安全對(duì)"事"更對(duì)"人"
網(wǎng)康科技服務(wù)總監(jiān)陸繼周認(rèn)為�����,保密工作����、尤其是互聯(lián)網(wǎng)渠道的信息保密,首先要從管理"人"開(kāi)始�。他指出,目前互聯(lián)網(wǎng)信息泄密的典型途徑主要有以下三種:
首先��,可以從"硬件"上面找原因�。我們很容易想到幾種典型的信息安全泄露途徑:軟硬件故障、病毒與黑客入侵等等�。再有,就是企業(yè)防火墻失效以致安全設(shè)置形同虛設(shè)�,或者黑客利用企業(yè)安全漏洞訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源,進(jìn)行刪除����、復(fù)制甚至毀壞數(shù)據(jù)的活動(dòng)。
但另一方面�����,企業(yè)內(nèi)部的敏感信息也可能被內(nèi)部人員非授權(quán)泄露或刪除����。目前��,通過(guò)外發(fā)郵件、BBS����、博客等導(dǎo)致內(nèi)部機(jī)密信息泄漏的現(xiàn)象越來(lái)越普遍。企業(yè)/機(jī)構(gòu)賴(lài)以生存的機(jī)密信息����,很可能會(huì)被在職甚至離職員工有意或無(wú)意地泄露出去。
陸繼周也進(jìn)一步強(qiáng)調(diào)��,再?lài)?yán)密的防護(hù)體系也要依賴(lài)于操作�����、使用它的人�����,人有意識(shí)或無(wú)意識(shí)的各種行為絕對(duì)是安全的重大隱患之一�����。在硬件等因素完全"過(guò)硬"的情況下��,信息不可能自行外泄,必然是有人的行為不當(dāng)導(dǎo)致信息暴露��,或有意外泄����。當(dāng)我們部署了完備的安全軟硬件,再采取正確的上作行為�����,就可以把各類(lèi)威脅帶來(lái)的危害降至最低�����;反之�����,錯(cuò)誤��、危險(xiǎn)的上網(wǎng)行為會(huì)讓任何安全措施都形同虛設(shè)���。小楊泄密事件就是一個(gè)最簡(jiǎn)單的例子����。
因此,陸繼周指出�,在安全體系建設(shè)過(guò)程中,除了要對(duì)"事"�,更要對(duì)主體– "人"進(jìn)行管理和防范��。所以��,可以肯定的說(shuō)��,要做到有效地保密����,保證軟硬件安全是必須的,更重要的是對(duì)一切行為主體"人"的管理��。
上網(wǎng)行為管理難點(diǎn)及現(xiàn)狀
陸繼周認(rèn)為���,如果要在互聯(lián)網(wǎng)上加強(qiáng)對(duì)人的管理����,關(guān)注人的行為安全�����,發(fā)現(xiàn)潛在的主體行為隱患,可以從人的網(wǎng)上行為入手�����。因?yàn)榛ヂ?lián)網(wǎng)行為已經(jīng)成為了人的第二行為���。就像在著名的游戲《第二人生》中那樣�����,任何人的真實(shí)行為在互聯(lián)網(wǎng)中都會(huì)有這樣或者是那樣的體現(xiàn)�����。比如說(shuō)�����,人們想娛樂(lè)����,就可以去看網(wǎng)絡(luò)視頻���、P2P下載電影��、聊天��;人們想學(xué)習(xí)��,就可以去瀏覽新聞��,等等�����。
但是��,就目前的互聯(lián)網(wǎng)使用情況來(lái)說(shuō)���,對(duì)"人"的管理并不能有效實(shí)施。主要表現(xiàn)在我們對(duì)互聯(lián)網(wǎng)行為主體"人"的識(shí)別并不清晰�。以大多數(shù)企業(yè)的情況為例,員工使用或上傳哪些敏感資料�����,博客�����、聊天、外發(fā)郵件等當(dāng)中是否包含涉及公司機(jī)密或重要資料和信息等���,企業(yè)都無(wú)從知曉����,不僅不能有效防范�����,出現(xiàn)問(wèn)題時(shí)也很難追究到個(gè)人��。
對(duì)此�����,陸繼周解釋了主要原因:第一����,我們通常采用IP地址來(lái)標(biāo)識(shí)個(gè)人。在企業(yè)內(nèi)部�,當(dāng)需要觀察一個(gè)人的上網(wǎng)行為時(shí),只能看到IP地址�����,無(wú)法立即定位到個(gè)人。第二���,我們均采用地址轉(zhuǎn)換技術(shù)IPV4���,接入外網(wǎng)時(shí),數(shù)據(jù)是暫時(shí)的�,無(wú)法保留和記錄下來(lái),因此無(wú)法將內(nèi)外部地址連接起來(lái)��。第三�����,很多企業(yè)沒(méi)有專(zhuān)門(mén)的互聯(lián)網(wǎng)外發(fā)認(rèn)證體系����。因此���,互聯(lián)網(wǎng)出口成為無(wú)限制通道�,內(nèi)部主體可以自由訪問(wèn)各種各樣的外網(wǎng)����,企業(yè)對(duì)于行為主體人的管控也就無(wú)法實(shí)現(xiàn)�。舉個(gè)簡(jiǎn)單的例子�����,任何外部的人都可以來(lái)公司內(nèi)部上網(wǎng)�,這就可能帶來(lái)相應(yīng)的安全隱患,比如病毒傳播��、蔓延甚至是關(guān)鍵信息外泄等�����。
