文章主要讲述的是为什么要防止人为因素造成企业数据泄漏的原因,此文主要是结合了相关案例来对其进行说明,在实际应用中,虽然恶意用户是企业IT团队的主要关注对象,但员工有时粗心大意也让IT团队很头疼。
最近很多数据泄漏都源自于简单的人为错误,这意味着数据访问权限控制在保护企业重要信息方面发挥着关键作用。
例如,今年早些时候,谷歌公司就指责因为人为错误而导致该公司遭遇严重数据泄漏事故。投资于谷歌搜索服务的一位谷歌客户发现他们需要的信息,人们在点击前使用的搜索条件和其他相关数据都被发往第三方。这并不存在什么恶意攻击行为,谷歌表示只是因为某员工简单地将来自一个模版的信息复制和粘贴到错误的模版上所造成的。
但这个解释对于已经造成的损失无济于事。如果信息被发送给竞争对手,谷歌的客户将会被置身于严重的战略劣势,可能会断绝与该搜索巨头的业务往来,毕竟数据泄漏可能会严重后果。企业机密文件可能在几次简单点击后就会传遍整个世界,因此对于企业来说,当务之急应该是确保他们的敏感信息免受恶意用户和自己员工的疏忽的危害。
Sterling-Hoffman公司的数据安全策略
Sterling-Hoffman公司的数据安全策略的中心思想是,任何允许员工在视觉上再现文件的方法都应该被禁止。不管是从屏幕上复制信息到另一个文件夹或者使用拍照手机捕捉信息照片,一旦恶意入侵者获取屏幕上的数据,将一发不可收拾。尽管如此,企业不能强迫执行数据保护政策,因为这可能会导致对生产力的负面影响,使他们失去竞争优势。这也是为什么我们部署全面数据安全政策保护信息源以及位于主要通讯渠道的信息以防止泄漏的原因。
企业访问权限管理
数据安全战略的第一个要素就是强行使用企业访问权限管理(ERM)解决方案。ERM允许Sterling-Hoffman公司来执行自动化过程,当任何时候创建文件时,都会自动应用访问权限和使用用法控制。虽然对每个文件进行加密可能会有点繁重,客户的隐私是企业业务的重点。对企业来说,从安全考虑来看,必须确保敏感文件的安全。
与很多企业一样,Sterling-Hoffman公司在整个世界范围内经营业务,我们必须确保自动化加密战略能在世界各地办事处都发挥作用。企业访问权限管理提供了对从企业IT基础设施发往任何第三方的数据的可执行访问与使用控制,境外办事处和业务伙伴是主要数据泄漏漏洞的来源,因为很多国家没有像美国一样关于业务和数据安全法律。
由于不可能监控海外合作伙伴如何处理我们提供给他们的信息,企业访问权限管理可以限制用户如何使用数据(例如,禁止敏感文件被打印或者复制/粘贴),这为我们提供了除了纯粹访问控制外额外的安全保障。
企业访问权限管理案例
在我们部署企业访问权限管理之前,一名应聘者拿着我们内部培训文件(这是公司高度机密文件)表示,他从我们的海外业务往来公司收到这份文件。
这对于非常重视数据安全的Sterling-Hoffman公司而言,无疑是非常大的打击,这让我们意识到不能够与海外或者合作伙伴共享任何信息,除非我们能够从信息水平保护数据安全。不久后,我们才开始使用企业访问权限管理。
企业访问权限管理还可以帮助我们解决来自第三方的挑战,主要通过为敏感信息设置过期访问时间。这可以让我们与合作伙伴、外包商以及员工在有限时间内共享信息,并且只有在特定时间内获取IT人员的允许,才能够查看信息。之前的合作伙伴和员工将无法访问或者共享数据,这是个很好的保障措施。
规范电子通信的使用
我们部署的数据保护策略的第二个要素就是对电子通信通道进行规范,包括电子邮件和即时通信(IM)。对于后者这个电子通信方式,我们使用了赛门铁克的IM即时通信管理器来抵御与即时通信相关的数据泄漏。该解决方案要求我们的员工申请即时通信特权,并且当他们想要添加一个联系人到通讯录时需要通过申请程序。这能够帮助我们仅对需要使用即时通信用于工作需要的人提供实时通信工具。
