现如今的信息防泄漏解决方案不胜枚举,宣传带有防泄漏功能的产品比比皆是,然而企业在面对众多方案时却常常眼花缭乱、无所适从。什么样的系统才是好系统?什么样的方案能帮助企业切实提高信息安全防护水平?应该以怎样的标准来判断不同方案的优劣?对此,知名业界专家、企业代表、厂商专家与您一起探讨“信息防泄漏方案,如何慧眼识良方?”
我国古代行医讲究的是保障人体的安康,信息防泄漏方案是为了企业信息的安全。对防泄漏方案进行选择,就好比面对病人时医生要找出合适的“处方”才能对症下药。以此为基,在对防泄漏标准进行选择时,亦逃不出“望、闻、问、切”的手法。
望:
在选择防信息泄漏的解决方案时,首先要对产品进行考察,去伪存真。目前的防泄漏产品虽然众多,但龙蛇混杂,多有鱼目混珠之嫌。山丽网安科技产品总监高礼成认为很多的信息防泄漏产品,都是打着信息防泄漏的旗号,其实质却是简单的审计产品。用户在选择产品的时候,一定要注意分辨其产品宣传中所透漏出来的理念是否符合自身的需求,必须了解市场状况,分辨各类产品的优势,切不可病急乱投医。
闻:
市场是最能反映产品是否有用的试金石。在进行防泄漏建设时,要注意观察产品的品牌在市场上是否足够正规,看提供服务的厂商是否有足够的成功案例(尤其是与自己应用环境相似的,处在同行业的企业的案例)。另外,可能还要注意厂商的售后服务能力(有经验和负责任的厂商,会第一时间解决客户的需要,或承担相应的责任)。山丽网安总裁周总强调在选择加密方案时候,需对加密软件、供应商和经销商的资质进行严格考察,选对产品选对人,才能保证项目的顺利实施。
问:
在选择防泄漏产品时,要针对自身的特点提出自己的侧重需求,比如三一重工信息化经理谭俊峰就提出选择防泄漏方案时需向服务方提出:是否与现有应用系统、网络协议兼容;是否能在主流系统平台应用,各种性能指标测试是否工作的SLA标准;是否提供标准的接口;产品是否有合格的认证、服务、市场及典型的成功案例等问题。企业的需求是不断变化的,必须了解厂商的研发实力、服务能力,通过“问”而知其能否及时、快速的响应客户的需求。
切:
很多产品,可能宣传资料上写的天花乱坠,实际测试产品功能却连一半都没能实现,如果不经过在搭建的真实的环境中进行足够久的测试,是显现不出来的。企业需要根据自身的需求,制定一些典型的测试用例,并尽量多的设想极端情况,这样才能保证产品能够适合自己的需求。
对此,游侠安全网站长张百川建议企业在购买防泄漏产品之前,在使用频率相对较高的计算机上高强度测试。并且要看其对Windows XP 64bit、Vista、Windows 7 64bit等的支持情况。目前很多产品对64位操作系统的支持并不好,很容易给企业安全造成“马其诺防线”。比如企业中有Linux等操作系统,在布置防信息泄漏之前需进行测试,然而目前多数数据防泄漏厂家却并不支持Linux。
综上所述,通过“望”而观大局,“闻”而知小节,“问”而鉴利弊,“切”而测需求,企业在选择防泄漏方案时候便可以做到“了然于心”。当然,这只是信息防泄漏产品选型的第一步,企业还需要在经过“望闻问切”之后的产品和方案中挑选出最适合自身需求的。那么,如何进一步挑选出最好、最适合的方案呢?
对于这个问题,专家们有着各自的看法。信息安全专家李洋博士建议从“功能性,稳定性,兼容性,可审计性”对防泄漏产品进行判断;而郑州三全食品CIO周清湘则强调防泄建设方案应从“安全性、方便性、完备性、容灾性”下手。综合各方专家的观点,我们可以归纳为以下6条判断标准,供读者参考:
标准1:企业内部操作行为应该可视化。
这也是常说的审计工作。信息化管理比较成熟和规范的企业如今都比较重视这部分工作了,哪怕在企业文化等原因而控制和加密有所不足,审计却做的很全面和细致,并且还会安排专门的人或者工作组来查看审计内容、为管理者提供审计报告。如果没有审计,那么企业将对存在的安全威胁一无所知,所做的安全防护自然也是全凭想象,很难达到效果。毫不夸张的说,审计是安全必须的基础。
标准2、信息防泄密建设根据涉密程度不同,防护力度必须轻重有别。
我们都知道,安全和效率是一对矛盾体,安全措施越多安全性越高,但过多的安全措施会使得工作效率降低。企业必须要在安全和效率之间取得平衡,在不影响工作的前提下实现高安全性。实际上,信息的涉密级别是不尽相同的,企业没有必要对低密级信息实施高密级防护,也不能对高密级信息进行低密级防护,一刀切的进行安全管理会造成要么牺牲安全、要么牺牲效率的情况。因此,信息防泄密系统要能够对涉密程度不同的信息进行轻重有别的防护,让安全和效率更加平衡。
标准3、信息防泄密产品必须随需而变,实现扩展性。
企业总是在发展和变化的,安全的需求也随之成长和变化。“像给小孩子买衣服,往往会买稍大一点的,因为小孩子长的很快,如果买现在刚好的,很快这件衣服就不能再穿了。”山丽网安科技产品总监高礼成如是说。选择防泄漏产品时也是一个道理,在防泄漏方案的选择上要未雨绸缪,具有前瞻性,考虑到将来一段时间企业的安全需求。如果选择的产品(解决方案)仅仅能满足眼下的需求,那么很快就又要重新选购了。
标准4:信息防泄密建设应从全局角度出发,兼顾“安全、效率、成本”。
杭州汽轮机股份有限公司所长黄梁认为:在信息防泄漏建设中,企业应从全局上考虑提升安全性、降低泄露风险带来的业务操作、使用上的一些障碍、安全成本的投入问题。实际上“安全、效率、成本”的问题不仅仅是企业需要思考,厂商更应该在产品设计之初就考虑到这个问题,信息防泄密产品不能只在其中的一个或两个方面表现优秀,而应当兼顾“安全、效率、成本”。
标准5、帮助企业及时发现安全威胁。
许多人都认为信息防泄密重在“防护”,在安全威胁面前处于被动防守的状态,其实不然。许多泄密事件在发生之前都是有迹可循的,如果企业能及时发现安全威胁发生的迹象,就能够将其扼杀在摇篮中。因此,信息防泄密系统应当能够通过监控、审计等手段对潜在的安全威胁发出预警,帮助企业及时发现安全威胁。防患于未然,才是信息防泄密的真正目的。
标准6、安全体系应该容易使用和维护。
使用的便捷和完善的维护也是防泄建设中必不可少的工作,利用简易的模式保障信息安全会更易于用户接受,这也是为什么富豪家中保险柜如此盛行的原因。
在选择了合适的防泄漏方案后,就可以高枕无忧了吗?当然不是,面对千变万化的非安全因素,作为防守方我们只有随机应变,防微杜渐,难有以不变应万变之法。