IP-guard三步助力企业做好信息防泄密工作
近些年来随着信息化的发展,对应的网络安全事件也一直层出不穷,且呈现出影响大、数量上升、涉及范围广的趋势。2020年11月位于墨西哥的富士康工厂遭到了勒索软件攻击,而且是双重勒索攻击,除了导致1200台服务器被加密之外,攻击者在对设备进行加密前还窃取了100GB的未加密文件,同时删除了不少于20TB的备份。随后,攻击者发布了一个指向付款站点的链接,要求富士康支付1804.0955 比特币作为赎金(按照当时的价格计算,约为3486.6万美元),这一笔被索赎金的金额之高创造了2020年之最,可见做好企业数据信息安全防护是多么的必要和重要。
2020年7月3日,《中华人民共和国数据安全法(草案)》全文在中国人大网公开征求意见。草案内容共7章51条,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。
当前企业信息安全管理现状
一、 企业信息安全管理意识
现在大多数中小企业管理者都认识到企业信息数据的重要性,但是却对自己的员工充满信任,相信员工99%不会做出对企业不利的事情(系统管理员删库跑路、离职员工恶意删除数据、开发人员泄露源代码、设计人员倒卖图纸、高层人员携带机密数据另起炉灶),心存侥幸的认为那1%的风险不会发生在自己的企业,故而对企业信息安全管理采取的是不出问题则一切安好、出了问题则亡羊补牢的措施。
二、 企业信息安全管理制度
由于许多企业由于IT部门人员少、有的可能还是行政人员兼职,这就导致企业信息安全管理难度加大。基于以上,企业也相继制定了内部的《企业信息安全管理制度》,以盼能达到制度约束管理人的效果。但往往是制度实施一段时间后,其作用就慢慢降低,最后就形同虚设。导致上述情况主要原因在于没有辅之以技术手段去落实规章制度,比如:制度规定禁止使用私人U盘、禁止使用百度网盘、禁止私自安装软件等,员工发现确实U盘不好用、百度网盘也打不开、软件也安装不了了,这时候管理制度才真正的落实到位,起到了它应有的作用。
三、 企业信息安全管理规划
面对纷繁复杂的网络环境,做好企业信息安全管理规划工作已经迫在眉睫。
规划内容:
1, 部署防病毒软件,降低终端电脑中毒的风险
2, 部署硬件防火墙,抵御外部攻击入侵企业网
3, 部署终端管理系统,提升it运维管理的效率
4, 部署终端加密系统,防止企业数据意外泄密
5, 部署网络准入系统,确保入网人机安全可信
6, 部署数据备份系统,确保数据丢失及时恢复
7, 设置信息管理部门,专业事由专业人来负责
……………
规划内容即使做的再好再完美,也只有将其落到实处才会显得更加完美。
企业信息防泄密三步走
一、 对企业信息泄密的途径进行管控
途径1:针对有信息泄密风险的网络途径进行控制,比如:FTP、蓝牙、QQ、微信、百度网盘、微云、私人邮箱等,限制其文件传输、数据上传、邮件附件。
途径2:针对有信息泄密风险的物理途径进行控制,比如:U盘、移动硬盘、记忆棒、智能卡、智能手机、打印机、手机拍照等,对移动存储设备、打印机进行管理、使用限制,对手机拍照进行防范。
二、 对企业信息操作日志进行记录
针对企业文件信息从创建开始,再到重命名、访问、修改、复制、移动、上传、下载、刻录、删除,再到通过打印机打印、通过邮件发送、通过即时通讯工具发送等,都有对应的日志记录可以查询。
三、 对企业文件信息进行加密处理
对企业所使用的office办公软件、二维工程设计软件、三维工程设计软件、电子电路设计软件、图形图像设计软件、编程开发软件、文字处理软件、单片机开发软件、版本控制软件、CAE软件等所产生出来的数据进行加密处理,加密的数据在企业内部正常查看编辑,非法带出公司将不能读取。
总结
企业信息防泄密工作按照以上三步,相信可以降低企业99%泄密风险。
简单的讲就是:
一限:限制企业信息泄密的途径
二审:对数据信息的操作进行安全审计
三加密:对数据信息进行加密处理