導致網路癱瘓的黑客攻擊往往引起人們的極大注意,因此公司對於這些威脅採取了嚴密的保護措施。不過,如果你的公司只是關注這種安全,還是遠遠不夠的。
不幸的是,預防ddos攻擊、病毒、蠕蟲和其它侵害形式的措施並不能解決日益嚴重的資料流失問題:由於競爭對手的網路間諜活動造成公司資料被竊取。然而你公司的商業秘密洩露給乙個競爭者,或者公司的資訊被**獲知,在有些情況下,有可能導致比網路癱瘓更為嚴重的後果。
那麼,為了防止你的資料從公司洩露出去,應該採取哪些措施呢?
第一招:貫徹執行最少特權的原則
你可以根據兩種截然相反的理論觀點設定你的網路訪問策略。第一種,「全面開放」策略,假設所有的資料對每乙個人都是可用的,除非明確地限制其訪問。第二種策略即「最少特權」策略,即所有的資料禁止所有使用者的訪問,除非乙個使用者被明確地給與這種訪問許可權。後者就像是乙個情報機構:除非乙個使用者擁有所需要的適當證明來訪問乙個特定的檔案,否則就不能訪問它。
第二招:將策略寫下來形成書面規章制度
你可能會認為你的員工不應複製公司的重要資訊,並將其帶回家去;在沒有經過允許之前,員工也不應該將這些資訊通過電子郵件傳送到網路之外去。這是很顯明的事情。不過,如果你不將這些策略和規則寫下來或列印出來,並讓員工在其上簽字,那麼如果他們違反了這些要求,你將很難懲罰他們。不形成規章制度或者未成文的規則是很難實施的。
你的規則應該具體明確,並舉出例子哪些行為應該禁止。員工們可能不理解,除非你清楚地說明之,通過電子郵件將公司的文件以附件的形式傳送到公司網路之外(或者傳送到其家庭賬戶上)違反了公司的規則,這與下面的行為是一樣的:將這個文件複製到磁碟上或乙個usb裝置上,然後將其帶出公司大門,它們同樣違反了公司規則。
不過,對規則的措詞應該體現出:加以禁止的行為不限於你所舉的例子,一切威脅公司安全的行為都應禁止。
第三招:設計限制性的許可和審計訪問
保護資料非常重要的一步就是針對資料檔案和資料夾設計恰當的許可。毋庸質疑,windows網路的關鍵資料應該儲存到乙個ntfs分割槽上,因此你才能運用某種共享許可實施ntfs許可。ntfs許可比共享許可更加精細,並能運用到訪問本地計算機和網路資料的使用者身上。
要盡可能地給使用者最低階的、能完成工作的許可。例如,將「唯讀」許可給使用者,防止他們修改檔案。
你還可以對包含敏感資料的檔案和資料夾進行審核,因此就可以看出誰在什麼時間訪問了資料。
第四招:使用資料加密
將資料儲存在ntfs格式的磁碟上的另外乙個好處是你可以實施加密檔案系統(encrypting file system (efs))的加密。efs由windows 2000及以後的作業系統所支援,可以防止其他使用者開啟檔案,即使他們擁有ntfs許可。至於windows xp/2003及以後的作業系統,可以通過在加密對話方塊中給其分配特定的許可,實施加密資料夾的共享。
竊取資料的一種方法是竊取整台計算機,特別是膝上型電腦等。對於vista 企業版和終極版,為防止萬一計算機被竊取的造成的資料丟失,可以利用bitlocker的完全驅動器加密來保護資料。
第五招:實施許可權管理
有一些資料竊取確實可以通過上述的方法來避免。然而,對於那些你需要給與訪問許可權的人造成的資料竊取怎麼辦?可以利用windows rights management services(許可權管理服務,簡稱 rms),以及許多office 2003和 office 2007版本中的資訊許可權管理(information rights management,irm)來防止使用者利用**、複製等手段濫用你發給他們的電子郵件訊息和office文件(主要是word、 excel、 powerpoint)。
第六招:限制可移動**的使用
第七招:控制膝上型電腦的使用
使用者可以將檔案帶走的另外一種方法,是用一台膝上型電腦或掌上電腦連到內部網路上,將檔案複製到其硬碟上,然後將其計算機帶走。你應該控制有哪些電腦可以連線到你的區域網,不僅僅是對遠端訪問的控制,而是應該控制誰可以將網路電纜插入到你的集線器或交換機。
第八招:為傳出的網路資訊制定規則
防火牆所做的不僅僅是阻止不合需要的通訊訪問你的網路,還可以防止特定的通訊離開你的網路。你可以設定防火牆來阻止某些型別的傳出協議,如p2p軟體所使用的協議。
你可以設定郵件伺服器來阻止發出郵件附件,還可以利用內容過濾的軟體或服務來阻止發出去的內容,例如,可以使用reconnex iguard mx logic,microsoft forefront,gfi mail security等。
第九招:控制無線通訊
即使你通過防火牆或者過濾系統阻止發出某些型別的資料,乙個意志堅定的傢伙還是可能將公司的電腦連線到某個範圍內的不同無線網路,即乙個沒有實施阻止機制的無線網路。或者他可能將計算機連線到一部擁有網際網路訪問能力的移動**上,然後將此**作為乙個數據機,實現無線上網的企圖。
因此,跟蹤可能離開公司所在地的無線網路其及其裝置,如果可能的的話,阻止其訊號。
第十招:當心其它的具有「創造性」的資料竊取方法
記住,你的資料流出網路可能會有許多方法。乙個使用者可以列印乙份文件,將其以紙張的形式帶出公司;或者乙個竊賊可能從垃圾桶裡竊取沒有進行銷毀處理的文件資料。即使你已經實施了版權管理等技術來防止複製或列印文件,某個人還是可以通過膠片或數字電影的形式帶走資料,或者是坐下來手工抄寫文件資訊。因此,需要萬分小心,採取縝密的措施來保護你的資料安全。 (網際網路實驗室)
關注企業資料安全 十招防資料洩露
資料洩露防不勝防?列許可權一招決勝企業安全高效協作
千呼萬喚的vika維格表 列許可權 功能上線啦 通過給成員配置 可編輯 或 唯讀 的許可權,讓敏感資料可以隨心控制,極大提高協同工作的效率和資料的安全性 為資料列配置 可編輯 或 唯讀 許可權 例如 你在做進銷存管理的時候,可以通過 列許可權 保護商品的成本 不被公開,售價不被修改等等 在活動評比管...
93 企業使用多雲環境!企業資料安全當如何防護?
企業上雲已經不是什麼新鮮事,而隨著業務需求的增加,越來越多的企業選擇將業務在多個雲平台進行部署使用。根據 flexera 2020雲狀況報告 顯示,多雲環境正在成為企業的標準,93 的企業正在使用這種方式。在多雲戰略中使用的公共雲服務越來越受歡迎,gartner 2020年的收入將超過2660億美元...
資料隱私洩露,如何才能保證資料安全?
為了建立支援大資料環境的基礎設施,需要乙個安全且高速的網路來收集很多安全系統資料來源,從而滿足大資料收集要求。鑑於大資料基礎設施的虛擬化和分布式性質,企業需要將虛擬網路作為底層通訊基礎設施 保護大資料 基礎設施準備 首先對於利用大資料系統來分析企業內活動的安全工具,企業安全團隊必須了解傳統安全修復工...