企業不可不知的資訊防洩漏6條評估标準

     網際網路時代，一個小小的資料就可以左右公司的命運。這些資料在企業自己手裡是制勝王牌，在對手手裡就是毀滅自身的工具。為了保護這些機密資料，不少企業都開展了資訊防洩漏項目。但是防洩漏建設就跟買保險一樣，不出安全事故，你永遠不知道項目是否完善。一直在為防洩建設評估犯難的你，接下來可要看好了，以下6條标準，讓你徹底檢查内部防洩體系究竟完善與否。

    标準1：企業内部操作行為是否實作可視化

    在資訊防洩漏的“戰争”中，相比于躲在暗處的洩密者和安全威脅，站在明處的企業顯然略失先機。但如果企業能夠做到預先防禦，在對手出招之前采取針對性的保護措施，就能從根本上“轉被動為主動”，做好内部資料安全防護。

    是以，良好的資訊防洩體系的前提就是要時刻掌握企業動态，做到要有的放矢。很重要的一點是要實作内部操作的“可視化”，以随時監測整個資訊系統的安全狀況，做到迅速反應，甚至還能預測到潛在的風險，化被動防禦為積極防禦。

    标準2：防洩漏建設是否從全局角度出發，最大程度避免疏漏

    安全領域中的木桶理論和馬其頓防線的故事相信大家都了解——無論怎麼豪華的防線，一個漏洞就可以毀滅所有一切。在企業中，有時候可能是一個小小的 U盤就毀滅了幾百萬投資的努力，或者一封無意的郵件就能讓企業損失慘重。

    是以，在解決安全問題之時，不能僅僅依賴透明加密等技術手段，“頭痛醫頭，腳痛醫腳”地堆砌不同安全産品及封堵安全漏洞，而是需要站在一個更高的戰略角度來通盤考慮。如果缺乏一個整體的分析視角，你可能會忽視或者低估某個安全攻擊的真正威脅，相應采取的安全措施也可能無法解決真正的問題。

    是以，在實際的防洩漏建設中，我們必須從整體上來評估企業的資訊安全狀況，運用統一的平台來進行風險和安全管理，檢測出内部問題，進而描繪出整個企業目前安全情況的更清晰和更準确的圖景，采取針對性的防護措施，最大限度降低企業的安全風險。

    标準3、是否根據涉密程度不同，防護力度輕重有别

    企業在建構立體化、全方位的整體資訊防洩體系時并不是一刀切，不分輕重地在全公司範圍内采取相同的政策，這樣雖然看似達到了最為安全的效果，但對業務造成的巨大影響，以及是以産生的高額成本，對企業來說，都是巨大的負擔。

    對資訊安全來說，威脅和風險往往和高價值的資訊資産聯系在一起，安全保護工作也就應該輕重有别，将重點放在高價值的資訊資産上。什麼是高價值資訊資産？通過風險評估，你會知道，它是你業務依賴的資訊系統，無論軟體、硬體、服務還是人。那麼，在安全建設過程中，對涉密程度高的部門或崗位進行力度大的防禦，對涉密程度低的部門采取相應的安全防禦。同時衡量提升安全性可能帶來的業務操作上的麻煩、企業安全成本等問題，是企業必須要做的事情。

    比如透明加密的成本，以及對企業效率的影響遠高于審計和管控，在企業實施過程中，往往需要結合企業的實際情況，對三種技術手段整合運用：首先，在全公司範圍内進行安全審計，掌握企業操作，發現安全隐患；其次，對特殊崗位和部門，進行嚴格管控，限制資訊的帶出；最後，在核心部門内部，對機密資訊進行透明加密。這樣既可保證公司的正常業務運作，又能有的放矢地實作最優化的資訊防洩漏管理。對于企業來說，還大大節約了投資成本。

    标準4：能否及時發現安全威脅，實作動态性的防護

    動态性的資訊洩露防護，對于目前洩密手段日益增多的企業來說，非常重要。某些企業往往在安全事件發生之後才對現在的政策進行被動的調整。這種“吃一塹、長一智”的防護模式，對于企業而言，有可能是緻命的。一旦出了安全事故，恐怕亡羊補牢，為時已晚。

    企業需要建立一個動态性的安全防護，前瞻性地發現安全威脅，并通過對技術或管理上的政策進行及時調整更新，防範潛在的安全風險。如目前便攜裝置發展迅速，智能手機、iPad等便攜裝置日益成為企業的洩密威脅，在此基礎上，企業應該調整安全政策，對便攜裝置的使用進行規範。

    另外，企業内部的人事變動比較正常，人員的流動屢見不鮮，企業應收緊即将離職員工的文檔使用權限，確定機密文檔不被通路和帶走。如果企業建立了動态性的資訊防洩體系，就能在安全事件發生之前，從技術、管理等多方面更新措施，大大增強安全防護的前瞻性。

    标準5：能否随需而變，實作擴充性的體系

    資訊防洩漏可以看成是一場永無止境的戰争——你剛剛應對完一次安全威脅，下一個威脅又接踵而至。IT部門作為企業資訊防洩的神經中樞，必須能夠适應安全需求的不斷變化，迅速滿足新需求、快捷響應新威脅。如果企業隻單純使用加密或監控某一種技術手段，當新需求出現之時，IT部門不得不求助于新産品，重新選型、試用，操作流程複雜且安全風險增加。

    是以，企業在建立資訊防洩漏體系時，要確定該體系能夠根據新的需求實時擴充，無須重新選擇新的産品，隻需加強同一管理平台上的功能，就能進行更多防洩密功能的擴充，做到無縫內建，消除因選型遲緩而産生的安全風險。

    标準6：安全體系是否容易使用和維護

    如今，市場上五花八門的資訊防洩漏産品讓企業眼花缭亂，某些企業為了確定自己資訊防洩漏高枕無憂，盲目地為自己配備上各種安全産品，并企望這種“強強組合”能給企業套上萬無一失的金鐘罩。殊不知這種做法往往意味着企業必須付出較高的成本，并增加了技術的複雜性，還容易導緻産品軟體沖突等問題，企業雖然“裝”了安全産品，但根本“用”不了。

    目前，能夠提供整體解決方案的單一安全産品成為一種優良選擇，它能夠幫助企業建立統一的安全管理平台，無論是對企業安全邊界防護，到内部使用都做了整體、全面的考慮，而且簡化了日常的操作與管理，降低系統的資源占用，避免了軟體沖突等多種問題。使用和維護起來非常友善，大大節約了IT人員的時間和精力。這種産品為企業帶來諸多功能內建方案的易管理和高成本效益優勢，對于企業将具有更大的吸引力。

    如果你的資訊防洩漏建設符合以上6條檢測标準，那麼你已經建立了一個完善的整體資訊防洩漏體系，機密資訊也得到了最大化的保護，實作了“成本、效率、安全”三者的最佳平衡，這也是近年來被大家認可的“整體資訊防洩漏”理念的核心。實際上，資訊防洩本身就是一種博弈，是企業和人的博弈。它是一場思維的交鋒，企業隻有掌握了内部的行為操作，同時針對内部安全威脅建立全面、立體化的安全防護，資訊防洩才會立于不敗之地。