Q1:信息防泄漏是不是仅部署加密就足够了呢?还有哪些其他的工作要做?
加密只是信息防泄漏的一种解决方案,对于整体信息防泄漏,我们是这样定义的:企业在进行信息防泄漏建设中,应从全 局的视角出发,对安全问题进行统筹规划、统一管理,整合运用审计、权限管理、透明加密等防泄密功能,根据涉密程度的轻重(如核心部门和普通部门),部署力 度轻重不一的防护,有的放矢,在内部构建起全面、立体化的整体体系。
Q2:内网安全中,常见的安全风险点有哪些?
目前,常见的安全风险点主要分为两类:网络以及设备。网络上的风险包括网络接入、即时通讯、邮件、社交网络、云同 步等各种基于互联网的应用;设备上的风险,包括传统的移动存储设备如U盘、移动硬盘、数码设备等,随着新技术的发展,智能手机、平板等则带来了更多威胁。 另外,内网安全中最重要的风险点还包括“人”,如何对合法用户的行为进行有效的审计与规范,是防范内网安全风险中最大的挑战。
Q3:审计能有效地发现数据安全短板,但隐私权问题该怎么处理?
审计是整体信息防泄漏体系必不可少的组成部分,利用审计,IT管理者可以及时发现系统中存在的违规行为或安全隐 患,进而完善整体信息防泄漏体系。对于侵犯隐私权的问题,目前还存在争议,我们给出的建议一般有:事先告知,明确审计的目的、范围以及流程,审计权限控 制,以及对审计者的再审计等。
Q4:想要执行IT应用规范来加强内网安全,但用户不理解不配合怎么办?
首先,IT部门应该向高层管理者阐明IT规范化的目的及收益,获得高层的直接强力支持;其次,IT部门应该拿出有 效而实用的培训方案并进行执行,再结合行政命令进行奖惩,以达到教育用户的目的;最后,考虑公司的业务流程和现有状态,考虑并测试成熟之后再进行改变,以 防推进受阻。
Q5:越来越多的用户在公司使用私人笔记本、智能移动设备应该如何规范?
私用个人设备可能造成公司带宽资源的浪费,不受控的网络接入更可能带来安全风险。IT部门应该尽早评估现有的状 况,结合业务流程、未来趋势等制定规范;在技术层面,一是需要完善准入控制机制,配备802.1x等准入设备;二是部署×××等方便远程安全接入;三是要 在技术上制定设备接入的黑白名单,杜绝随意接入。本期焦点:信息防泄漏,大家都在关注什么?