it企业怎么防范泄密?
1、加强员工管理,签订保密协议 很多公司在招聘环节就已经开始重视应聘者的“背景调查”工作,然而对于已经入职的员工却往往忽视其再教育及合规培训的重要性。实际上,对老员工的再教育更能收到事半功倍的效果。通过定期的集中培训与个别指导相结合的方式,对公司员工尤其是关键岗位人员进行有效的保密教育与提醒,让每个员工都意识到泄露公司商业秘密可能带来的严重法律后果,从思想上重视保密工作。同时,通过签订商业秘密保护协议的方式,明确公司与核心员工之间相互的权利和义务,做到有法可依。
2、完善内部流程,做好制度保障 不少互联网企业为了追求效率,在项目跟进、产品研发等过程中并未严格执行内部审批制度。事实上,越是业务快速发展阶段越应该强化内部管控,特别是对于涉及商业秘密的信息,更应该做到流转有序、记录齐全。通过完善内部审批流程、规范文档管理等方式确保信息只在特定人员范围内流动,防止泄密事件的发生。同时,还可以考虑建立信息分级授权制度,对不同级别的员工授权不同的查询权限,确保信息安全可控。
3、采用先进的技术手段,实现技术预防 对于需要永久保管或频繁使用的敏感信息,可以采用电子签名方式进行处理,并通过数字证书进行加密,以保证其可靠性、真实性、完整性和可用性;对于需要通过物理介质进行传送的敏感信息,可以考虑使用实体密点等硬件设备进行加密;还可以借助软件锁、网络监控、日志审计和防火墙等手段进行技术防范……在注重技术应用的同时,也应该注意技术与管理的结合,只有做到双管齐下,才能真正发挥应有的作用。
从管理流程上讲,需要梳理企业的信息保护制度、流程等,确定企业机密载体、以及权限管理规范,明确责任到人;其次,加强网络安全管理,包括物理安全、系统安全、应用安全、数据安全管理和终端安全管理要求;第三,加强移动终端和远程办公的管理,包括移动存储、外出携带笔记本等终端,以及出差或者在家远程办公情况下,如何接入企业内部管理等安全约束规范。
技术上,常见的技术手段包括如下几种。
一、网络访问控制(NAC)
网络访问控制主要是用来防止非法或者不受信终端接入到企业的网络中,包括未安装杀毒软件/补丁、使用个人笔记本接入到企业网络等,通过NAC接入控制系统,统一强制管控接入企业网络的终端环境,不符合企业合规要求的终端不能接入。
二、身份认证与访问控制
加强用户的身份认证,包括静态口令、动态口令、生物识别或者数字证书等方式加强用户登陆认证的安全性,同时基于用户(或用户组)和资源(或资源组),采用访问控制矩阵的方式对用户访问权限进行配置,包括允许策略和拒绝策略等,防止不合规访问。同时,为了防止合法人员超越授权访问,还需要采用多重认证(比如结合USBKEY等),或者对敏感数据、敏感系统等采用基于角色的访问控制(RBAC)机制,防止用户越权访问。
三、终端数据防泄密
终端数据防泄密主要针对安装企业管控客户端的受信任终端,可利用终端安全管理/桌面管理等系统,集成/对接终端数据防泄密DLP的产品。终端DLP主要对终端静态和动态数据的保护,静态数据保护主要解决“终端存了什么信息”、“终端存了不该存的信息怎么办”、“终端的敏感信息如何处理”等问题;动态数据保护主要解决“哪些信息经过外设或者网络通道”、“哪些信息打印了”、“哪些信息带出了企业”等问题。通过终端DLP系统,对移动存储、U盘、光驱、软驱、串口、蓝牙、红外、打印机等物理外设,以及网络通信通道等进行统一授权策略管控,基于文件特征、数据库指纹分析比对,确定敏感信息,并进行相应拦截、审计等动作。
四、服务器数据防泄密(文档防扩散)
终端DLP主要针对企业受控终端进行敏感数据保护,但大多数涉密数据其实都存放在企业内部数据库服务器、文件服务器等服务器系统中,如果黑客或者企业人员直接在服务器上违规操作数据,或者服务器本身被攻陷后被黑客窃取数据怎么办呢?针对服务器数据保护,如果服务器数据比较重要的,可采用沙箱等强管控安全终端进行管理,如果服务器数据重要性一般,但量还比较多的,可采用服务器DLP文档加密防扩散进行管理。服务器DLP的主要思想基于安全域进行数据加密保护,具体是通过在服务器上安装文档加密系统服务器端,终端上安装软硬件加密客户端,非加密终端无法打开文档,加密终端根据管控策略可对文档进行读写或者只能只读,从而保护服务器数据的存储和流转安全。
五、移动办公和内部网页防泄密
除了固定终端办公之外,随着移动互联网的发展,个人移动终端和私有云服务的普及,企业敏感数据越来越容易流转和泄密到个人移动终端上,而且移动终端的管控比PC计算机要难很多,针对此类安全管理问题,可采用企业电子邮件安全网关和网页浏览行为安全网关进行保护,通过邮件关机,可以防止客户端直接访问企业邮件服务器,通过网关强策略控制个人终端访问,并对重要邮件进行加密,通过访问内部受控安全WEB服务器强制控制数据保护。
