1987年,意大利经济学者帕累托在对英国人财富与收益模式进行调查时发现,大部分的财富流向了少数人手里。在对大量事实进行研究后,他得出结论:社会上20%的人占有80%的财富。随后人们惊奇地发现在社会各个领域,都存在这样一种二八定律。一个企业20%的客户贡献80%的销售额;一个国家20%的人口消耗80%的医疗资源。而在信息泄露防护中我们可以发现,其实80%的泄密事件发生于20%的风险点。
根据一些国际知名内网安全管理机构的观察,这20%的高风险点主要包括以下三个关键层面:
一、关键人群
在企业中存在这样一群人,他们或手握企业机密,或者熟悉企业机密的存储与信息泄露防护策略,只要他们想拷走企业的机密数据,就能轻易地绕过障碍找到目标,达到目的,并对企业造成十 的威胁与损害。
A、离职人员
据美国信息安全公司Cyber-Ark最新调查,大部分的IT人员在辞职后,会窃取公司的一些敏感信息,包括CEO的帐户密码、客户资料等机密。高达88%的IT管理员承认,如果突然被公司辞退,他们将盗取公司机密信息,这些信息主要包括有CEO的帐户密码,客户资料数据库,公司战略计划,财务报告,并购计划和特权密码清单等。而在中国,数据显示离职人员拷走资料的比例达到70%以上,很多人在离职时会将公司机密资料拷走,以作为寻找下一份工作的筹码,或者用于创业。
B、涉密人员
机密文档管理员、网络超级管理员、高层等等,这些都属于企业的涉密人员。对于设有专门档案管理部门的企业来说,他们会将该部门与其他部门隔离开来,但对文档管理人员的权限却缺乏有效的控制。而网络超级管理员在很多企业中都存在,他们审计与管控其他所有部门,但其本身却不被审计,即使违规操作也无人察觉,成为企业信息泄露防护体系的一个大BUG。至于高层则不用说,在2012东软泄密、2013HTC泄密等多个事件中,主要涉案人员都是公司副总级以上人员。
C、特殊合作方
包括共享文档共同开发的战略合作伙伴,重要业务的外包商等,如果对方利用共享数据私下开发,或者将数据泄露,无疑会对企业造成难以预料的伤害。2012年上海市数十万新生儿信息泄露,正是因为委托医院对外包项目的防泄密疏于管理,结果导致外包数据库维护人员在自己家中即完成了数据下载,随后进行贩卖。
二、关键载体
A、移动存储设备
如U盘、移动硬盘、智能手机等。为了享受所谓的业务便利性,相当多的公司对移动存储设备都缺乏良好的管理。这些设备数量众多、种类各异、分布零散,且使用频繁,同时存储着公司很多机密资料,对企业的信息泄露防护工作提出极大的挑战。据调查,每2个USB盘中就有1个包含敏感信息,而在所有泄密事件中,因U盘泄密的比艹50%。
B、应用服务器
很多公司通过OA/ERP/CVN/CRM/PLM等信息管理系统对技术资料、市场策略等数据进行集中存储,但对这些业务系统的访问权限却没有制定合理的管理策略。什么人该访问什么系统,可以浏览哪种级别的文档,这些都没有成文的规定。有的甚至一个人就可以看到整套技术的信息,一旦泄密将对公司形成直接的威胁。
C、网络服务器
如网盘、网络邮箱等。很多人都习惯用邮箱与客户交流信息,而当工作未完成时也往断肮咝越相关文档发到自己邮箱或者网盘中,以便回家继续完成。但从信息泄露防护的角度来看,发出去的资料就如泼出去的水,企业是无法收回的。据调查,每 400 封邮件中就有1封包含敏感信息,每50 份通过网络传输的文件中就有1份包含敏感数据。一旦双方脱离雇佣关系,这些资料赌芑岢晌公司巨大的隐患,成为企业防泄密的硬伤。
三、关键部门
每个企业都有自己核心的部门,这些部门存储着核心机密,比如研发部:自主开发的工艺与配方、研发计划、软件源代码等;财务部:都考核表、资产负债表、薪酬表等;设计部:设计方案、图纸等等。这些机密关系着公司的生死存亡,若泄密势必元气大伤,企业信息泄露防护尤其需要注重对这些特别区域的防护。
对很多企业尤其中小企业而言,在防泄密意识上可以说是外防充足,但内缎槿酢6当众多内部泄密事件如惊雷般连连在耳边炸响时,顿时慌了手脚不知所措,于是临时选系统搭防线,却又感觉力不从线,找不到重点,顾此失彼。溢信科技建议,不如从以上三个关键点入手,也许能够让企业的信息泄露防护达到事半功倍之效。
粤公网安备 44010502001126号 粤ICP备12006439号-1