信息化
首页  >  信息化  >  CIO  >  CIO心声

溢信科技黄凯:将信息安全当成企业的生产要素

2013-07-03  来源:it168网站  作者:董建伟

棱镜门事件的热度正在慢慢淡出大众的视野,然而,对于关注信息安全产业的人来说,棱镜门给业界带来的震动不亚于一次冲击波病毒所带来的影响。业界在关注棱镜门事件的同时,也开始思考应对之道,思考信息安全的未来。

与棱镜门这种信息监控与窃取类似的事件绝不仅仅只是现在才发现,也不会是一个个案,除了国家层面,企业层面其实早有很多相似的情形,商业间谍无孔不入,让很多企业为此损失惨重。浙江搬运工演绎的“间谍魅影”导致百家企业商业秘密被盗;维尔康与江山制药案、浙江电力采购底牌泄密、力拓案等影响甚大。微软VS甲骨文、联合利华VS宝洁、IBM VS 日本三菱、通用VS大众都发生过著名的商业间谍纠纷。

为此,我们专门采访了国内专注于数据安全领域的溢信科技研发总监黄凯,他谈到,棱镜门让更多的企业开始正视安全问题,开始将注意力放到内部的信息安全上,警惕那些可能造成数据泄露的漏洞。

▲溢信科技研发总监黄凯

提升企业数据保护意识

在提升企业保护数据的意识方面,黄凯认为,要想让企业重视安全首先得让其了解安全,很多企业之所以不重视安全,是因为他们在安全方面的了解太少,而且存在许多固有的成见。因此,可以通过破除成见,普及科学安全观来提升企业的安全意识。黄凯总结几点企业应具备的数据泄露防护观念:

第一:信息安全是企业的一种生产要素。这是针对“安全不重要,安全只花钱不赚钱”的观念来讲的,首先,在现在这样一个高度信息化的社会里,信息对于企业的作用与人力、资金、设备等传统生产要素相比,渐渐趋于平衡,对企业的影响力空前提高。对于有些产业如信息产业,信息就是企业的命脉。其次,既然是生产要素,就会存在一个投入产出比。在某个临界点之前,安全投入得越多,收益就会越大,而过了这个临界点,投入收益比就会降低。但目前国内企业的安全投入还远远未达到临界点。

第二:未发生事故并不意味着就足够安全。很多企业易被眼下的平静所迷惑,看不到潜在的风险。在安全界有一个海因里希法则:当一个企业有300个隐患或违章,必然要发生29起轻伤或故障,在这29起轻伤事故或故障当中,有一起重伤、死亡或重大事故。很多企业只看到最后的一起重大事故,这样就会错过最佳的风险防御时机,亡羊补牢悔之晚矣。

第三:预防措施往往比纠正措施更节约成本。中国有个成语叫曲突徙薪,说的是一个人不听朋友劝,结果新房子酿成火灾,他感激邻居帮他灭火,却忘了当初提醒他的朋友。现实中很多企业都有类似情形,忽略事先预防,结果酿成悲剧,才亡羊补牢,但付出的代价比当初预防所需的要多得多。英特尔前员工将商业机密泄露给竞争对手ARM,造成损失近10亿美元。据统计美国因信息泄露造成的商业损失高达每年1000亿美元,名列《财富》(Fortune)全球1000强的大公司,平均每年因信息泄露导致的损失总数高达450亿美元。泄露出去的信息就如泼出去的水,覆水难收,还不如提早加强信息安全建设。

第四:没有绝对的安全,需要平衡在安全上的投资与回报。很多企业认为既然花了钱,就应该确保绝对安全,不出任何问题,这显然是不现实的。安全并不是说没有什么问题,而是说即使出现问题,也都在企业可接受的范围内,不会对企业造成明显的损失。所以企业要认清自己的安全范围,然后予以相应的投入,实现两者之间的平衡。

企业该如何做好数据安全策略?

要做好数据安全策略,最重要的就是要对企业进行全面的风险评估,只有清楚地了解问题,才能有的放矢地解决问题。评估需要通过三大过程。一是通过内部问卷调研、人员访谈等方式,了解清楚企业各部门资产的情况,哪些资产是真正需要保护的。通常,企业中的机密数据应当包括:技术、方法、工作模式、处理流程、生产计划等,以及各种图表、供应商信息,新产品设计图纸和营销战略,或者程序源代码、营销数据和客户信息等等。这些企业机密数据中的任何一部分数据的丢失,都会给企业带巨额的经济和无形资产的损失;二是识别这些关键信息所面临的威胁,并检查信息系统的脆弱性,并确定系统抵抗威胁的能力。如果将信息比作一个人,那威胁就是他的敌人,而脆弱性则是到他的缺陷,如无力的拳头等;第三,评估风险发生的可能性和所产生的影响,还是以人为例,可能性就是被敌人伤害到的机率,产生的影响是说如果被敌人伤到,会带来多大的后果。

