關(guān)注企業(yè)數(shù)據(jù)安全十招謹(jǐn)防數(shù)據(jù)泄露

字號(hào):

導(dǎo)致網(wǎng)絡(luò)癱瘓的黑客攻擊往往引起人們的極大注意,因此公司對(duì)于這些威脅采取了嚴(yán)密的保護(hù)措施。不過(guò),如果你的公司只是關(guān)注這種安全,還是遠(yuǎn)遠(yuǎn)不夠的。
    不幸的是,預(yù)防DDOS攻擊、病毒、蠕蟲(chóng)和其它侵害形式的措施并不能解決日益嚴(yán)重的數(shù)據(jù)流失問(wèn)題:由于競(jìng)爭(zhēng)對(duì)手的網(wǎng)絡(luò)間諜活動(dòng)造成公司數(shù)據(jù)被竊取。然而你公司的商業(yè)秘密泄露給一個(gè)競(jìng)爭(zhēng)者,或者公司的信息被媒體獲知,在有些情況下,有可能導(dǎo)致比網(wǎng)絡(luò)癱瘓更為嚴(yán)重的后果。
    那么,為了防止你的數(shù)據(jù)從公司泄露出去,應(yīng)該采取哪些措施呢?
    第一招:貫徹執(zhí)行最少特權(quán)的原則
    你可以根據(jù)兩種截然相反的理論觀點(diǎn)設(shè)置你的網(wǎng)絡(luò)訪(fǎng)問(wèn)策略。第一種,“全面開(kāi)放”策略,假設(shè)所有的數(shù)據(jù)對(duì)每一個(gè)人都是可用的,除非明確地限制其訪(fǎng)問(wèn)。第二種策略即“最少特權(quán)”策略,即所有的數(shù)據(jù)禁止所有用戶(hù)的訪(fǎng)問(wèn),除非一個(gè)用戶(hù)被明確地給與這種訪(fǎng)問(wèn)權(quán)限。后者就像是一個(gè)情報(bào)機(jī)構(gòu):除非一個(gè)用戶(hù)擁有所需要的適當(dāng)證明來(lái)訪(fǎng)問(wèn)一個(gè)特定的文件,否則就不能訪(fǎng)問(wèn)它。
    第二招:將策略寫(xiě)下來(lái)形成書(shū)面規(guī)章制度
    你可能會(huì)認(rèn)為你的員工不應(yīng)復(fù)制公司的重要信息,并將其帶回家去;在沒(méi)有經(jīng)過(guò)允許之前,員工也不應(yīng)該將這些信息通過(guò)電子郵件發(fā)送到網(wǎng)絡(luò)之外去。這是很顯明的事情。不過(guò),如果你不將這些策略和規(guī)則寫(xiě)下來(lái)或打印出來(lái),并讓員工在其上簽字,那么如果他們違反了這些要求,你將很難懲罰他們。不形成規(guī)章制度或者未成文的規(guī)則是很難實(shí)施的。
    你的規(guī)則應(yīng)該具體明確,并舉出例子哪些行為應(yīng)該禁止。員工們可能不理解,除非你清楚地說(shuō)明之,通過(guò)電子郵件將公司的文檔以附件的形式發(fā)送到公司網(wǎng)絡(luò)之外(或者發(fā)送到其家庭賬戶(hù)上)違反了公司的規(guī)則,這與下面的行為是一樣的:將這個(gè)文檔復(fù)制到磁盤(pán)上或一個(gè)USB設(shè)備上,然后將其帶出公司大門(mén),它們同樣違反了公司規(guī)則。
    不過(guò),對(duì)規(guī)則的措詞應(yīng)該體現(xiàn)出:加以禁止的行為不限于你所舉的例子,一切威脅公司安全的行為都應(yīng)禁止。
    第三招:設(shè)計(jì)限制性的許可和審計(jì)訪(fǎng)問(wèn)
    保護(hù)數(shù)據(jù)非常重要的一步就是針對(duì)數(shù)據(jù)文件和文件夾設(shè)計(jì)恰當(dāng)?shù)脑S可。毋庸質(zhì)疑,Windows網(wǎng)絡(luò)的關(guān)鍵數(shù)據(jù)應(yīng)該存儲(chǔ)到一個(gè)NTFS分區(qū)上,因此你才能運(yùn)用某種共享許可實(shí)施NTFS許可。NTFS許可比共享許可更加精細(xì),并能運(yùn)用到訪(fǎng)問(wèn)本地計(jì)算機(jī)和網(wǎng)絡(luò)數(shù)據(jù)的用戶(hù)身上。
    要盡可能地給用戶(hù)最低級(jí)的、能完成工作的許可。例如,將“只讀”許可給用戶(hù),防止他們修改文件。
    你還可以對(duì)包含敏感數(shù)據(jù)的文件和文件夾進(jìn)行審核,因此就可以看出誰(shuí)在什么時(shí)間訪(fǎng)問(wèn)了數(shù)據(jù)。
    第四招:使用數(shù)據(jù)加密
    將數(shù)據(jù)存儲(chǔ)在NTFS格式的磁盤(pán)上的另外一個(gè)好處是你可以實(shí)施加密文件系統(tǒng)(Encrypting File System (EFS))的加密。EFS由Windows 2000及以后的操作系統(tǒng)所支持,可以防止其他用戶(hù)打開(kāi)文件,即使他們擁有NTFS許可。至于Windows XP/2003及以后的操作系統(tǒng),可以通過(guò)在加密對(duì)話(huà)框中給其分配特定的許可,實(shí)施加密文件夾的共享。
    竊取數(shù)據(jù)的一種方法是竊取整臺(tái)計(jì)算機(jī),特別是筆記本電腦等。對(duì)于vista 企業(yè)版和終極版,為防止萬(wàn)一計(jì)算機(jī)被竊取的造成的數(shù)據(jù)丟失,可以利用BitLocker的完全驅(qū)動(dòng)器加密來(lái)保護(hù)數(shù)據(jù)。