拿什么奉献给你,我的敏感信息

作者:张东英, 赛门铁克公司中国区 DLP & Compliance 产品经理

有一首苏芮的歌《奉献》唱的非常的好“长路奉献给远方、玫瑰奉献给爱情,我拿什么奉献给你,我的爱人。。。。”因为工作的关系我与很多的企业探讨了企业最核心的客户资料和知识产权等敏感信息的保护问题,看到每个企业形形×××的敏感信息泄露事件,感受企业因为泄密造成损失后的痛苦,深感很多企业的无奈和无助,特撰此小文,不感奢望能够成为企业在黑夜中选择敏感信息保护的一盏明灯,但求能够在企业信息化建设进程中添砖加瓦。

一、无奈的现实,让我们面对残酷!

赛门铁克发布了《2010企业安全研究报告》其中发现所有企业(100%)都曾出现过数据丢失问题,43%的企业丢失了客户资料或知识产权类的机密信息。我从互联网上随便搜了一下就看到了这么多残酷的现实:

  • 2008年深圳妇幼保健医院泄露孕产妇信息,给社会造成了很坏的影响;
  • 2008年, 混凝土界的某工程师窃取公司920万技术秘密 ,让弗克科技(苏州)有限公司上榜Internet知识产权第一案
  • 2009年3月,香港警方连续两日爆出泄露数据事件,警方机密文件多次在互联网上经档案分享软件“Foxy”外泄,香港政府颜面扫地。
  • 2010年3月12日,瑞士“汇丰”(HSBC)银行7.9万名客户12.7万个账户遭到泄露和曝光。高端储户“逃离“汇丰银行,转投其他银行怀抱。

如果您愿意可以在互联网上看到更多的敏感信息泄露的事件,涉及各行各业。现实是如此的残酷,但我们必须要保持冷静,冷静的我们需要先探究一下数据丢失的主要原因、高层领导的痛苦、主要的泄密渠道以及泄密后给企业带来的风险:

数据丢失的主要原因:

  • 利益的驱使是导致数据泄密最直接的因素;
  • 数据维护、保管人员由于工作失职而造成的信息意外泄密和丢失;
  • 新一代的安全威胁:***程序和***行为导致数据被窃取
  • 对于失业以及跳槽等行为,企业组织必须格外谨慎,确保离职员工所接触过的信息系统已经部署了防泄密解决方案。再者,心怀不满的员工可能带走资料或为竞争对手做情报搜集 。

高管层的痛苦:

  • 企业的声誉受到损失,降低了顾客的忠诚度和满意度;
  • 丧失企业竞争优势,被竞争对手快速跟进并超越; 
  • 大客户的流失和知识产权的泄露将严重影响企业的核心业务,造成利润下降;

从全球企业信息泄露的主要渠道来看,有如下三个主要的泄密通道:

  • 每400封邮件中就有1封包含敏感信息
  • 每50份通过互联网传输的文件中就有1份包含敏感数据
  • 每2个USB盘中就有一个包含敏感信息

泄密的损失超乎想象

  • 全球有80%的企业存在着信息泄漏的风险
  • 在发达国家,泄漏一条客户信息带来的损失高达200美金

泄密防护迫在眉睫

  • 在所有被调查的公司中,进行常规性安全检查的公司不到50%,而采取技术措施进行控制的公司只有 30% ,国内的比例更低
  • 在泄密事件的调查统计中,有96%是因为流程缺陷和内部员工的无意识泄密所致

二、亡羊补牢?还是未雨绸缪?

是被动等待羊被狼吃了采取“事后”的措施修补羊圈?还是“事前”就做好充分准备?从国家层面、行业监管以及企业自身都开始了行动:

驱动力之一:国家的要求:
十一届全国人大常委会第四次会议审议刑法修正案(七)专门增加有关条款,规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取、收买或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”

驱动力之二:行业监管与自律的需要:
例如: 中国移动的“五条禁令”(1、严禁泄露或交易客户信息;2、严禁发送违法信息,或未经客户同意发送商业广告信息; 3、严禁未经客户确认擅自为客户开通或变更业务; 4、严禁串通、包庇、纵容增值服务提供商泄漏客户信息、擅自为客户开通数据及信息化业务或实施其他侵害客户权益的行为; 5、严禁串通、包庇、纵容渠道或系统合作商泄漏客户信息、侵吞客户话费、擅自过户或销号、倒卖卡号资源或实施其他侵害客户权益的行为。)
银监会《商业银行风险管理指引》中对于保护客户资料也有明确的要求

