1987年,意大利經濟學者帕累托在對英國人財富與收益模式進行調查時發現,大部分的財富流向了少數人手里。在對大量事實進行研究后,他得出結論:社會上20%的人占有80%的財富。隨后人們驚奇地發現在社會各個領域,都存在這樣一種二八定律。一個企業20%的客戶貢獻80%的銷售額;一個國家20%的人口消耗80%的醫療資源。而在信息泄露防護中我們可以發現,其實80%的泄密事件發生于20%的風險點。
根據國際知名內網安全管理先鋒溢信科技(www.ip-guard.net)的觀察,這20%的高風險點主要包括以下三個關鍵層面:
一、關鍵人群
在企業中存在這樣一群人,他們或手握企業機密,或者熟悉企業機密的存儲與信息泄露防護策略,只要他們想拷走企業的機密數據,就能輕易地繞過障礙找到目標,達到目的,并對企業造成十足的威脅與損害。
A、離職人員
據美國信息安全公司Cyber-Ark最新調查,大部分的IT人員在辭職后,會竊取公司的一些敏感信息,包括CEO的帳戶密碼、客戶資料等機密。高達88%的IT管理員承認,如果突然被公司辭退,他們將盜取公司機密信息,這些信息主要包括有CEO的帳戶密碼,客戶資料數據庫,公司戰略計劃,財務報告,并購計劃和特權密碼清單等。而在中國,數據顯示離職人員拷走資料的比例達到70%以上,很多人在離職時會將公司機密資料拷走,以作為尋找下一份工作的籌碼,或者用于創業。
B、涉密人員
機密文檔管理員、網絡超級管理員、高層等等,這些都屬于企業的涉密人員。對于設有專門檔案管理部門的企業來說,他們會將該部門與其他部門隔離開來,但對文檔管理人員的權限卻缺乏有效的控制。而網絡超級管理員在很多企業中都存在,他們審計與管控其他所有部門,但其本身卻不被審計,即使違規操作也無人察覺,成為企業信息泄露防護體系的一個大BUG。至于高層則不用說,在2012東軟泄密、2013HTC泄密等多個事件中,主要涉案人員都是公司副總級以上人員。
C、特殊合作方
包括共享文檔共同開發的戰略合作伙伴,重要業務的外包商等,如果對方利用共享數據私下開發,或者將數據泄露,無疑會對企業造成難以預料的傷害。2012年上海市數十萬新生兒信息泄露,正是因為委托醫院對外包項目的防泄密疏于管理,結果導致外包數據庫維護人員在自己家中即完成了數據下載,隨后進行販賣。
二、關鍵載體
A、移動存儲設備
如U盤、移動硬盤、智能手機等。為了享受所謂的業務便利性,相當多的公司對移動存儲設備都缺乏良好的管理。這些設備數量眾多、種類各異、分布零散,且使用頻繁,同時存儲著公司很多機密資料,對企業的信息泄露防護工作提出極大的挑戰。據調查,每2個USB盤中就有1個包含敏感信息,而在所有泄密事件中,因U盤泄密的比例超50%。
B、應用服務器
很多公司通過OA/ERP/CVN/CRM/PLM等信息管理系統對技術資料、市場策略等數據進行集中存儲,但對這些業務系統的訪問權限卻沒有制定合理的管理策略。什么人該訪問什么系統,可以瀏覽哪種級別的文檔,這些都沒有成文的規定。有的甚至一個人就可以看到整套技術的信息,一旦泄密將對公司形成直接的威脅。
C、網絡服務器
如網盤、網絡郵箱等。很多人都習慣用郵箱與客戶交流信息,而當工作未完成時也往往習慣性將相關文檔發到自己郵箱或者網盤中,以便回家繼續完成。但從信息泄露防護的角度來看,發出去的資料就如潑出去的水,企業是無法收回的。據調查,每 400 封郵件中就有1封包含敏感信息,每50 份通過網絡傳輸的文件中就有1份包含敏感數據。一旦雙方脫離雇傭關系,這些資料可能會成為公司巨大的隱患,成為企業防泄密的硬傷。
三、關鍵部門
每個企業都有自己核心的部門,這些部門存儲著核心機密,比如研發部:自主開發的工藝與配方、研發計劃、軟件源代碼等;財務部:業績考核表、資產負債表、薪酬表等;設計部:設計方案、圖紙等等。這些機密關系著公司的生死存亡,若泄密勢必元氣大傷,企業信息泄露防護尤其需要注重對這些特別區域的防護。
對很多企業尤其中小企業而言,在防泄密意識上可以說是外防充足,但內控虛弱。而當眾多內部泄密事件如驚雷般連連在耳邊炸響時,頓時慌了手腳不知所措,于是臨時選系統搭防線,卻又感覺力不從線,找不到重點,顧此失彼。溢信科技建議,不如從以上三個關鍵點入手,也許能夠讓企業的信息泄露防護達到事半功倍之效。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:拓步ERP資訊:高效防泄密須緊抓三個重點