如今,有无数的信息防泄漏解决方案,到处都有具有防泄漏功能的产品。然而,面对许多解决方案,企业往往眼花缭乱,不知所措。什么样的系统是一个好的系统?什么样的解决方案可以帮助企业有效地提高信息安全保护水平?我们应该用什么标准来判断不同方案的优缺点?在这方面,知名行业专家、企业代表、制造商专家与您讨论"如何识别信息防泄漏方案的良方?"
在中国古代,医重保障人体健康,信息防泄漏方案是为了企业信息的安全。选择防泄漏方案就像医生在面对病人时找到合适的方法"处方"只有这样,才能对症下药。以此为基础,在选择防泄漏标准时,也逃不掉"望、闻、问、切"的手法。
望:
在选择防止信息泄漏的解决方案时,我们应该首先调查产品,以消除虚假和真实性。虽然目前有许多防泄漏产品,但龙蛇混合,大多涉嫌鱼眼混合珠。益鑫科技产品总监黄凯也认为,许多信息防泄漏产品都打着信息防泄漏的旗号,但本质上是一个简单的审计产品。在选择产品时,用户必须注意区分产品宣传中泄露的概念是否符合自己的需求,必须了解市场状况,区分各种产品的优势,不得急于就医。
闻:
市场是最能反映产品是否有用的试金石。在防泄漏施工过程中,应注意观察市场上产品品牌是否足够正式,提供服务的制造商是否有足够的成功案例(特别是与其应用环境相似的同行业企业案例)。此外,我们可能还应该注意制造商的售后服务能力(经验丰富、负责任的制造商将***时间解决客户的需求,或承担相应的责任)。武汉万谷电子信息部经理朱金哲强调,在选择加密方案时,需要严格调查加密软件、供应商和经销商的资质,选择合适的产品,以确保项目的顺利实施。
问:
在选择防信息化经理谭俊峰在选择防泄漏产品时,应根据自身特点提出自己的侧重需求。例如,在选择防泄漏方案时,三一重工信息化经理谭俊峰应向服务方提出:是否与现有应用系统和网络协议兼容;是否可以应用于主流系统平台,测试各种性能指标是否工作SLA标准;是否提供标准界面;产品是否有合格的认证、服务、市场和典型的成功案例。企业的需求正在发生变化。"问"知道它能否及时、快速地响应客户的需求。
切:
许多产品,可能是宣传材料上写的炒作,但实际的测试产品功能甚至不能实现一半,如果没有足够长时间的测试在真实的环境中建立,就不会出现。企业需要根据自己的需要制定一些典型的测试用例,并尽可能多地想象极端情况,以确保产品能够满足自己的需求。
对此,游侠安全网站长张百川建议企业在购买防泄漏产品前,在使用频率较高的计算机上进行高强度测试。这取决于它的相对性Windows XP 64bit、Vista、Windows 7 64bit等等。目前很多产品对64位操作系统支持不好,容易给企业安全带来安全"马其诺防线"。比如企业中有Linux对于其他操作系统,在安排信息泄漏预防之前需要进行测试,但大多数数据泄漏预防制造商不支持Linux。
综上所述,通过"望"而观大局,"闻"而知小节,"问"而鉴利弊,"切"企业在选择防泄漏方案时,可以测量需求"了然于心"。当然,这只是信息防泄漏产品的选择***步骤,企业还需要经过"望闻问切"选择最适合自己需求的产品和方案。那么,如何进一步选择呢?***、最合适的方案呢?#p#
专家们对这个问题有自己的看法。信息安全专家李洋博士建议,从"功能性、稳定性、兼容性、可审计性"对防泄漏产品进行判断;而郑州三全食品CIO周清湘强调防泄施工方案"安全、方便、完整、容灾"开始。根据各方专家的观点,我们可以概括为以下6个判断标准供读者参考:
标准1:企业内部经营行为应可视化。
这通常被称为审计工作。信息管理相对成熟和标准化的企业现在更加重视这部分工作,即使由于企业文化和其他原因缺乏控制和加密,审计也非常全面和详细,并将安排专人或工作组查看审计内容,为经理提供审计报告。如果没有审计,那么企业将对现有的安全威胁一无所知,安全保护自然完全取决于想象,难以达到效果。毫不夸张地说,审计是安全的必要基础。
标准2.信息防泄密施工必须根据不同的涉密程度而有所不同。
众所周知,安全和效率是矛盾的。安全措施越多,安全性就越高,但过多的安全措施会降低工作效率。企业必须在不影响工作的前提下,在安全和效率之间取得平衡,实现高安全性。事实上,信息的机密级别是不同的。企业不需要对低密度信息进行高密度保护,也不需要对高密度信息进行低密度保护。一刀切的安全管理将导致牺牲安全或效率。因此,信息防泄密系统应能够保护不同机密程度的信息,使安全和效率更加平衡。
标准3.信息防泄密产品必须随需而变,以实现可扩展性。
企业总是在发展变化,安全需求也在增长变化。"就像给孩子买衣服一样,他们经常买稍微大一点的,因为孩子长得很快。如果他们现在正好买,他们很快就不能再穿了。"溢信科技产品总监黄凯说。在选择防泄漏产品时,也是如此。考虑到企业未来的安全需求,在选择防泄漏方案时应采取预防措施和前瞻性措施。如果所选产品(解决方案)只能满足当前的需求,那么很快就会再次购买。
标准4:信息防泄密建设应从全局角度考虑"安全、效率、成本"。
杭州汽轮机有限公司董事黄梁认为,在信息防泄漏建设中,企业应考虑提高业务运营安全、降低泄漏风险、使用障碍和安全成本投资。"安全、效率、成本"问题不仅是企业需要思考,制造商还应该在产品设计开始时考虑这个问题。信息防泄密产品不仅要在其中一两个方面表现出色,还要考虑"安全、效率、成本"。
5.帮助企业及时发现安全威胁。
很多人认为信息防泄密重"防护",在安全威胁面前处于被动防御状态,但事实并非如此。许多泄密事件在发生前都有迹可循。如果企业能及时发现安全威胁的迹象,就可以扼杀在摇篮里。因此,信息泄漏防范系统应能够通过监控、审计等手段对潜在的安全威胁进行预警,帮助企业及时发现安全威胁。处于萌芽状态是信息泄露的真正目的。
安全系统应易于使用和维护。
便捷完善的维护也是防泄施工中不可缺少的工作。用简单的模式保证信息安全更容易被用户接受,这也是富人家里保险柜如此受欢迎的原因。
在选择了合适的防泄漏方案后,你能放心吗?当然不是。面对不断变化的非安全因素,作为防守者,我们只能随机应对,防止变化,很难不断应对变化。在讨论了如何评估信息泄漏预防方案的质量后,面对各种泄漏事件给我们带来了什么启示?内部网络安全建设的未来趋势是什么?云计算等新兴技术是内部网络安全的噩梦吗?"内网安全 十年辩论"下期内容。
【编辑推荐】