【TechTarget中国原创】思科高级安全顾问Christopher Burgess开始调查防止信息泄露的当前状态时,他对他所看到的现象并不满意。
他说:“我看到很多广告上都说内部人员是应该防范的人。”
Burgess说这种方法针对终端用户,是一种错误的发展和实施安全策略的方法。信任比怀疑更有效。信任可以加强IT企业和终端用户的沟通,当沟通的通道畅通时才会获得利益。
合作的安全方案帮助IT企业制定合理的安全规则,防止规则与员工工作发生冲突。
“不要在真空中创建一个安全协议,” Burgess警告说,“不要强迫员工在工作和遵守协议之间进行选择。”举例来说,IT企业不应封锁YouTube这类视频网站,甚至企业的公关部门也通过这样的网站来进行信息推广。
Burgess 说IT企业应该制定规则避免一些不良行为。比如不要过分上YouTube网站,不要使用p2p软件侵犯他人权益。
关于防止信息泄露,Burgess给出了三条黄金法则:
1)不要侵犯或伤害:如果不确定自己做了些什么,切记不要侵犯他人。在不能完全预知后果时,不要贸然实施一个项目。
2)明白你自己正在做什么:Burgess 说:“要了解你所掌握的资料的价值,如果是客户资料或研发资料的话就要认真保护。在防止数据信息泄露的规范发布之前,这些数据分类的工作应该先行做好,而且必须由专人或专门的部门来负责。”
3)无知并不是理由:“这非常直接,” Burgess说,“如果你不知道答案。停下来去找答案。”在你决定谁来负责数据、怎样制定法规和规则以及如何应用规则时,请向公司的人咨询。
IT企业该怎样将以上三点付诸实践呢?
第一步,Burgess说,寻找一个推广安全规范的机会,如配置笔记本电脑时。然后IT企业将推行一个规范,如锁上所有的笔记本电脑以防止第三方(即恶意软件)对电脑进行侵害。
“规范的提出必然会引起讨论”他说,“必然会出现立场声明之类的东西。”
一旦IT企业和终端用户都参与到这个讨论中来,一份平衡企业安全需要和员工需要的安全规范就会应运而生。而且规范很容易推行,因为终端用户也能很容易理解其背后的原因并愿意遵守这个规则。
Burgess说:“一旦他们发现这是一个积极的约定而不是消极的,他们就会积极遵守。”
在赞成将终端用户引入早期的安全对话的同时,Aberdeen集团研发指导Carol Baroudi认为网络安全专家不能依赖终端用户的自觉的规范行为作为保护的方法。
“我认为没有人会相信所有的人,” Baroudi说,“只有将他们引入讨论时才可相信他们,让他们知道存在着哪些风险。”
许多用户都不理解最基本的遵从规则及其他规定,也不懂得如何使用最基本的加密概念来降低风险。由于这个知识上的鸿沟,教育恐怕是IT企业需要实施重要活动。
Baroudi认为很少有公司进行数据丢失的防护措施,不管它是否进行了用户教育或其他安全工作,如扫描邮件附件和flash等。她说,真正的考虑是这些区域没有防护的话可能会产生重大的安全漏洞。
她说:“深度包检测技术将起不到任何作用,如果你应用一个拇指驱动,并把它取出来带出家门。那样的话你就等于把你自己暴露到角斗场中了。”
Baroudi说最有效的防止信息泄露的方法是有效的防护、教育以及灵活性相结合。例如当一个用户尝试发送一个保护文档时,应用一个Email程序通知他,告诉他如何正确的发送文档。