评估之后接着是确定风险处理措施。企业需要根据不同部门的涉密程度以及所面临的风险级别,部署轻重有别的防护系统。需要强调的一点是,切忌武断地忽视某些区域。目前虽然国内企业信息防泄露技术的发展已经日臻成熟,但还有不少企业的防泄露措施依然只集中于所谓的核心部门。但实际上非核心部门也可能接触到机密信息,如果缺乏有效的管控措施,信息很可能就无声无息的流失了。

谈到如何处理员工个人隐私和公司数据安全之间的矛盾时,黄凯介绍到,“近年来,企业机密被内部员工窃取而造成重大损失的案例可以说是层出不穷;但另一方面,企业被状告侵犯员工隐私的新闻也不少见。就拿电子邮件来说吧,企业监视员工的电子邮件时,必将出现‘维护企业信息安全’和‘员工个人隐私’间的矛盾。作为一个企业,进行数据保护使必要的,但为了防止侵犯第三方的权利,就必须采取合理的措施,进行信息安全管理。但为了解决安全与隐私的矛盾,企业在实施监视时,一是要提前让员工知道,赢得他们的理解,而且尽可能非针对性地进行监视和管理;二是在监控时采取灵活的策略,比如分时段控制,工作时间进行监控,休息时间则解除监控。”

企业如何做好数据安全产品选型?

目前,市面上存在多种DLP(数据泄露防护)产品,有些是以软件形式存在,有的以单独的硬件形式存在。DLP产品按适用范围来分有两种主要的类型:基于主机的DLP和基于网络的DLP。

其中,基于主机的DLP一般都是软件产品,通常直接安装在单独的服务器、工作站或笔记本电脑等设备当中,只提供对其运行系统中的机密数据进行保护。而基于网络型的DLP产品通常是一些单独的硬件产品,主要连接到企业网络出口的关键位置,例如网关防火墙之后。网络型DLP产品能够对所有离开企业内部网络的数据进行过滤,对违规行为进行报警、日志记录和直接禁止;有些网络型DLP产品还能够用来发现网络中的机密数据和监控这些机密数据的使用状况。

但网络型DLP产品的控制细粒度要比主机型DLP产品差,例如网络型DLP产品有时不能对U盘等可移动存储设备的使用进行监控和限制,而主机型DLP产品就能很好地控制整个系统上的所有接口的使用状况。不过,主机型DLP产品需要在需要保护的每台主机上安装,这样就会增加管理员的工作量。例如,管理员不得不在系统故障恢复后重新安装和配置DLP软件,以及还必需防止DLP软件被终端用户通过各种手段阻止它的运行等等。

其实,最好的DLP部署方式就是综合使用基于主机型DLP软件和基于网终的DLP产品,这样才能够对企业网络中的所有需要的位置都能进行防范。黄凯谈到,“企业具体需要怎么选择,还要根据企业自身的经济能力和实际数据保护需求来决定。”

总的来说,想要选择一款真正适合企业自身需求的DLP产品,可以按下列所示的几个选购要点来进行:

1、选择的DLP产品必需具有监控和防御功能:这两个功能是DLP产品最基本的要求,而且,虽然这样的安全产品目前还不能完全消除误报和漏,但选择误报和漏报率最低的产品总是首选。有些DLP产品供应商一味地以复杂的名词来说明这两个功能如何如何好,在选择时不要给其迷惑,应当仔细了解产品的这一点。

2、选择的DLP产品应当具有中心化管理功能:中心化管理能能够为我们减少大量的开销,它包括一系列的功能,例如策略创建和执行,生成报告和数据过滤等。

3、选择的DLP产品应当具有保存和备份功能:如果企业需要遵从某个区域性数据保护法规,这些法规中通常要求企业必需将特定的数据保留6个月以上,那么,就要求DLP产品也具有这样的数据保存功能。有些DLP产品本身具有这样的保存功能,这样就能给企业节省大量的存储费用。而且,有时DLP产品备份功能也是必需的,这样能防止设备在出现其它故障时造成机密数据的丢失。

4、选择的DLP产品应当易于整合:我们在选择DLP产品时,应当慎重考虑其与现有网络结构或系统的整合性能。对于基于主机的DLP软件,要根据目前企业需要保护的主机上运行的操作系统环境和硬件环境的影响,以及企业本身的技术能力。而对于基于网络的DLP产品,在部署时不需要大规模改变网络现有结构,甚至不需要停止当前业务当然最好。如果一定需要调整网络结构,那么,一定要选择一些易于管理,例如支持WEB管理方式的DLP产品,这样能够减少正常业务的停机时间。