驱动力之三:企业自身发展、生存的需要:
为了在目前的竞争环境下立于不败之地,迫切需要提高自身的信息安全风险管理的水平,优化业务流程、提升员工的安全意识,保护核心知识产权不被竞争对手窃取,不被商业间谍利用。其实处于不同的行业的企业拥有的敏感数据是不一样的,但都有非常明显的行业特点,我们需要从下面列出的敏感信息入手,例如:

金融机构(银行、保险、证券、基金 )
银行卡号、保单信息、客户账号、交易数据、账目信息、融资投资信息、大客户信息、上市公司中报 / 年报等

电信企业
客户资料(包括普通客户资料、个人大客户资料、集团大客户资料、渠道合作伙伴资料等);计费帐务数据(包括详单、账单、帐务信息和记录等);经营分析报表

制造业及高科技企业
客户资料、产品设计图纸、源代码、价格体系、商业计划、合同定单、物流信息、管理制度等。

三、常见的误区与陷阱分析

首先:在企业选择数据泄漏防护产品的时候,最大的壁垒不是产品与技术,而是企业相关决策人员的出发点和关注点。 比如,企业可能一开始就把防止恶意泄漏作为首要的出发点,在这一前提下,企业安全人员在做技术选型的时候就会走入误区。赛门铁克的调查显示,96%的数据泄漏是由于员工的疏忽,或者是流程上的缺陷造成的,而真正恶意的泄漏是小于1%的。所以从抓防泄密的角度来看的话,重点应该抓大放小,大的问题不解决,最后你会发现你的努力和回报是不成正比的。这是在我遇见的所有客户中都普遍存在的问题,90%以上的用户在最开始选择防泄密解决方案时可能会走入的误区。

其次,企业部署人员过高的预期会造成项目实施困难。比如,有些企业追求的是绝对的安全。从风险管理的角度来讲,风险是可以被压缩的,人们可以消除一部分的风险,但是必然会残留一定的风险——也就是说,并没有绝对的安全,但可以把风险控制在一个可接受的范围里。

第三、在鱼龙混杂的市场中迷失了方向。目前市场上数据泄漏防护主要的技术手段有三种:文件加密、文件权限管理DRM以及数据丢失防护DLP(data loss Prevention),自从赛门铁克收购业界最知名的加密公司PGP以后,目前是业内唯一可以提供从DLP、DRM到加密的完整解决方案的厂商。企业是否需要一下同时选择这三种技术手段呢?根据赛门铁克全球用户的最佳实践来看,一般企业都会采取分阶段的建设规划,通常的会先考虑:第一阶段从整个企业的角度选择DLP,对整个企业范围内的敏感信息进行发现、监控和保护,第二阶段:针对某个办公部门一些特定类型的文件进行安全保护选择DRM数字权限管理,最后,对特定部门的已经清晰明确需要保护的文档进行加密保护。DLP最大的特点就是面向内容,而不是面向文件,因此基于内容检测的DLP对敏感数据的分布具有更深的洞察力,部署起来也更容易,是每个企业的首要选择;

最后,再好的管理方法、制度、流程也必须要结合一套能够落地的解决方案才能实现真正的风险控制,我去拜访一些客户的时候,客户给我讲说“我们的需求是加密”,错把市场上的一些产品的功能和技术当做自己的需求这是很多企业最大的误区。

破冰起航,走正确的道路

企业应该优先从管理层面上从以下的几个方面着手考虑来保证整个敏感信息防泄露工作的顺利开展和成功:

