安全對"事"更對"人"
網(wǎng)康科技服務總監(jiān)陸繼周認為���,保密工作、尤其是互聯(lián)網(wǎng)渠道的信息保密���,首先要從管理"人"開始�。他指出�����,目前互聯(lián)網(wǎng)信息泄密的典型途徑主要有以下三種:
首先���,可以從"硬件"上面找原因�����。我們很容易想到幾種典型的信息安全泄露途徑:軟硬件故障�、病毒與黑客入侵等等��。再有,就是企業(yè)防火墻失效以致安全設置形同虛設�,或者黑客利用企業(yè)安全漏洞訪問企業(yè)內部網(wǎng)絡或數(shù)據(jù)資源��,進行刪除���、復制甚至毀壞數(shù)據(jù)的活動����。
但另一方面��,企業(yè)內部的敏感信息也可能被內部人員非授權泄露或刪除����。目前,通過外發(fā)郵件���、BBS����、博客等導致內部機密信息泄漏的現(xiàn)象越來越普遍�����。企業(yè)/機構賴以生存的機密信息,很可能會被在職甚至離職員工有意或無意地泄露出去���。
陸繼周也進一步強調�����,再嚴密的防護體系也要依賴于操作��、使用它的人���,人有意識或無意識的各種行為絕對是安全的重大隱患之一。在硬件等因素完全"過硬"的情況下�,信息不可能自行外泄,必然是有人的行為不當導致信息暴露�����,或有意外泄�。當我們部署了完備的安全軟硬件,再采取正確的上作行為����,就可以把各類威脅帶來的危害降至最低;反之�,錯誤��、危險的上網(wǎng)行為會讓任何安全措施都形同虛設��。小楊泄密事件就是一個最簡單的例子����。
因此�,陸繼周指出���,在安全體系建設過程中���,除了要對"事",更要對主體– "人"進行管理和防范��。所以����,可以肯定的說,要做到有效地保密�,保證軟硬件安全是必須的,更重要的是對一切行為主體"人"的管理���。
上網(wǎng)行為管理難點及現(xiàn)狀
陸繼周認為����,如果要在互聯(lián)網(wǎng)上加強對人的管理,關注人的行為安全��,發(fā)現(xiàn)潛在的主體行為隱患���,可以從人的網(wǎng)上行為入手�。因為互聯(lián)網(wǎng)行為已經(jīng)成為了人的第二行為�����。就像在著名的游戲《第二人生》中那樣�,任何人的真實行為在互聯(lián)網(wǎng)中都會有這樣或者是那樣的體現(xiàn)。比如說����,人們想娛樂,就可以去看網(wǎng)絡視頻�、P2P下載電影、聊天�����;人們想學習��,就可以去瀏覽新聞,等等��。
但是�,就目前的互聯(lián)網(wǎng)使用情況來說,對"人"的管理并不能有效實施�����。主要表現(xiàn)在我們對互聯(lián)網(wǎng)行為主體"人"的識別并不清晰�。以大多數(shù)企業(yè)的情況為例�,員工使用或上傳哪些敏感資料,博客����、聊天、外發(fā)郵件等當中是否包含涉及公司機密或重要資料和信息等�����,企業(yè)都無從知曉��,不僅不能有效防范����,出現(xiàn)問題時也很難追究到個人�。
對此���,陸繼周解釋了主要原因:第一�,我們通常采用IP地址來標識個人���。在企業(yè)內部���,當需要觀察一個人的上網(wǎng)行為時,只能看到IP地址�����,無法立即定位到個人����。第二,我們均采用地址轉換技術IPV4��,接入外網(wǎng)時�����,數(shù)據(jù)是暫時的�,無法保留和記錄下來��,因此無法將內外部地址連接起來��。第三����,很多企業(yè)沒有專門的互聯(lián)網(wǎng)外發(fā)認證體系���。因此����,互聯(lián)網(wǎng)出口成為無限制通道����,內部主體可以自由訪問各種各樣的外網(wǎng)�����,企業(yè)對于行為主體人的管控也就無法實現(xiàn)�。舉個簡單的例子,任何外部的人都可以來公司內部上網(wǎng)��,這就可能帶來相應的安全隱患��,比如病毒傳播、蔓延甚至是關鍵信息外泄等�����。
