企業(yè)核心機密數(shù)據(jù)的安全防范機制

三和化工資訊部2010.09.28

企業(yè)核心機密數(shù)據(jù)的安全防范機制

培訓(xùn)教程

信息資料的重要性

客戶資料、研發(fā)成果、企劃方案、產(chǎn)品資料、財務(wù)信息等這些資料對于企業(yè)來說是至關(guān)重要的，這些與企業(yè)業(yè)務(wù)甚至存亡密切相關(guān)的信息一旦被竊取、破壞或丟失，企業(yè)不僅要承擔數(shù)據(jù)泄露價值的損失，更有可能面臨企業(yè)形象的巨大損失和法律風險。

數(shù)據(jù)泄露給企業(yè)帶來的負面影響

2007年在美國TJX零售公司發(fā)生的4500多萬客戶的信息卡及保密資料丟失，進而導(dǎo)致其客戶和銀行業(yè)對其提起訴訟，最終TJX公司需要向客戶賠付1.01億美元，并承受嚴重的企業(yè)聲譽損失。

調(diào)查結(jié)果調(diào)查結(jié)果顯示：遭受攻擊或者數(shù)據(jù)被惡意竊取的公司中，員工登陸論壇網(wǎng)站和博客的比例遠遠高于其他公司。與此同時，F(xiàn)rost&Sullivan公司的調(diào)查顯示：數(shù)據(jù)泄露防護的市場份額將達到21億美元，并以每年41.1%的復(fù)合增長率進行增長。

參考數(shù)據(jù)與之相對應(yīng)的一組數(shù)據(jù)是：2008年有大約86%的中小企業(yè)發(fā)生了數(shù)據(jù)丟失事件，而Mimecast的一項最新研究也顯示，大約有近94%的公司承認，他們在防止公司機密通過郵件外泄方面顯得力不從心。IdentityTheftResourceCenter(ITRC)跟蹤的數(shù)據(jù)表明：2009年截止目前，數(shù)據(jù)泄露已超過2008年466個……Web2.0

Facebook推出了一個專門針對企業(yè)用戶的在線聯(lián)網(wǎng)應(yīng)用的版本，而這給企業(yè)所帶來的風險誰都無法預(yù)估。研究人員認為，黑客們經(jīng)歷了惡意軟件、廣告軟件和垃圾郵件，體驗了網(wǎng)絡(luò)犯罪所能帶來的非法暴利之后，他們開始瞄準了當前火的一塌糊涂的Web2.0。這些現(xiàn)象表明Web2.0時代的誕生與發(fā)展，正孕育著機密數(shù)據(jù)泄露的嚴重隱患。

大量的數(shù)字和統(tǒng)計結(jié)果顯示W(wǎng)eb2.0時代，企業(yè)的數(shù)據(jù)泄露問題已愈發(fā)嚴重，對于業(yè)務(wù)流程、信息處理均嚴重依賴于IT設(shè)施的當今企業(yè)而言，數(shù)據(jù)泄露事件一旦發(fā)生，將使企業(yè)面臨巨大的資產(chǎn)損失和聲譽損失風險。數(shù)據(jù)泄露的主要形式

互聯(lián)網(wǎng)如今正處于迅猛發(fā)展的階段。以協(xié)同工作環(huán)境、社會性網(wǎng)絡(luò)服務(wù)以及托管應(yīng)用程序為代表的Web2.0技術(shù)，將在很大程度上改變?nèi)藗儨贤ń涣鞯姆绞胶凸ぷ鞣绞?。但這些新的技術(shù)在給商業(yè)活動的發(fā)展帶來便利的同時，也帶來了前所未有的巨大安全風險。具體到數(shù)據(jù)泄露的形式而言，分為：無意泄露、故意泄露和惡意竊取這三種主要形式。無意泄露

無意泄露是指企業(yè)員工在使用郵件、即時通訊、登陸B(tài)BS、博客或社區(qū)網(wǎng)站或其他Web2.0應(yīng)用時，不經(jīng)意將公司的客戶信息或財務(wù)信息等機密信息泄露的現(xiàn)象。IDC的研究也顯示：企業(yè)目前最關(guān)注的安全威脅是員工無意中將企業(yè)的核心信息泄露。因為這個無法預(yù)防，也非常難控制。故意泄露

故意泄露即企業(yè)的內(nèi)部員工通過U盤等移動存儲、打印機、文件共享等方式進行核心機密資料的竊取或向外傳輸，并將其用于要挾、變賣或其他惡意用途，此類現(xiàn)象也防不勝防。而且這種目的性強、破壞性大的資料竊取對企業(yè)的影響頗為深遠。惡意竊取

惡意竊取則主要集中于客戶資料、金融財政信息等，攻擊者利用病毒、惡意代碼或其他網(wǎng)絡(luò)打印機來竊取核心數(shù)據(jù)資料，用于非法獲利。這種類型的數(shù)據(jù)泄露往往攻擊面大，破壞性非常嚴重，給企業(yè)所造成的打擊和損失也十分巨大。如何化解危機