  • 公司管理人员的参与。因为数据保护,业务流程更改,员工行为的控制等必须获得来自高层管理人员的支持。
  • 设置优先次序,获得前期的成功。保密资料可以各种方式存于组织内部各处,首先处理最关键的资料,立即证明价值,并从最容易见到效果而且风险最高的互联网出口和邮件外发监控开始做起。
  • 业务主管的参与。用来识别新威胁、确保最新策略以及修复中断业务进程的信息资料,必须来自于离业务数据最近的人员。
  • 训练有素的事件响应团队(IRT)。角色职责明确,流程清晰,有助于推动企业范围内的一致性和认同。
  • 员工教育。员工行为的可视性可以将教育集中在最重要的风险领域,只有每一个员工参与到防泄密的工作流程中,提高他们的信息安全意识,才能促进公司安全氛围的形成。

当企业在安全管理上从上述几个层面考虑了相关的方法、制度、安全策略、规范、流程等内容后,这些管理的东西必须要依赖一套“信息泄露防护平台”来保证落地,真正融入到企业安全管理的业务中,深入每个员工的意识里。

这个“信息泄露防护平台”就是赛门铁克的DLP解决方案:主要涵盖了存储、网络、终端、管理四个层面,从整体上来讲帮助企业的管理人员回答了三个主要问题:敏感数据位于何处?使用情况如何?如何预防数据丢失?

  • 从存储侧来看:发现敏感数据源(DAR,Data At Rest)。通过对存储在服务器、NAS设备、数据库、邮件服务器中的静态数据进行扫描,确认机密信息存放的位置,从而设定更有效的数据访问机制,使得敏感信息的分布得以监控,满足内容敏感企业的合规需求,例如:可以通过风险评估了解企业中是否含有涉黄、反动的信息等等。
  • 从网络侧来看:监控数据的流动(DIM,Data In Motion)。通过实时地对流动的数据进行监控,来发现并且审计包含有敏感数据的可疑行为,主要通过部署在互联网出口和邮件出口的监控和阻断系统,对信息泄露最高风险的地方进行监控、审计。
  • 从终端侧来看:发现并且监控终端的数据(DAE,Data At Endpoint)。通过发现终端上已经存有的敏感数据,并且监控终端对敏感数据的使用(例如:USB拷贝、打印以及刻录光盘等),让每一个员工也参与并感受到企业对于敏感信息泄露的要求。
  • 从管理角度看:通过系统细致的权限划分机制和角色管理方式可以与企业现有的管理组织架构、管理流程密切结合,在产生泄密事件时,通过工作流进行及时的响应,响应方式包括:邮件通知、消息框提示以及发送到第三方审计系统等。
  • 通过这些方式将数据泄密风险逐级降低。该解决方案已经得到全球用户的广泛认可,DLP已经连续五年以上在Gartner排名全球第一,市场占有率全球第一,2009年最新的全球市场份额是30%,在中国这个份额更高。

结束语:

随着未来《个人信息保护法》的出台,越来越多的企业会重视客户资料以及知识产权的保护,我还是希望引用权威机构的调查数据来看一下未来的趋势,2010年Gartner战略规划预测: 到2014年,超过50%的企业将至少在部分重要的部门应用DLP解决方案 15%的企业会在整个企业范围内使用基于内容感知的DLP解决方案,这些采取了DLP解决方案的企业在核心竞争力、企业形象、员工意识的平均水平都超过了那些没有采取任何措施的企业。

有一本畅销书叫做《谁动了我的奶酪》,生动的阐述了“变是唯一的不变”这一生活真谛。对于我们正在信息化进程中的企业来说,可以说信息的泄露无时无处不在发生。如果我们能够尽快调整自己适应变化,我们完全可以做得更好。当我们面对变化时,我们会害怕,会感到无所适从,这很正常。只要我们能够以正确的方式应对信息泄露,它甚至可以帮助我们避开真正的风险。我们无须拒绝变化,我们完全可以改变对变化的态度,在变化中享受变化,拥抱变化,迎接变化。今天是时候问自己一个问题了“谁动了我的敏感信息?”!

作者简介:
张东英 赛门铁克公司中国区DLP & Compliance产品经理,2006年加入Symantec,目前主要负责推动中国区数据防信息泄露以及合规管理解决方案的业务,之前在安氏互联网安全系统(中国)有限公司担任高级安全顾问,十年的信息安全从业经历,电信和金融行业背景,在安全风险评估、IT策略遵从、终端标准化、安全管理中心的建设等领域有丰富的经验。