1987年，意大利經(jīng)濟(jì)學(xué)者帕累托在對(duì)英國(guó)人財(cái)富與收益模式進(jìn)行調(diào)查時(shí)發(fā)現(xiàn)，大部分的財(cái)富流向了少數(shù)人手里。在對(duì)大量事實(shí)進(jìn)行研究后，他得出結(jié)論：社會(huì)上20%的人占有80%的財(cái)富。隨后人們驚奇地發(fā)現(xiàn)在社會(huì)各個(gè)領(lǐng)域，都存在這樣一種二八定律。一個(gè)企業(yè)20%的客戶貢獻(xiàn)80%的銷售額；一個(gè)國(guó)家20%的人口消耗80%的醫(yī)療資源。而在信息泄露防護(hù)中我們可以發(fā)現(xiàn)，其實(shí)80%的泄密事件發(fā)生于20%的風(fēng)險(xiǎn)點(diǎn)。

    根據(jù)國(guó)際知名內(nèi)網(wǎng)安全管理先鋒溢信科技(www.ip-guard.net)的觀察，這20%的高風(fēng)險(xiǎn)點(diǎn)主要包括以下三個(gè)關(guān)鍵層面：

    一、關(guān)鍵人群

    在企業(yè)中存在這樣一群人，他們或手握企業(yè)機(jī)密，或者熟悉企業(yè)機(jī)密的存儲(chǔ)與信息泄露防護(hù)策略，只要他們想拷走企業(yè)的機(jī)密數(shù)據(jù)，就能輕易地繞過障礙找到目標(biāo)，達(dá)到目的，并對(duì)企業(yè)造成十足的威脅與損害。

    A、離職人員

    據(jù)美國(guó)信息安全公司Cyber-Ark最新調(diào)查，大部分的IT人員在辭職后，會(huì)竊取公司的一些敏感信息，包括CEO的帳戶密碼、客戶資料等機(jī)密。高達(dá)88%的IT管理員承認(rèn)，如果突然被公司辭退，他們將盜取公司機(jī)密信息，這些信息主要包括有CEO的帳戶密碼，客戶資料數(shù)據(jù)庫(kù)，公司戰(zhàn)略計(jì)劃，財(cái)務(wù)報(bào)告，并購(gòu)計(jì)劃和特權(quán)密碼清單等。而在中國(guó)，數(shù)據(jù)顯示離職人員拷走資料的比例達(dá)到70%以上，很多人在離職時(shí)會(huì)將公司機(jī)密資料拷走，以作為尋找下一份工作的籌碼，或者用于創(chuàng)業(yè)。

    B、涉密人員

    機(jī)密文檔管理員、網(wǎng)絡(luò)超級(jí)管理員、高層等等，這些都屬于企業(yè)的涉密人員。對(duì)于設(shè)有專門檔案管理部門的企業(yè)來說，他們會(huì)將該部門與其他部門隔離開來，但對(duì)文檔管理人員的權(quán)限卻缺乏有效的控制。而網(wǎng)絡(luò)超級(jí)管理員在很多企業(yè)中都存在，他們審計(jì)與管控其他所有部門，但其本身卻不被審計(jì)，即使違規(guī)操作也無人察覺，成為企業(yè)信息泄露防護(hù)體系的一個(gè)大BUG。至于高層則不用說，在2012東軟泄密、2013HTC泄密等多個(gè)事件中，主要涉案人員都是公司副總級(jí)以上人員。

    C、特殊合作方

    包括共享文檔共同開發(fā)的戰(zhàn)略合作伙伴，重要業(yè)務(wù)的外包商等，如果對(duì)方利用共享數(shù)據(jù)私下開發(fā)，或者將數(shù)據(jù)泄露，無疑會(huì)對(duì)企業(yè)造成難以預(yù)料的傷害。2012年上海市數(shù)十萬新生兒信息泄露，正是因?yàn)槲�托醫(yī)院對(duì)外包項(xiàng)目的防泄密疏于管理，結(jié)果導(dǎo)致外包數(shù)據(jù)庫(kù)維護(hù)人員在自己家中即完成了數(shù)據(jù)下載，隨后進(jìn)行販賣。

