在过去的六个月里,我参加了公司内部的信息防漏项目。虽然我跌跌撞撞,但我一路上学到了很多东西。让我和你分享。
先介绍一下我的情况,我在广州某物流公司工作IT部一名普通的网络工程师。就在今年年初,公司发生了一起泄密事件:
不知道是谁拿到了全体员工的工资单,甚至以匿名邮件的形式发给了公司里的每个人。公司内部震动很大,一些对工资制度不满的员工也递交了辞呈。老板勃然大怒,叫我们过去批,说我们部门没有做好信息防泄工作。
说实话,老板首先要注意安全。如果老板不注意,我们提到它是没有用的。我们之前也提到要做内部信息防泄漏建设,但是预算还没有批准。现在发生了什么事,责任就是我们背。老板说一定要好好管理邮件,绝不让信息泄露。财务部和物流中心的数据要重点保护。
病急乱用药
“军令如山倒”,经过半个月的匆忙试用,我们购买了一个电子邮件控制软件,不允许发送包含财务、价格等关键字的文件,并将发送附件的大小限制在10M内部。同时,为了防止泄密事件第二次发生,我们还购买了目前流行的透明加密软件,共有财务部和物流中心40个PC上常用的Excel、Word所有文档都加密了,我想我不必担心加密文档的传输。
谁知道,更多的问题出现了。
问题1:维护特别麻烦。
说到这两个软件,技术操作大家都不是特别熟悉。销售部同事纷纷抱怨关键词或超过10M电子邮件不能发送给客户,影响工作业务;财务部、物流中心主任也应开放解密权……我每天都要在不同的控制台上来回切换设置权限。
此外,每天下午3点已经成为我恐慌的时间。首先,我们需要查看电子邮件和加密文档的操作日志,这意味着我们必须登录两个操作台,查看数千个日志记录,我们太忙了。
问题2:软件偶尔会发生冲突。
同时安装两个软件。说实话,我心里没有底。因为这些管理软件通常会将自己的模块注入到计算机上运行的其他程序中,因此操作可能会发生冲突。果然,物流中心要求我们帮助他们解决电子邮件崩溃、蓝屏等问题。
在部门总结会上,头说老板提出了新的需求,希望掌握内部PC详细操作。我提出了我遇到的问题,坚决反对安装第三个日志审计产品,因为一旦安装,不仅难以维护,而且可能影响正常的业务运行,这是安全建设的禁忌。
重诊病情
之后,我们对同类产品进行了重新比较,了解到易信科技是一家企业。经过仔细调查,我们发现易信仍然是第一家进入内网领域的企业。于是他联系了易信科技,并派技术专家进行调查。专家给了我们一些建议。在这里,我做了一个总结:
1、避免信息信息泄漏“头痛医头,脚痛医脚”。
溢信专家表示,我们目前的做法是典型的“头痛医头,脚痛医脚”,没有统一的计划来解决任何问题。我同意这一点。事实上,在防泄漏项目中,由于老板的任务紧急,没有好的计划,后期出现了新需求无法满足、技术操作困难、人力不足等情况。
专家建议,在进行信息泄漏防治施工之前,我们应该有明确的安全目标,哪些部门需要达到什么安全程度,然后根据不同的安全程度,,重点保护重点部门;同时,从整体角度,整合审计、控制、加密等功能,建立完善的内部防漏系统。这样,即使老板有新的需求,只要需要加强需求。
2、***选择能够提供全面解决方案的单一产品。
目前,应用市场细分非常严重,安全市场也是如此。如果盲目选择各种产品,可能会出现许多意想不到的问题,如不同控制台的操作困难、软件冲突等问题。除了避免上述情况外,还可以为企业节省投资成本,实现投资和安全回报***化。
3、试验测试在购买前非常重要。
在企业信息防泄漏建设中,我们都知道领导的认可非常重要,但我们不能急于获得领导的认可,并在匆忙测试下大规模部署产品。从目前的情况来看,半个月的试验显然不足以发现问题。特别是对于对业务运营有严格要求的透明加密产品,企业需要通过极限测试和压力测试,建立足够复杂的测试环境,模拟企业的实际运营。只有足够的测试才能确保安全产品的稳定性和安全性,才能在整个公司推广。
终得良方
目前,该公司已始采用IP-guard内网安全管理系统。由于供应商溢信科技经验丰富,合作度高,流程顺利,实施效果也不错:
我们首先根据各部门甚至不同岗位产生的信息价值和泄露后对企业的影响,评估了内部网络中存在的风险因素,并制定了风险价值。如财务部、物流中心产生的机密文件,风险系数高;运营中心、研发中心等风险系数次之;管理部、行政部等部门较低。
在充分评估风险系数的情况下,使用它IP-guard信息防泄漏三重保护解决方案,根据不同的秘密重量,按需部署:为及时发现安全漏洞,抵御安全风险,保留安全事件的证据,审计公司内部的所有操作行为;为规范信息带出行为,对部分操作行为进行特殊控制,如只允许使用公司指定类型的电子邮件,禁止Web邮件发送前必须抄送给主管,由主管亲自检查;***,安全要求***财务部和物流中心部署了强大的透明加密。
总的来说,公司内部的信息防泄漏系统相对完善。在不影响业务的情况下,邮件等泄密渠道的管理相对到位,机密信息得到了很强的保护。老板对项目的审计报表也很满意,并将该报表作为绩效评估的参考之一。此外,通过IP-guard单个控制台的操作也简化了我们的日常操作和管理,减少了系统的资源占用,避免了各种产品堆积造成的软件冲突。
半年后,我受益匪浅,***感觉是信息防泄漏项目是一个长期的过程,所以我们必须花时间选择一个经验丰富、强大的制造商合作,不能做安全领域“白老鼠”,经验丰富的供应商可以向我们传达大量的经验,为我们提供合适的解决方案,让我们少走弯路,少摔跤,这对信息泄漏敏感性项目至关重要;其次,好的产品也很重要,我认为好的产品是满足老板、技术人员等角色的需求,强大的制造商提供的产品和服务更放心;此外,由于信息泄漏的长期性和实时更新调整,强大的制造商也可以为我们提供更多的技术和安全建议。