如何確保企業(yè)在當前應(yīng)用技術(shù)異常深入且資訊技術(shù)越來越廣泛的時刻擁有核心機密數(shù)據(jù)的高度可信賴的安全保障，將是企業(yè)迫切需要處理的問題。針對核心數(shù)據(jù)泄露防護，企業(yè)可以從以下幾點著手：安全防范1-充分了解企業(yè)的IT架構(gòu)

首先，充分了解企業(yè)的IT架構(gòu)，即了解企業(yè)的內(nèi)部網(wǎng)絡(luò)與Internet的連接狀況，如果企業(yè)的內(nèi)部網(wǎng)與Internet完全連接，則應(yīng)注重網(wǎng)絡(luò)訪問權(quán)限的設(shè)定、端口的設(shè)置等，選取基于網(wǎng)絡(luò)的數(shù)據(jù)泄露防御解決方案，如果企業(yè)的內(nèi)部網(wǎng)與Internet完全隔離，則應(yīng)選擇基于主機的數(shù)據(jù)泄露防護解決方案，借助可對終端數(shù)據(jù)傳輸、轉(zhuǎn)移等操作進行監(jiān)控、阻止的策略來進行數(shù)據(jù)泄露防護。安全防范2-核心數(shù)據(jù)加密權(quán)限和策略

其次，對企業(yè)內(nèi)部的核心數(shù)據(jù)進行分門別類，并對此類數(shù)據(jù)選擇加密措施和訪問權(quán)限的策略設(shè)定。對企業(yè)而言，類似源代碼、產(chǎn)品設(shè)計圖、配方資料、財務(wù)信息、客戶資料、采購信息等核心數(shù)據(jù)應(yīng)被列為高度機密資料，該類數(shù)據(jù)丟失的風險也為最高。安全防范3-明確設(shè)置策略和工作流程

第三，明確設(shè)置策略和工作流程。當企業(yè)的核心數(shù)據(jù)重要性等級被清楚評定之后，企業(yè)需要設(shè)計出流程來對這些核心機密數(shù)據(jù)的動向、使用和訪問行為進行嚴密監(jiān)控。一旦發(fā)生數(shù)據(jù)使用的異常狀況，該流程可在第一時間內(nèi)對異常行為做出反應(yīng)，并生成詳細的日志報告。避免數(shù)據(jù)的最終泄露。優(yōu)秀的數(shù)據(jù)泄露防護解決方案將能夠幫助企業(yè)準確判斷核心數(shù)據(jù)向外傳輸?shù)脑敿殸顩r，包括通過哪個網(wǎng)關(guān)、使用哪臺終端電腦等。WebsenseWebSecurity快速生成的日志報告截屏

安全意識教育最后，加強企業(yè)內(nèi)部員工的安全意識教育，通過不斷強化員工的風險意識，實際操作培訓(xùn)等使員工自覺遵守相關(guān)的策略，幫助企業(yè)避免核心數(shù)據(jù)從內(nèi)部泄露。企業(yè)安全方案

對于高度依賴于網(wǎng)絡(luò)的今天，數(shù)據(jù)安全和可用性對企業(yè)的生存和發(fā)展至關(guān)重要，據(jù)IDC的統(tǒng)計顯示，遭受關(guān)鍵業(yè)務(wù)數(shù)據(jù)的丟失的企業(yè)有近70%在兩年內(nèi)倒閉。數(shù)據(jù)安全才是一切安全方案的核心和終極目標。大型企業(yè)在資金和技術(shù)人員上往往有足夠的投入，因此大型企業(yè)的完整的安全方案涵蓋“防火墻”

+“VPN”+“IPS”+“防病毒”

+“反垃圾郵件”

+“內(nèi)網(wǎng)安全”

+“數(shù)據(jù)存儲備份”等等，有些企業(yè)還有反間諜軟件，專業(yè)抗DDOS攻擊設(shè)備等。企業(yè)安全方案拓撲圖課程總結(jié)

在當前開放的世界里，企業(yè)需要確保核心數(shù)據(jù)的發(fā)送、存儲和使用都在嚴密監(jiān)控的狀態(tài)下進行以確保數(shù)據(jù)安全。實時、功能強大、高度可信賴的數(shù)據(jù)泄露防護解決方案，可以幫助企業(yè)化解因數(shù)據(jù)泄露而帶來的各種風險和損失。同時加強企業(yè)內(nèi)部員工安全意識，自覺遵守相關(guān)策略，也是非常重要的。Thanks9、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節(jié)，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。2月-252月-25Thursday,February13,202510、人的志向通常和他們的能力成正比例。14:31:0414:31:0414:312/13/20252:31:04PM11、夫?qū)W須志也，才須學也，非學無以廣才，非志無以成學。2月-2514:31:0414:31Feb-2513-Feb-2512、越是無能的人，越喜歡挑剔別人的錯兒。14:31:0414:31:0414:31Thursday,February13,202513、志不立，天下無可成之事。2月-252月-2514:31:0414:31:04February13,202514、ThankyouverymuchfortakingmewithyouonthatsplendidoutingtoLondon.ItwasthefirsttimethatIhadseentheToweroranyoftheotherfamoussights.IfI'dgonealone,Icouldn'thaveseennearlyasmuch,becauseIwouldn'thaveknownmywayabout.。13二月20252:31:04下午14:31:042月-2515、會當凌絕頂，一覽眾山小。二月252:31下午2月-2514:31Febru