老黄坐诊记（2）：面对新技术，企业如何“化险为夷”

老黄坐诊记（2）

 

老黄在上一篇博文里与大家分析了门诊中的网友们提到的第一类问题——做了各种管理，但信息防泄漏工作却“防不胜防”的原因，也根据老黄自身的从业经验提出了应对的策略，在本篇博文中，老黄将与各位博友分享门诊中的第二类问题：如何应对移动设备（尤其是笔记本电脑、平板电脑）等新技术所带来的安全威胁。

 

以下是从此类问题中选取的部分网友的提问：

 

问题回放（部分）

 

14楼：网络安全不管是对于企业内部而言还是 互联网而言都是至关重要的，但是面对现在市场上层出不穷的软件和硬件的安全产品。我们都不知道如何选择，现在本公司使用的是微软系列产品，公司的制度上是禁止员工自带笔记本电脑到公司，所有的USB接口都禁止掉了，但是还是有个把同事带自己的笔记本接入公司的内部网络访问共享资源，请问有什么安全产品能让员工电脑接入公司的网络无法访问任何资源吗？

 

19楼：信息安全对一个企业来说是非常重要的，现在云计算的发展，势头很猛，不得不肯定他所创造的价值，但同时也出现了很多问题，比如信息泄漏，索尼公司还因为这个问题道歉，请问您，针对云计算与信息安全的问题，如何权衡，如何来解决呢？

 

10楼：我们公司这边对网络控制的很严格，仅允许使用公司的内部网络（网络为有线LAN），不允许访问外部网站。但是难免有的员工使用3G无线网卡等无线上网设备上网，这对我们对我们员工的监控造成了极大地困难，请问有没有比较可行的控制的方法（不能全部控制员工的USB端口）？

 

12楼：我是某家公司的网络管理员，公司使用的是无线网络，近期发现不明PC机登入了公司内网，感觉甚是恐慌！我采取了绑定IP/MAC的策略，基本有一定的效果，但仍旧心有余悸！公司好多文件都是共享型的，一旦陌生人进入后果不堪设想！还有公司有独立的邮箱服务器，但是没有一个有效的办法去遏制内部邮箱发送公司内部机密信息，目前采用的是屏蔽关键字，效果甚微。请教专家，我应该怎么做？公司安全大于天啊！

 

60楼：关于数据安全和保密我一直有一个疑问，不是传统意义上的数据防泄密，而且牵扯到当前炒得最火的云计算的问题。云计算强调企业，特别针对小企业或者刚起步的企业来说，可以按需付费租用Goole或者Amazon的服务器和存储器，而企业的数据由云端进行管理。这在个过程中，不可避免的存在对云端的信任问题，非常有必要考虑把机密数据放在云端会不会造成泄密。不知黄老师对此有何见解？

 

根据网友们的问题，目前需应对的威胁点概括起来有两方面：1、移动设备；2、云计算。

 

移动设备“宜疏不宜堵”

 

我们这里所讲的移动设备，不仅仅局限于U盘、移动硬盘，更多的是指越来越普及的平板电脑、智能手机。如今，移动设备在美国等发达国家已应用得较为普遍，虽然国内这一类应用处于刚刚起步阶段，但不少市场调研数据皆显示，智能手机、平板电脑需求高速增长，越来越多的用户依赖它们处理个人事务与商业交易。移动设备的应用对企业信息安全的潜在威胁不容忽视。

 

对于移动设备可能带来的信息泄露威胁，如老黄在之前的一些博文中谈到的，目前的解决方式有两种：一种是“堵”，再者是“疏”。

 

‘堵’即是封堵，这是比较严格的措施。从移动设备与企业业务联系越来越紧密的发展趋势来看，一味封堵并非长远之计，更符合客户需求的应对思路是‘疏’。即在允许在内部使用设备的条件下最大限度保证其安全。

 

按目前的技术发展及市场需求，老黄认为跨操作系统的客户端是大趋势。通过在终端设备上安装客户端，对操作进行限制并且记录下行为日志用于审计，及时发现异常，从而最大限度保证信息安全。

 

很多网友提到了不明身份PC接入企业内网这一问题，不明身份PC接入内网，不仅占用公司资源，更重要的是会对内部信息的安全带来威胁。要解决这一问题，可通过部署准入控制系统来限制外来计算机的接入。目前准入控制系统有两种，一种是包含硬件设备的，这种产品容易实施，基本上不需要对公司内网做改动就可以实现。另一种是基于交换机的，这种产品实施稍复杂，可能会影响到当前的网络环境，但通常能支持比较多的功能。选取哪种形式大家可根据企业的网络规模和具体的需求而定。

 

信息防泄漏需要整体、全面的管理，要防护内部信息安全，不能只着眼于眼前的问题，而需要将企业内部的问题都审视清楚，进行统一规划与管理，最大程度避免疏漏。

 

对待“云”须谨慎，切莫“人云亦云”

 

云计算的火热，说明大家都对它有利的一面非常看好、也非常期待。它扩展了企业服务的应用，使得企业服务应用更具弹性，降低了企业成本提高了效率。对于国内企业用户而言，现在离他们最近、最容易实现的是在企业内网的基础上搭建企业内部的私有云。然而云端为企业提供更加方便、容易操作的资源共享的同时，也意味着，企业的敏感数据将面临着更多被泄露的途径。也正是因为这一问题，才使得大家对“云”持观望态度。

 

对于企业来说，出于对业务稳定和数据安全的考虑，暂时不会把重要敏感的数据和应用直接放到公有云上面去的。但是云计算这种方式带来的便利，也促使有条件的企业利用这些技术去构建企业自己的私有云，私有云让数据的流通范围更广了，因此接下来信息防泄漏重点关注的是私有云的安全。比如很多企业都有CRM客户关系系统，云计算方便员工无论在公司、出差甚至在家都能够访问CRM。为了防止CRM的数据被泄露，可以禁止对CRM里的敏感数据进行拷贝等多项措施。

 

还是那句老话：安全没有绝对，安全管理就是让安全、成本和效率达到平衡。如果云应用中涉及到非常重要的信息，我觉得须慎重，要在有足够安全保证的前提下才可应用。

 

欢迎各位博客就信息防泄漏建设或者上述专题内容与我交流，鲜花或拍砖，老黄都无任欢迎。

 

 

 

转载于:https://blog.51cto.com/techk/791535