开源即时通信应用程序可能成为主要的数据漏洞,因为新版本能够使用户传输文件给其他人而不需要通过企业虚拟网或者防火墙。即时通信管理器为我们提供了安全保障,使我们能够解决这个新型的企业挑战。
电子邮件通常都是非常难以管理的平台,因为公司非常依赖于电子邮件。任何咄咄逼人的政策都可能对生产效率造成严重影响,所以我们根据两个基本常识来确定我们的电子邮件政策,以下就是两个基本要素:
第一、我们通过某种文件格式(例如会计使用Excel)来鉴定某种工作组,并且防止用户以他们工作组以外的格式发送信息。我们还对这个规则进行了更详细的调整,将电子邮件信息内保护的某种类型的信息也划入鉴定工作组的条件。例如,市场营销人员的电子邮件如何保护社会安全号码或者其他个人识别信息的话,电子邮件将会被禁用。
第二、我们还禁止了电子邮件字符串包含多个RE:前缀,这种类型的信息通常都与恶意行为有关,所以我们宁愿选择禁止。
在经济不景气和大幅度裁员之后,薄弱的数据安全给企业生存能力和产业竞争力带来永久性的伤害。市场领导人与非领导人的区别微乎其微,因此企业必须能够控制谁拥有访问敏感信息的权限。从信息水平保护信息的全面安全方法能够保证企业的生产效率同时确保企业敏感信息安全性。
【编辑推荐】
什么是生态平衡?
一、生态平衡的现象在生态系统中,生物有生有死,有迁入也有迁出,因此,各种生物的数量、比例不断地发生着变化。 当生态系统发展到一定阶段,各种生物之间通过相互的种种作用,在各自的数量和比例上达到一个相对稳定的平衡状态时,就叫做生态平衡。 二、生态平衡的保持与破坏1、生态平衡的保持:生态系统具有维持自身相对平衡的能力。 这种自动调节能力的大小与生态系统的成分、结构有关。 例如,北极冻原生态系统中的苔藓和地衣如果受到重大损伤,整个生态系统就有可能崩溃。 因为那里的生态系统结构简单,其他生物都是直接或间接地依靠苔藓和地衣来维持生活的。 相反,在热带雨林生态系统中,因为生物种类繁多,食物链也多,如果其中的某种草食动物大量减少甚至灭绝,还可以由其他食物链中的草食动物来代替,依然可以维持这个生态系统的生态平衡。 不过,一个生态系统的自动调节能力无论怎样强,也总有一定的限度,如果外来的干扰超过了这个限度,生态平衡就会遭到破坏。 2、生态平衡的破坏:破坏生态平衡的因素,有自然因素和人为因素两类。 自然因素自然因素主要指自然界发生的异常变化,或自然界本来就存在的对于人类和生物有害的因素,例如火山爆发、山崩海啸、水旱灾害、地震、台风和流行病等。 人为因素人为因素主要指由于人类的活动,造成环境污染和自然环境被破坏。 人类为了生产和生活的需要,不断地从环境中索取大量的自然资源,常常达到掠夺的程度;同时,又向环境中排出大量的废气和某些物质污染环境。 战争也破坏生态平衡,例如1991年海湾战争中,大量排放石油到海洋和燃烧石油,使周围海域和一部分地区,受到灾难性的石油污染和空气污染,造成生态平衡不同程度的破坏,给生物和人类带来灾难。 三、保持生态平衡的重要意义能否保持生态系统的平衡,不仅关系到某些生物的生存和发展,也直接影响到人类的生活与生存。 因此,人们要弄清自然环境中各类生态系统和生态系统中各成分之间的相互关系,掌握它们的发展规律,因势利导地使它们朝着有利于人类的方向发展。 我们在改造自然和进行工农业生产过程中,要注意遵循生态平衡的规律,采用先进的科学技术和切实有效的措施,以实现生态系统的良性循环,使有限的自然资源,在有计划的更新过程中,能持续地发挥它的作用。 植树造林,园林绿化,是保持生态平衡的一项重要措施,应当发动群众,齐抓共管。 要逐年绿化荒山空地,制止破坏森林、破坏绿化的违法行为。 只有这样,才能逐步营造风调雨顺、国泰民安的优良生态环境。
工作中造成公司数据泄露要承担什么责任?
