敏感資料,博客、聊天、外發(fā)郵件等當(dāng)中是否包含涉及公司機(jī)密或重要資料和信息等,企業(yè)都無(wú)從知曉,不僅不能有效防范,出現(xiàn)問(wèn)題時(shí)也很難追究到個(gè)人。

對(duì)此,陸繼周解釋了主要原因:第一,我們通常采用IP地址來(lái)標(biāo)識(shí)個(gè)人。在企業(yè)內(nèi)部,當(dāng)需要觀察一個(gè)人的上網(wǎng)行為時(shí),只能看到IP地址,無(wú)法立即定位到個(gè)人。第二,我們均采用地址轉(zhuǎn)換技術(shù)IPV4,接入外網(wǎng)時(shí),數(shù)據(jù)是暫時(shí)的,無(wú)法保留和記錄下來(lái),因此無(wú)法將內(nèi)外部地址連接起來(lái)。第三,很多企業(yè)沒(méi)有專(zhuān)門(mén)的互聯(lián)網(wǎng)外發(fā)認(rèn)證體系。因此,互聯(lián)網(wǎng)出口成為無(wú)限制通道,內(nèi)部主體可以自由訪問(wèn)各種各樣的外網(wǎng),企業(yè)對(duì)于行為主體人的管控也就無(wú)法實(shí)現(xiàn)。舉個(gè)簡(jiǎn)單的例子,任何外部的人都可以來(lái)公司內(nèi)部上網(wǎng),這就可能帶來(lái)相應(yīng)的安全隱患,比如病毒傳播、蔓延甚至是關(guān)鍵信息外泄等。

正因?yàn)槿绱?,?shù)據(jù)丟失保護(hù)(DLP)這個(gè)概念越來(lái)越熱。現(xiàn)在,很多企業(yè)、機(jī)構(gòu)已經(jīng)意識(shí)到了核心信息的價(jià)值。但是,如果網(wǎng)絡(luò)中外發(fā)的文字沒(méi)有記錄,文件傳送、下載等都沒(méi)有記錄,就根本無(wú)法"阻斷",由此將帶來(lái)法律風(fēng)險(xiǎn)和核心信息外泄。很多人通過(guò)外發(fā)郵件、BBS發(fā)帖、博客記錄,就有可能無(wú)意識(shí)地把公司的核心機(jī)密以及最新動(dòng)向泄露出去。因此,DLP在互聯(lián)網(wǎng)管理中也越來(lái)越重要。

掌控網(wǎng)絡(luò)行為之道

如何管理"人",實(shí)現(xiàn)網(wǎng)上信息保密呢?陸繼周結(jié)合自身多年從業(yè)經(jīng)驗(yàn),為我們提供了相關(guān)建議。他介紹說(shuō),目前市場(chǎng)上有種上網(wǎng)行為管理產(chǎn)品,可以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)主體及行為的全面管理。該產(chǎn)品主要部署在互聯(lián)網(wǎng)出口處,可以幫助企業(yè)對(duì)內(nèi)部員工的上網(wǎng)行為進(jìn)行控制和管理,解決因接入互聯(lián)網(wǎng)而引發(fā)的網(wǎng)頁(yè)訪問(wèn)不合規(guī)(例如,上班時(shí)間訪問(wèn)低俗類(lèi)網(wǎng)站)、網(wǎng)絡(luò)應(yīng)用不合規(guī)(例如,上班時(shí)間觀看網(wǎng)絡(luò)視頻)、帶寬資源濫用(例如,上班時(shí)間P2P下載電影)、內(nèi)容審計(jì)不完全(例如,博客泄密)等問(wèn)題,從而幫助企業(yè)提升工作效率、優(yōu)化帶寬使用、加強(qiáng)信息安全、降低安全威脅、規(guī)避法律風(fēng)險(xiǎn)、保護(hù)IT投資。

以網(wǎng)康科技上網(wǎng)行為管理產(chǎn)品為例,它可以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)行為主體"人"的全面管理。具體體現(xiàn)在以下三個(gè)方面:

第一,系統(tǒng)不是采用IP地址標(biāo)識(shí)個(gè)人的方法,而是對(duì)上網(wǎng)主體實(shí)行實(shí)名制管理。這樣做的好處是顯而易見(jiàn)的,一方面從技術(shù)上保障了責(zé)任定位到人,使所有外發(fā)言論有史可查,有據(jù)可依;另一方面,有了技術(shù)和體制上的管理,也能對(duì)內(nèi)部用戶的上網(wǎng)行為產(chǎn)生一定的威懾,使其在互聯(lián)網(wǎng)訪問(wèn)及言論發(fā)表過(guò)程中注意自己行為的后果,減少不當(dāng)言行,最終養(yǎng)成健康文明的上網(wǎng)習(xí)慣。

第二,通過(guò)用戶監(jiān)控、行為監(jiān)控、帶寬監(jiān)控、運(yùn)行監(jiān)控、攻擊監(jiān)控等系統(tǒng),企業(yè)的網(wǎng)絡(luò)管理人員能夠"洞悉"企業(yè)在互聯(lián)網(wǎng)使用過(guò)程中存在的問(wèn)題和隱患。同時(shí),通過(guò)網(wǎng)頁(yè)過(guò)濾、應(yīng)用控制、內(nèi)容審計(jì)、帶寬管理、行為分析等全方位措施,企業(yè)可以系統(tǒng)地"管控"公司內(nèi)部員工的上網(wǎng)行為。

就拿小楊事件來(lái)說(shuō),如果小楊的企業(yè)部署了網(wǎng)康上網(wǎng)行為管理系統(tǒng),并對(duì)外發(fā)言論(包括BBS、論壇發(fā)貼,博客發(fā)文)實(shí)現(xiàn)全方位的內(nèi)容記錄,同時(shí)對(duì)敏感關(guān)鍵字(例如,違反法律、泄露機(jī)密)作相應(yīng)的阻塞及警告,從而在問(wèn)題出現(xiàn)時(shí)能夠及時(shí)定位,責(zé)任到人,在一定程度上杜絕法律糾紛。

第三,通過(guò)對(duì)用戶行為進(jìn)行追溯查詢和綜合分析,企業(yè)用戶可以不斷優(yōu)化管理策略,有助于企業(yè)、機(jī)構(gòu)管理者對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)進(jìn)行全方位的"駕馭",預(yù)知風(fēng)險(xiǎn)并事先防范,有效防范機(jī)密信息有意識(shí)和無(wú)意識(shí)的外泄,保護(hù)企業(yè)、機(jī)構(gòu)的安全和利益,最終提升工作效率、優(yōu)化帶寬使用、降低安全威脅、保障核心業(yè)務(wù)。

分享到

yajing

相關(guān)推薦