5、选择的DLP产品应当存在一个成熟的市场:这是一个选择任何安全产品时需要考虑的因素,但往往被许多企业所忽略。如果某个DLP产品供应商所生产的产品已经存在一个很成熟的市场,那么其售后服务和产品质量一定很好,就可以解决DLP 产品在应用后的技术支持问题。有时,存在良好市场的DLP产品供应商,还可以用他们部署DLP解决方案的成功经验来帮助企业完成DLP部署策略的建立,以及其它方面的技术指导。毕竟,我们不确定选择的DLP产品在以后的使用过程中不会出现一点硬件或软件故障,这些都必需有一个强大的产品售后服务来迅速正确地解决。

企业最佳数据安全防护模型

1、企业内部操作行为实现可视化

在信息防泄漏的“战争”中,相比于躲在暗处的泄密者和安全威胁,站在明处的企业显然略失先机。但如果企业能够做到预先防御,在对手出招之前采取针对性的保护措施,就能从根本上“转被动为主动”,做好内部数据安全防护。因此,良好的信息防泄体系的前提,即要时刻掌握企业动态,做到要有的放矢。很重要的一点是要实现内部操作的“可视化”,以随时监测整个信息系统的安全状况,做到迅速反应,甚至还能预测到潜在的风险,化被动防御为积极防御。

2、防泄建设从全局角度出发,最大程度避免了疏漏

安全领域中的木桶理论和马奇诺防线的故事相信大家都了解——无论如何豪华的防线,一个漏洞就可以毁灭所有一切。在企业中,有时候可能是一个小小的 U盘就毁灭了几百万投资的努力,或者一封无意的邮件就能让企业损失惨重。因此,在解决安全问题之时,不能仅仅依赖透明加密等技术手段,“头痛医头脚痛医脚”地堆砌不同安全产品及封堵安全漏洞,而需要站在一个更高的战略角度来通盘考虑。如果缺乏一个整体的分析视角,你可能会忽视或者低估某个安全攻击的真正威胁,相应采取的安全措施也可能无法解决真正的问题。所以,在实际的防泄漏建设中,我们必须从整体上来评估企业的信息安全状况,运用统一的平台来进行风险和安全管理,检测出内部问题,从而描绘出整个企业当前安全情况的更清晰和准确的图景,采取针对性的防护措施,最大限度降低企业的安全风险。

3、根据数据的涉密程度不同,设置轻重有别的防护力度

企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切、不分轻重的在全公司范围内采取相同的策略,这样虽然看似达到了最为安全的效果,但对业务造成的巨大影响以及因此产生的高额成本,对企业来说,都是巨大的负担。对信息安全来说,威胁和风险往往和高价值的信息资产联系在一起,安全保护工作也就应该轻重有别,将重点放在高价值的信息资产上,什么是高价值信息资产?通过风险评估,你会知道,它是你业务依赖的信息系统,无论软件、硬件、服务还是人。那么,在安全建设过程中,对涉密程度高的部门或岗位进行力度大的防御,对涉密程度低的部门采取相应的安全防御,同时衡量提升安全性可能带来的业务操作的麻烦、企业安全成本等问题,是企业必须要做的事情。

比如透明加密的成本以及对企业效率的影响远高于审计和管控,在企业实施过程中,往往需要结合企业的实际情况,对三种技术手段整合运用:首先,在全公司范围内进行安全审计,掌握企业操作发现安全隐患;其次,对特殊岗位和部门,进行严格管控,限制信息的带出;最后,在核心部门内部,对机密信息进行透明加密。这样既保证了公司的正常业务运作,又有的放矢地实现了最优化的信息防泄漏管理,对于企业来说,还大大节约了投资成本。

4、能及时发现安全威胁,实现动态性的防护

动态性的信息泄露防护,对于目前泄密手段日益增多的企业来说,非常重要。某些企业往往在安全事件发生之后才对现在的策略进行被动的调整。这种“吃一堑、长一智”的防护模式,对于企业而言,有可能是致命的。一旦出了安全事故,恐怕亡羊补牢,为时已晚。企业需要建立一个动态性的安全防护,前瞻性地发现安全威胁,并通过对技术或管理上的策略进行及时调整更新,防范潜在的安全风险。如目前,便携设备发展迅速,智能手机、iPad等便携设备日益成为企业的泄密威胁,在此基础上,企业应该调整安全策略,对便携设备的使用进行规范。另外,企业内部的人事变动比较正常,企业应收紧即将离职的员工的文档使用权限,确保机密文档不被访问和带走。如果企业建立了动态性的信息防泄体系,就能在安全事件发生之前,从技术、管理等多方面更新措施,大大增强了安全防护的前瞻性。