不太可能追究刑事责任,很可能追究民事责任,毕竟你不是故意泄露而是由于第三人的原因才导致的,再说只要你尽到了自己的责任义务,也可能不被追究民事责任的,只有故意或重大过失,才要承担赔偿责任。
网络安全涉及的内容有哪些?
为了保证企业信息的安全性,企业CIMS网至少应该采取以下几项安全措施:(1)数据加密/解密 数据加密的目的是为了隐蔽和保护具有一定密级的信息,既可以用于信息存储,也可以用于信息传输,使其不被非授权方识别。 数据解密则是指将被加密的信息还原。 通常,用于信息加密和解密的参数,分别称之为加密密钥和解密密钥。 对信息进行加密/解密有两种体制,一种是单密钥体制或对称加密体制(如DES),另一种是双密钥体制或不对称加密体制(如RSA)。 在单密钥体制中,加密密钥和解密密钥相同。 系统的保密性主要取决于密钥的安全性。 双密钥体制又称为公开密钥体制,采用双密钥体制的每个用户都有一对选定的密钥,一个是公开的(可由所有人获取),另一个是秘密的(仅由密钥的拥有者知道)。 公开密钥体制的主要特点是将加密和解密能力分开,因而可以实现多个用户加密的信息只能由一个用户解读,或者实现一个用户加密的消息可以由多个用户解读。 数据加密/解密技术是所有安全技术的基础。 (2)数字签名 数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充等问题。 它与手写签名不同,手写签名反映某个人的个性特征是不变的;而数字签名则随被签的对象而变化,数字签名与被签对象是不可分割的。 数字签名一般采用不对称加密技术(如RSA): 通过对被签对象(称为明文)进行某种变换(如文摘),得到一个值,发送者使用自己的秘密密钥对该值进行加密运算,形成签名并附在明文之后传递给接收者;接收者使用发送者的公开密钥对签名进行解密运算,同时对明文实施相同的变换,如其值和解密结果一致,则签名有效,证明本文确实由对应的发送者发送。 当然,签名也可以采用其它的方式,用于证实接收者确实收到了某份报文。 (3)身份认证 身份认证也称身份鉴别,其目的是鉴别通信伙伴的身份,或者在对方声称自己的身份之后,能够进行验证。 身份认证通常需要加密技术、密钥管理技术、数字签名技术,以及可信机构(鉴别服务站)的支持。 可以支持身份认证的协议很多,如Needham-schroedar鉴别协议、X.509鉴别协议、Kerberos鉴别协议等。 实施身份认证的基本思路是直接采用不对称加密体制,由称为鉴别服务站的可信机构负责用户的密钥分配和管理,通信伙伴通过声明各自拥有的秘密密钥来证明自己的身份。 (4)访问控制 访问控制的目的是保证网络资源不被未授权地访问和使用。 资源访问控制通常采用网络资源矩阵来定义用户对资源的访问权限;对于信息资源,还可以直接利用各种系统(如数据库管理系统)内在的访问控制能力,为不同的用户定义不同的访问权限,有利于信息的有序控制。 同样,设备的使用也属于访问控制的范畴,网络中心,尤其是主机房应当加强管理,严禁外人进入。 对于跨网的访问控制,签证(Visas)和防火墙是企业CIMS网络建设中可选择的较好技术。 (5)防病毒系统 计算机病毒通常是一段程序或一组指令,其目的是要破坏用户的计算机系统。 因此,企业CIMS网必须加强防病毒措施,如安装防病毒卡、驻留防毒软件和定期清毒等,以避免不必要的损失。 需要指出的是,病毒软件也在不断地升级,因此应当注意防毒/杀毒软件的更新换代。 (6)加强人员管理 要保证企业CIMS网络的安全性,除了技术上的措施外,人的因素也很重要,因为人是各种安全技术的实施者。 在CIMS网中,不管所采用的安全技术多么先进,如果人为的泄密或破坏,那么再先进的安全技术也是徒劳的。 因此,在一个CIMS企业中,必须制定安全规则,加强人员管理,避免权力过度集中。 这样,才能确保CIMS网的安全。
发表评论