安全對(duì)"事"更對(duì)"人"
網(wǎng)康科技服務(wù)總監(jiān)陸繼周認(rèn)為���,保密工作、尤其是互聯(lián)網(wǎng)渠道的信息保密�����,首先要從管理"人"開(kāi)始�����。他指出�����,目前互聯(lián)網(wǎng)信息泄密的典型途徑主要有以下三種:
首先�,可以從"硬件"上面找原因。我們很容易想到幾種典型的信息安全泄露途徑:軟硬件故障�、病毒與黑客入侵等等�。再有����,就是企業(yè)防火墻失效以致安全設(shè)置形同虛設(shè),或者黑客利用企業(yè)安全漏洞訪(fǎng)問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源����,進(jìn)行刪除����、復(fù)制甚至毀壞數(shù)據(jù)的活動(dòng)。
但另一方面��,企業(yè)內(nèi)部的敏感信息也可能被內(nèi)部人員非授權(quán)泄露或刪除�。目前,通過(guò)外發(fā)郵件��、BBS�、博客等導(dǎo)致內(nèi)部機(jī)密信息泄漏的現(xiàn)象越來(lái)越普遍。企業(yè)/機(jī)構(gòu)賴(lài)以生存的機(jī)密信息����,很可能會(huì)被在職甚至離職員工有意或無(wú)意地泄露出去。
陸繼周也進(jìn)一步強(qiáng)調(diào)�,再?lài)?yán)密的防護(hù)體系也要依賴(lài)于操作、使用它的人,人有意識(shí)或無(wú)意識(shí)的各種行為絕對(duì)是安全的重大隱患之一�。在硬件等因素完全"過(guò)硬"的情況下,信息不可能自行外泄�,必然是有人的行為不當(dāng)導(dǎo)致信息暴露,或有意外泄��。當(dāng)我們部署了完備的安全軟硬件��,再采取正確的上作行為��,就可以把各類(lèi)威脅帶來(lái)的危害降至最低�;反之,錯(cuò)誤����、危險(xiǎn)的上網(wǎng)行為會(huì)讓任何安全措施都形同虛設(shè)。小楊泄密事件就是一個(gè)最簡(jiǎn)單的例子���。
因此��,陸繼周指出�,在安全體系建設(shè)過(guò)程中��,除了要對(duì)"事"�,更要對(duì)主體– "人"進(jìn)行管理和防范��。所以�,可以肯定的說(shuō)���,要做到有效地保密�,保證軟硬件安全是必須的����,更重要的是對(duì)一切行為主體"人"的管理�����。
上網(wǎng)行為管理難點(diǎn)及現(xiàn)狀
陸繼周認(rèn)為�,如果要在互聯(lián)網(wǎng)上加強(qiáng)對(duì)人的管理,關(guān)注人的行為安全���,發(fā)現(xiàn)潛在的主體行為隱患�,可以從人的網(wǎng)上行為入手��。因?yàn)榛ヂ?lián)網(wǎng)行為已經(jīng)成為了人的第二行為���。就像在著名的游戲《第二人生》中那樣�,任何人的真實(shí)行為在互聯(lián)網(wǎng)中都會(huì)有這樣或者是那樣的體現(xiàn)。比如說(shuō)���,人們想娛樂(lè)��,就可以去看網(wǎng)絡(luò)視頻���、P2P下載電影、聊天����;人們想學(xué)習(xí),就可以去瀏覽新聞�,等等。
但是��,就目前的互聯(lián)網(wǎng)使用情況來(lái)說(shuō)����,對(duì)"人"的管理并不能有效實(shí)施。主要表現(xiàn)在我們對(duì)互聯(lián)網(wǎng)行為主體"人"的識(shí)別并不清晰�。以大多數(shù)企業(yè)的情況為例,員工使用或上傳哪些敏感資料�,博客、聊天����、外發(fā)郵件等當(dāng)中是否包含涉及公司機(jī)密或重要資料和信息等���,企業(yè)都無(wú)從知曉,不僅不能有效防范�����,出現(xiàn)問(wèn)題時(shí)也很難追究到個(gè)人���。
對(duì)此��,陸繼周解釋了主要原因:第一,我們通常采用IP地址來(lái)標(biāo)識(shí)個(gè)人����。在企業(yè)內(nèi)部,當(dāng)需要觀察一個(gè)人的上網(wǎng)行為時(shí)�,只能看到IP地址,無(wú)法立即定位到個(gè)人�����。第二�,我們均采用地址轉(zhuǎn)換技術(shù)IPV4���,接入外網(wǎng)時(shí),數(shù)據(jù)是暫時(shí)的�����,無(wú)法保留和記錄下來(lái)�,因此無(wú)法將內(nèi)外部地址連接起來(lái)。第三����,很多企業(yè)沒(méi)有專(zhuān)門(mén)的互聯(lián)網(wǎng)外發(fā)認(rèn)證體系。因此�,互聯(lián)網(wǎng)出口成為無(wú)限制通道,內(nèi)部主體可以自由訪(fǎng)問(wèn)各種各樣的外網(wǎng)�,企業(yè)對(duì)于行為主體人的管控也就無(wú)法實(shí)現(xiàn)。舉個(gè)簡(jiǎn)單的例子��,任何外部的人都可以來(lái)公司內(nèi)部上網(wǎng)���,這就可能帶來(lái)相應(yīng)的安全隱患����,比如病毒傳播�、蔓延甚至是關(guān)鍵信息外泄等��。