正因為如此�����,數(shù)據(jù)丟失保護(DLP)這個概念越來越熱?����,F(xiàn)在�����,很多企業(yè)�����、機構已經(jīng)意識到了核心信息的價值���。但是�����,如果網(wǎng)絡中外發(fā)的文字沒有記錄�����,文件傳送����、下載等都沒有記錄,就根本無法"阻斷"����,由此將帶來法律風險和核心信息外泄。很多人通過外發(fā)郵件����、BBS發(fā)帖、博客記錄�,就有可能無意識地把公司的核心機密以及最新動向泄露出去��。因此�,DLP在互聯(lián)網(wǎng)管理中也越來越重要。
掌控網(wǎng)絡行為之道
如何管理"人"���,實現(xiàn)網(wǎng)上信息保密呢��?陸繼周結合自身多年從業(yè)經(jīng)驗���,為我們提供了相關建議�。他介紹說�����,目前市場上有種上網(wǎng)行為管理產(chǎn)品���,可以實現(xiàn)對互聯(lián)網(wǎng)主體及行為的全面管理��。該產(chǎn)品主要部署在互聯(lián)網(wǎng)出口處�����,可以幫助企業(yè)對內部員工的上網(wǎng)行為進行控制和管理�,解決因接入互聯(lián)網(wǎng)而引發(fā)的網(wǎng)頁訪問不合規(guī)(例如�,上班時間訪問低俗類網(wǎng)站)、網(wǎng)絡應用不合規(guī)(例如���,上班時間觀看網(wǎng)絡視頻)�����、帶寬資源濫用(例如�����,上班時間P2P下載電影)����、內容審計不完全(例如,博客泄密)等問題����,從而幫助企業(yè)提升工作效率、優(yōu)化帶寬使用�、加強信息安全、降低安全威脅�����、規(guī)避法律風險�、保護IT投資。
以網(wǎng)康科技上網(wǎng)行為管理產(chǎn)品為例��,它可以實現(xiàn)對互聯(lián)網(wǎng)行為主體"人"的全面管理���。具體體現(xiàn)在以下三個方面:
第一����,系統(tǒng)不是采用IP地址標識個人的方法��,而是對上網(wǎng)主體實行實名制管理�����。這樣做的好處是顯而易見的�,一方面從技術上保障了責任定位到人,使所有外發(fā)言論有史可查��,有據(jù)可依��;另一方面�,有了技術和體制上的管理,也能對內部用戶的上網(wǎng)行為產(chǎn)生一定的威懾�,使其在互聯(lián)網(wǎng)訪問及言論發(fā)表過程中注意自己行為的后果,減少不當言行�����,最終養(yǎng)成健康文明的上網(wǎng)習慣�����。
第二,通過用戶監(jiān)控��、行為監(jiān)控����、帶寬監(jiān)控、運行監(jiān)控��、攻擊監(jiān)控等系統(tǒng)��,企業(yè)的網(wǎng)絡管理人員能夠"洞悉"企業(yè)在互聯(lián)網(wǎng)使用過程中存在的問題和隱患�����。同時�����,通過網(wǎng)頁過濾��、應用控制�����、內容審計、帶寬管理���、行為分析等全方位措施,企業(yè)可以系統(tǒng)地"管控"公司內部員工的上網(wǎng)行為����。
就拿小楊事件來說,如果小楊的企業(yè)部署了網(wǎng)康上網(wǎng)行為管理系統(tǒng)�,并對外發(fā)言論(包括BBS、論壇發(fā)貼�����,博客發(fā)文)實現(xiàn)全方位的內容記錄�����,同時對敏感關鍵字(例如,違反法律��、泄露機密)作相應的阻塞及警告����,從而在問題出現(xiàn)時能夠及時定位����,責任到人����,在一定程度上杜絕法律糾紛����。
第三,通過對用戶行為進行追溯查詢和綜合分析�,企業(yè)用戶可以不斷優(yōu)化管理策略,有助于企業(yè)�、機構管理者對整個企業(yè)網(wǎng)絡進行全方位的"駕馭",預知風險并事先防范�����,有效防范機密信息有意識和無意識的外泄���,保護企業(yè)�����、機構的安全和利益��,最終提升工作效率�、優(yōu)化帶寬使用、降低安全威脅�、保障核心業(yè)務。
