为了保护企业机密数据,不少企业都开展了数据防泄漏项目。但是这样的防泄漏建设不出安全事故,企业永远不知道项目是否完善。山丽网安建议企业参考以下6条标准,彻底“体检”内部数据防泄漏体系是否完善。
标准1:企业内部操作行为是否实现可视化
山丽网安表示企业要实现内部操作的“可视化”是很重要的一点,随时监测整个信息系统的安全状况,做到迅速反应,从根本上“转被动为主动”,做好内部信息安全防护。
标准2:防泄漏建设是否从全局角度出发,最大程度避免疏漏
“头痛医头,脚痛医脚”地堆砌不同安全产品,缺乏一个整体的分析视角,企业采取的安全措施也可能无法解决真正的威胁。
山丽网安建议企业在构建数据防泄漏体系,必须从整体出发,评估企业的信息安全状况。
标准3、 是否根据涉密程度不同,防护力度轻重有别
企业整体数据防泄漏体系并不是一刀切,不分轻重的在全公司范围内采取相同策略。
山丽网安提醒众多企业用户,对涉密程度高的部门或岗位进行力度大的防御,程度低的部门采取较之简单的安全防护。这样既可保证公司的正常业务运作,又能有的放矢地实现企业信息安全管理。
标准4、 能否及时发现安全威胁,实现动态性的防护
山丽网安建议企业建立动态性的安全防护,通过在技术或管理上的及时调整更新,防范内部潜在安全风险。同时针对人事变动带来的信息安全威胁,企业应该适度加大对即将离职员工文档使用权限的控制,确保企业机密不被访问和带走。
标准5、能否随需而变,实现扩展性的体系
如果企业单纯使用一种技术手段,当软件升级或者有新的软件需求时,企业不得不重新选型、使用,徒增企业安全风险。
山丽网安建议企业要确保数据防泄漏体系能够根据新的需求实施扩展,无须重新选择新的安全产品。
标准6、 安全体系是否容易使用和维护
某些企业为了确保企业机密高枕无忧,盲目地配备上各种加密软件等安全产品,并奢望这种“强强组合”能够给企业带来万无一失的保护。殊不知这种做法往往意味着企业必须付出较高的成本,还容易产生软件兼容性的问题。虽然企业选择了安全产品,但是根本“用”不了。
如果企业的数据防泄漏建设符合以上6点监测标准,那么企业已经建立了一个完善的整体数据防泄漏体系,企业信息业得到了最大化的保护,实现了“成本、效率、安全”三者的非常好的平衡。
实际上,数据防泄漏本身就是一种博弈,是企业和人的博弈。它是一场思维的交锋,企业只有掌握了内部的行为操作,同时针对内部安全威胁建立全面、立体化的安全防护,数据防泄漏才会立于不败之地。
后记
以上6条评估标准来自《CIO不可不知的信息防泄漏6条评估标准》,山丽网安加以个人观点描述。原文网址:http://cio.chinabyte.com/316/12347316.shtml