5、能随需而变,实现扩展性的体系

信息防泄漏可以看成一场永无止尽的战争——你刚刚应对完一次安全威胁,下一个威胁又接踵而至。IT部门作为企业信息防泄的神经中枢,必须能够适应安全需求的不断变化,迅速满足新需求、快捷响应新威胁。如果企业只单纯使用加密或监控某一种技术手段,当新需求出现之时,IT部门不得不求助于新产品,重新选型、试用,操作流程复杂且安全风险增加。所以,企业在建立信息防泄漏体系中,要确保该体系能够根据新的需求实时扩展,无需重新选择新的产品,只需加固同一管理平台上的功能,就能进行更多防泄密功能的扩展,做到无缝集成,消除因选型迟缓而产生的安全风险。

6、安全体系容易使用和维护

如今,市场上五花八门的信息防泄漏产品让企业眼花缭乱,某些企业为了确保自己信息防泄漏高枕无忧,盲目地为自己配备上各种的安全产品,并企望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本,并增加了技术的复杂性,还容易产品软件冲突等问题,企业虽然“装”了安全产品,但根本“用”不了。目前,能够提供整体解决方案的单一安全产品成为一种优良选择,它能够帮助企业建立统一的安全管理平台,无论是对企业安全边界防护到内部使用都做了整体、全面的考虑,而且简化了日常的操作与管理,降低系统的资源占用,避免了软件冲突等多种问题,使用和维护起来非常方便,大大节约了IT人员的时间和精力。这种产品为企业带来这些多功能集成方案的易管理和高性价比优势,对于企业将具有更大的吸引力。

数据安全未来发展趋势探讨

黄凯认为,未来数据安全的发展会有以下趋势:一是数据安全的容量空前增长,二是数据安全向移动化发展,数据安全向服务化发展。

1、数据安全的容量空前增长

全球数据总量这几年呈现指数级的增长,过去3年里的数据量比以往400年加起来还要多。随着大数据挖掘与分析技术的成熟,对这些数据加以利用的可能性也相应提高,加速了数据向财富转化的进程。但在将数据变成有价值的信息之前,必须保证这些数据是安全可靠,否则不真实的数据也只会得出错误的结论。

但摆在企业面前的一个难题是,这些数据数量庞大,结构多样,包括文档、图片、视频、web页面、电子邮件、微博等不同的类型,并且只有20%是结构化数据,80%是非结构化数据,如果企业想要利用这些信息必须花费相当的时间与资金。无论现在还是未来,对这样庞大的数据进行安全保护都是一件极具挑战的任务。

2、数据安全向移动化发展

如今,企业员工使用自己的移动设备办公(BYOD,Bring Your Own Device)已经是非常普遍的现象。BYOD提升了企业员工效率和使用体验,正在被越来越多的企业接受,平板电脑和其他便携式智能终端正在逐渐取代笔记本电脑的位置。Websense公司与美国市场研究机构波耐蒙研究所联合发布的《全球移动风险的研究报告》显示,77%的受访者将移动设备视为高效完成工作的得力助手之一。

然而,正是这种逐渐流行起来的移动办公方式,为企业敏感数据带来了空前的风险,正在架空企业现行的安全体系和安全策略,日益成为信息泄露的主要渠道。《全球移动风险的研究报告》指出,76%的人认为,员工在采用移动设备办公的同时增加了企业的安全风险。但是,只有36%的受访者表示企业已经采取了必要的安全控制手段。未来企业在移动安全的需求将会越来越大。

3、数据安全向服务化发展

随着云计算的落地,SaaS(软件即服务)也逐渐走入企业的日常办公中。SaaS提供商为企业搭建信息化所需要的所有网络基础设施及软件、硬件运作平台,并负责所有前期的实施、后期的维护等一系列服务,企业无需购买软硬件、建设机房、招聘IT人员,即可通过互联网使用信息系统。就像打开自来水龙头就能用水一样,企业根据实际需要,从SaaS提供商租赁软件服务。我认为,未来数据安全也会向服务化方向发展,最终实现安全即服务,安全厂商为客户提供的内容包括安全咨询与方案、安全软硬件、安全维护等等一条龙服务,客户打开安全服务的“水龙头”即可享受更可靠、更便利、更具性价比的服务。

 

关键词:安全产品 信息泄露 企业网络 CIO