走出數(shù)據(jù)保護誤區(qū)

申請免費試用、咨詢電話：400-8352-114

誤區(qū)一:預(yù)防信息泄漏是信息管理員的事情

保護公司避免病毒等外部威脅向來是安全管理員的份內(nèi)事，但保護公司避免信息泄漏需要極其寬廣的視野。如今，保護敏感數(shù)據(jù)的難題涉及公司的各個部門: 從IT部門、法律部門到董事會。CIO們每天都必須面臨如何落實必要的技術(shù)和流程，以便保護機密數(shù)據(jù)、遵守各種法規(guī)的問題，但他們必須在不影響日常業(yè)務(wù)運營的前提下做到這一點。

誤區(qū)二:如果阻止了即時通信、基于萬維網(wǎng)的電子郵件和外部存儲設(shè)備，就用不著擔心信息泄漏了

控制即時通信、萬維網(wǎng)電子郵件和外部存儲設(shè)備也許能增強基本的數(shù)據(jù)安全，不過在如今這個高度聯(lián)網(wǎng)的世界，嚴格限制信息的流動可能會妨礙業(yè)務(wù)流程，最終制約公司的發(fā)展。行之有效的預(yù)防手段應(yīng)該既讓信息留在公司的防火墻內(nèi)部，又不影響日常業(yè)務(wù)運營的順利開展。信息管理需要采取面面俱到的方法。最佳實踐包括: 針對即時通信和萬維網(wǎng)使用等方面制訂泄漏預(yù)防策略; 另外要使用越來越多的技術(shù)，比如端點安全和加密技術(shù)，好讓員工們能夠安全地使用外部存儲設(shè)備。

誤區(qū)三:我知道自己的數(shù)據(jù)位于何處

大多數(shù)公司對自己的數(shù)據(jù)位于何處（無論數(shù)據(jù)是在文件服務(wù)器上還是在公司的筆記本電腦上）并不是非常清楚。知道誰可以訪問數(shù)據(jù)、數(shù)據(jù)在網(wǎng)絡(luò)內(nèi)外傳輸?shù)那闆r，這對管理信息而言至關(guān)重要。除了識別敏感信息外，CIO們還必須明白其他有風險的方面，比如未加保護的端點，是否針對常見的數(shù)據(jù)丟失途徑（如即時通信和上網(wǎng)沖浪）制訂了互聯(lián)網(wǎng)使用策略、策略是否得到了執(zhí)行，等等。

誤區(qū)四:我最應(yīng)該關(guān)心的是保護數(shù)據(jù)避免數(shù)據(jù)失竊和內(nèi)部惡意泄漏

惡意數(shù)據(jù)泄漏和失竊顯然是要處理的重要方面。不過，大多數(shù)泄漏并非有意為之。失誤、違反現(xiàn)有的業(yè)務(wù)或者IT流程以及員工和承包商的疏忽，這些因素都會導致泄漏。據(jù)弗雷斯特研究公司統(tǒng)計，實際上，有70%以上的泄漏事件是不小心造成的。由于幾乎每臺計算機上的預(yù)期收件人都有電子郵件自動填充功能，很容易看到電子郵件一不小心就發(fā)送到了公司外面。在制訂行之有效的信息泄漏預(yù)防策略時，必須關(guān)注偶然性的數(shù)據(jù)丟失，以便應(yīng)對絕大部分的日常風險。

誤區(qū)五:信息泄漏預(yù)防技術(shù)很復雜、成本很高，所以不值得安裝

每家公司的情況各不相同，因而泄漏帶來的潛在成本也各不相同。不過已經(jīng)有研究機構(gòu)進行了大量研究，分析受害者遭遇的泄漏事件，如美國零售商TJX最近就專門撥款1.18億美元來應(yīng)對數(shù)據(jù)泄漏。弗雷斯特研究公司估計，客戶信息丟失帶來的成本為每條記錄90美元到305美元之間，具體取決于所丟失信息的類型和公司。

不過，客戶信息只是大多數(shù)人平時看到的泄漏信息當中的一小部分而已。并購方案、收益報告和知識產(chǎn)權(quán)等機密信息一旦泄漏，給相關(guān)公司帶來的影響會大得多。每家公司需要進行風險管理評估，以便量化泄漏事件帶來的預(yù)期損失?？梢杂纱舜_定是否有必要實施信息控制措施，比如信息泄漏預(yù)防技術(shù)—在大多數(shù)情況下，許多公司發(fā)現(xiàn)有必要實施這類措施。