    二、關(guān)鍵載體

    A、移動(dòng)存儲(chǔ)設(shè)備

    如U盤、移動(dòng)硬盤、智能手機(jī)等。為了享受所謂的業(yè)務(wù)便利性，相當(dāng)多的公司對(duì)移動(dòng)存儲(chǔ)設(shè)備都缺乏良好的管理。這些設(shè)備數(shù)量眾多、種類各異、分布零散，且使用頻繁，同時(shí)存儲(chǔ)著公司很多機(jī)密資料，對(duì)企業(yè)的信息泄露防護(hù)工作提出極大的挑戰(zhàn)。據(jù)調(diào)查，每2個(gè)USB盤中就有1個(gè)包含敏感信息，而在所有泄密事件中，因U盤泄密的比例超50%。

    B、應(yīng)用服務(wù)器

    很多公司通過OA/ERP/CVN/CRM/PLM等信息管理系統(tǒng)對(duì)技術(shù)資料、市場(chǎng)策略等數(shù)據(jù)進(jìn)行集中存儲(chǔ)，但對(duì)這些業(yè)務(wù)系統(tǒng)的訪問權(quán)限卻沒有制定合理的管理策略。什么人該訪問什么系統(tǒng)，可以瀏覽哪種級(jí)別的文檔，這些都沒有成文的規(guī)定。有的甚至一個(gè)人就可以看到整套技術(shù)的信息，一旦泄密將對(duì)公司形成直接的威脅。

    C、網(wǎng)絡(luò)服務(wù)器

    如網(wǎng)盤、網(wǎng)絡(luò)郵箱等。很多人都習(xí)慣用郵箱與客戶交流信息，而當(dāng)工作未完成時(shí)也往往習(xí)慣性將相關(guān)文檔發(fā)到自己郵箱或者網(wǎng)盤中，以便回家繼續(xù)完成。但從信息泄露防護(hù)的角度來看，發(fā)出去的資料就如潑出去的水，企業(yè)是無法收回的。據(jù)調(diào)查，每 400 封郵件中就有1封包含敏感信息，每50 份通過網(wǎng)絡(luò)傳輸?shù)奈募�中就�?份包含敏感數(shù)據(jù)。一旦雙方脫離雇傭關(guān)系，這些資料可能會(huì)成為公司巨大的隱患，成為企業(yè)防泄密的硬傷。

    三、關(guān)鍵部門

    每個(gè)企業(yè)都有自己核心的部門，這些部門存儲(chǔ)著核心機(jī)密，比如研發(fā)部：自主開發(fā)的工藝與配方、研發(fā)計(jì)劃、軟件源代碼等；財(cái)務(wù)部：業(yè)績(jī)考核表、資產(chǎn)負(fù)債表、薪酬表等；設(shè)計(jì)部：設(shè)計(jì)方案、圖紙等等。這些機(jī)密關(guān)系著公司的生死存亡，若泄密勢(shì)必元?dú)獯髠�，企業(yè)信息泄露防護(hù)尤其需要注重對(duì)這些特別區(qū)域的防護(hù)。

    對(duì)很多企業(yè)尤其中小企業(yè)而言，在防泄密意識(shí)上可以說是外防充足，但內(nèi)控虛弱。而當(dāng)眾多內(nèi)部泄密事件如驚雷般連連在耳邊炸響時(shí)，頓時(shí)慌了手腳不知所措，于是臨時(shí)選系統(tǒng)搭防線，卻又感覺力不從線，找不到重點(diǎn)，顧此失彼。溢信科技建議，不如從以上三個(gè)關(guān)鍵點(diǎn)入手，也許能夠讓企業(yè)的信息泄露防護(hù)達(dá)到事半功倍之效。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.nttd-wave.com.cn/

本文標(biāo)題：拓步ERP資訊：高效防泄密須緊抓三個(gè)重點(diǎn)

本文網(wǎng)址：http://m.nttd-wave.com.cn/html/news/10515111834.html