正因?yàn)槿绱?,?shù)據(jù)丟失保護(hù)(DLP)這個(gè)概念越來(lái)越熱?���,F(xiàn)在,很多企業(yè)�、機(jī)構(gòu)已經(jīng)意識(shí)到了核心信息的價(jià)值。但是��,如果網(wǎng)絡(luò)中外發(fā)的文字沒(méi)有記錄����,文件傳送、下載等都沒(méi)有記錄�,就根本無(wú)法"阻斷",由此將帶來(lái)法律風(fēng)險(xiǎn)和核心信息外泄���。很多人通過(guò)外發(fā)郵件、BBS發(fā)帖���、博客記錄����,就有可能無(wú)意識(shí)地把公司的核心機(jī)密以及最新動(dòng)向泄露出去。因此���,DLP在互聯(lián)網(wǎng)管理中也越來(lái)越重要��。
掌控網(wǎng)絡(luò)行為之道
如何管理"人"��,實(shí)現(xiàn)網(wǎng)上信息保密呢��?陸繼周結(jié)合自身多年從業(yè)經(jīng)驗(yàn)�����,為我們提供了相關(guān)建議���。他介紹說(shuō),目前市場(chǎng)上有種上網(wǎng)行為管理產(chǎn)品���,可以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)主體及行為的全面管理���。該產(chǎn)品主要部署在互聯(lián)網(wǎng)出口處,可以幫助企業(yè)對(duì)內(nèi)部員工的上網(wǎng)行為進(jìn)行控制和管理�����,解決因接入互聯(lián)網(wǎng)而引發(fā)的網(wǎng)頁(yè)訪(fǎng)問(wèn)不合規(guī)(例如,上班時(shí)間訪(fǎng)問(wèn)低俗類(lèi)網(wǎng)站)����、網(wǎng)絡(luò)應(yīng)用不合規(guī)(例如,上班時(shí)間觀看網(wǎng)絡(luò)視頻)�、帶寬資源濫用(例如,上班時(shí)間P2P下載電影)�、內(nèi)容審計(jì)不完全(例如,博客泄密)等問(wèn)題����,從而幫助企業(yè)提升工作效率、優(yōu)化帶寬使用���、加強(qiáng)信息安全��、降低安全威脅�����、規(guī)避法律風(fēng)險(xiǎn)、保護(hù)IT投資���。
以網(wǎng)康科技上網(wǎng)行為管理產(chǎn)品為例�,它可以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)行為主體"人"的全面管理。具體體現(xiàn)在以下三個(gè)方面:
第一��,系統(tǒng)不是采用IP地址標(biāo)識(shí)個(gè)人的方法���,而是對(duì)上網(wǎng)主體實(shí)行實(shí)名制管理�����。這樣做的好處是顯而易見(jiàn)的��,一方面從技術(shù)上保障了責(zé)任定位到人�����,使所有外發(fā)言論有史可查�����,有據(jù)可依�;另一方面����,有了技術(shù)和體制上的管理�,也能對(duì)內(nèi)部用戶(hù)的上網(wǎng)行為產(chǎn)生一定的威懾�����,使其在互聯(lián)網(wǎng)訪(fǎng)問(wèn)及言論發(fā)表過(guò)程中注意自己行為的后果�����,減少不當(dāng)言行���,最終養(yǎng)成健康文明的上網(wǎng)習(xí)慣���。
第二,通過(guò)用戶(hù)監(jiān)控���、行為監(jiān)控���、帶寬監(jiān)控、運(yùn)行監(jiān)控���、攻擊監(jiān)控等系統(tǒng)�����,企業(yè)的網(wǎng)絡(luò)管理人員能夠"洞悉"企業(yè)在互聯(lián)網(wǎng)使用過(guò)程中存在的問(wèn)題和隱患�。同時(shí)�,通過(guò)網(wǎng)頁(yè)過(guò)濾、應(yīng)用控制�����、內(nèi)容審計(jì)��、帶寬管理���、行為分析等全方位措施�����,企業(yè)可以系統(tǒng)地"管控"公司內(nèi)部員工的上網(wǎng)行為����。
就拿小楊事件來(lái)說(shuō)����,如果小楊的企業(yè)部署了網(wǎng)康上網(wǎng)行為管理系統(tǒng),并對(duì)外發(fā)言論(包括BBS���、論壇發(fā)貼���,博客發(fā)文)實(shí)現(xiàn)全方位的內(nèi)容記錄����,同時(shí)對(duì)敏感關(guān)鍵字(例如�����,違反法律��、泄露機(jī)密)作相應(yīng)的阻塞及警告��,從而在問(wèn)題出現(xiàn)時(shí)能夠及時(shí)定位�,責(zé)任到人,在一定程度上杜絕法律糾紛���。
第三����,通過(guò)對(duì)用戶(hù)行為進(jìn)行追溯查詢(xún)和綜合分析����,企業(yè)用戶(hù)可以不斷優(yōu)化管理策略�����,有助于企業(yè)����、機(jī)構(gòu)管理者對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)進(jìn)行全方位的"駕馭"���,預(yù)知風(fēng)險(xiǎn)并事先防范,有效防范機(jī)密信息有意識(shí)和無(wú)意識(shí)的外泄�����,保護(hù)企業(yè)����、機(jī)構(gòu)的安全和利益,最終提升工作效率���、優(yōu)化帶寬使用�、降低安全威脅���、保障核心業(yè)務(wù)���。