誤區(qū)六:員工們知道什么信息可以發(fā)到公司外面、什么信息不能發(fā)到外面

大多數(shù)員工并不是有意泄漏信息的，如果經(jīng)過適當?shù)呐嘤柡徒逃?，再結(jié)合信息泄漏預(yù)防技術(shù)，就可以大大降低數(shù)據(jù)泄漏風險。不過，絕大部分員工并不知道公司所訂的策略。員工們往往不明白為什么通過網(wǎng)絡(luò)郵件把工作文檔發(fā)到家里去處理具有很大風險，也不明白為什么密碼保護很重要。在移動性越來越強的工作環(huán)境下，員工培訓顯得更加重要。

員工教育方面的最佳實踐從溝通開始入手。應(yīng)當在新員工崗前培訓期間提供員工培訓，然后是一年一度的進修課程，教他們明白可以訪問哪些信息、如何使用信息。第二步就是使用技術(shù)來提供持續(xù)教育、自動加強策略的機制。比方說，要是有了信息泄漏預(yù)防解決方案，哪些員工違反了策略，就會自動收到管理人員發(fā)來的警告信息。這樣，他們就會知道為什么自己的某種聯(lián)系違反了策略，以便將來能夠有所改進。

誤區(qū)七:信息泄漏預(yù)防技術(shù)會影響公司的運營

許多CIO一聽到“信息泄漏預(yù)防”，就以為會影響業(yè)務(wù)流程。事實恰恰相反，信息泄漏預(yù)防實際上能改善業(yè)務(wù)流程。如果實施的產(chǎn)品擁有數(shù)據(jù)的上下文知識、知道誰在發(fā)送數(shù)據(jù)及預(yù)期目的地，那么一旦違反了策略，信息所有者就會接到通知，而不需要IT人員的干預(yù)，從而降低了管理開銷，同時強化了以下觀念: 信息泄漏問題能夠而且必須在業(yè)務(wù)部門自身內(nèi)部得到解決。

誤區(qū)八:如果部署了信息泄漏預(yù)防技術(shù)，會接到大量誤報

能夠辨別實際的重大泄漏與日常的業(yè)務(wù)活動，這對維持安全效果和運營效果之間的平衡而言至關(guān)重要。當然，有些信息泄漏預(yù)防解決方案的誤報率（及漏報率）很高。為了避免很高的誤報率和漏報率及由此帶來的成本，應(yīng)當尋求具有準確的檢測功能，并且對結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)都能檢測的解決方案。并且確保它擁有一組細粒度的策略控制機制和成熟的執(zhí)行功能，從而確保能夠設(shè)定及執(zhí)行針對用戶、數(shù)據(jù)、目的地、公司治理和法規(guī)遵從等方面的策略。

誤區(qū)九:只有受管制行業(yè)才需要信息泄漏預(yù)防技術(shù)

消費者數(shù)據(jù)不是公司需要為之擔心的惟一信息。每家公司都有重要的知識產(chǎn)權(quán)需要保護。如果某家娛樂公司丟失了重要的電影腳本，或者某家服裝公司泄漏了明年的設(shè)計方案，公司有可能蒙受慘重損失。

誤區(qū)十:信息泄漏預(yù)防技術(shù)有望解決所有數(shù)據(jù)泄漏問題

信息泄漏預(yù)防技術(shù)只不過提供了一種方法，它能夠發(fā)現(xiàn)敏感數(shù)據(jù)位于何處，然后預(yù)防這些數(shù)據(jù)通過常見的聯(lián)系方法（如電子郵件和即時通信）離開公司。不過，這項技術(shù)必須輔以員工教育，并且與文檔權(quán)限管理、加密、端點安全等技術(shù)，當然還有物理安全措施結(jié)合使用。信息泄漏預(yù)防的目的在于，大大降低數(shù)據(jù)泄漏風險，同時為公司跟蹤及迅速應(yīng)對違反策略的嚴重事件提供一種手段。(CCW- 2008年02月25日第06期 33)