正因?yàn)槿绱?���,?shù)據(jù)丟失保護(hù)(DLP)這個(gè)概念越來(lái)越熱。現(xiàn)在��,很多企業(yè)����、機(jī)構(gòu)已經(jīng)意識(shí)到了核心信息的價(jià)值。但是�,如果網(wǎng)絡(luò)中外發(fā)的文字沒(méi)有記錄,文件傳送����、下載等都沒(méi)有記錄���,就根本無(wú)法"阻斷",由此將帶來(lái)法律風(fēng)險(xiǎn)和核心信息外泄����。很多人通過(guò)外發(fā)郵件、BBS發(fā)帖����、博客記錄,就有可能無(wú)意識(shí)地把公司的核心機(jī)密以及最新動(dòng)向泄露出去�����。因此���,DLP在互聯(lián)網(wǎng)管理中也越來(lái)越重要。
掌控網(wǎng)絡(luò)行為之道
如何管理"人"����,實(shí)現(xiàn)網(wǎng)上信息保密呢?陸繼周結(jié)合自身多年從業(yè)經(jīng)驗(yàn)���,為我們提供了相關(guān)建議���。他介紹說(shuō)��,目前市場(chǎng)上有種上網(wǎng)行為管理產(chǎn)品����,可以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)主體及行為的全面管理�����。該產(chǎn)品主要部署在互聯(lián)網(wǎng)出口處�,可以幫助企業(yè)對(duì)內(nèi)部員工的上網(wǎng)行為進(jìn)行控制和管理,解決因接入互聯(lián)網(wǎng)而引發(fā)的網(wǎng)頁(yè)訪問(wèn)不合規(guī)(例如�����,上班時(shí)間訪問(wèn)低俗類(lèi)網(wǎng)站)��、網(wǎng)絡(luò)應(yīng)用不合規(guī)(例如�����,上班時(shí)間觀看網(wǎng)絡(luò)視頻)、帶寬資源濫用(例如����,上班時(shí)間P2P下載電影)、內(nèi)容審計(jì)不完全(例如���,博客泄密)等問(wèn)題�,從而幫助企業(yè)提升工作效率����、優(yōu)化帶寬使用、加強(qiáng)信息安全���、降低安全威脅�����、規(guī)避法律風(fēng)險(xiǎn)���、保護(hù)IT投資��。
以網(wǎng)康科技上網(wǎng)行為管理產(chǎn)品為例���,它可以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)行為主體"人"的全面管理����。具體體現(xiàn)在以下三個(gè)方面:
第一,系統(tǒng)不是采用IP地址標(biāo)識(shí)個(gè)人的方法�,而是對(duì)上網(wǎng)主體實(shí)行實(shí)名制管理。這樣做的好處是顯而易見(jiàn)的�����,一方面從技術(shù)上保障了責(zé)任定位到人���,使所有外發(fā)言論有史可查�,有據(jù)可依���;另一方面����,有了技術(shù)和體制上的管理����,也能對(duì)內(nèi)部用戶的上網(wǎng)行為產(chǎn)生一定的威懾,使其在互聯(lián)網(wǎng)訪問(wèn)及言論發(fā)表過(guò)程中注意自己行為的后果��,減少不當(dāng)言行,最終養(yǎng)成健康文明的上網(wǎng)習(xí)慣���。
第二��,通過(guò)用戶監(jiān)控����、行為監(jiān)控�、帶寬監(jiān)控、運(yùn)行監(jiān)控�、攻擊監(jiān)控等系統(tǒng),企業(yè)的網(wǎng)絡(luò)管理人員能夠"洞悉"企業(yè)在互聯(lián)網(wǎng)使用過(guò)程中存在的問(wèn)題和隱患����。同時(shí),通過(guò)網(wǎng)頁(yè)過(guò)濾��、應(yīng)用控制����、內(nèi)容審計(jì)、帶寬管理����、行為分析等全方位措施,企業(yè)可以系統(tǒng)地"管控"公司內(nèi)部員工的上網(wǎng)行為��。
就拿小楊事件來(lái)說(shuō)����,如果小楊的企業(yè)部署了網(wǎng)康上網(wǎng)行為管理系統(tǒng),并對(duì)外發(fā)言論(包括BBS��、論壇發(fā)貼���,博客發(fā)文)實(shí)現(xiàn)全方位的內(nèi)容記錄�����,同時(shí)對(duì)敏感關(guān)鍵字(例如���,違反法律、泄露機(jī)密)作相應(yīng)的阻塞及警告�,從而在問(wèn)題出現(xiàn)時(shí)能夠及時(shí)定位,責(zé)任到人�����,在一定程度上杜絕法律糾紛��。
第三,通過(guò)對(duì)用戶行為進(jìn)行追溯查詢和綜合分析�����,企業(yè)用戶可以不斷優(yōu)化管理策略���,有助于企業(yè)�����、機(jī)構(gòu)管理者對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)進(jìn)行全方位的"駕馭"�,預(yù)知風(fēng)險(xiǎn)并事先防范�����,有效防范機(jī)密信息有意識(shí)和無(wú)意識(shí)的外泄����,保護(hù)企業(yè)、機(jī)構(gòu)的安全和利益����,最終提升工作效率、優(yōu)化帶寬使用��、降低安全威脅、保障核心業(yè)務(wù)���。
