技术：六项最佳措施 防范企业数据泄密

　　[慧聪安防网]对于一个有着与人体生命体特征相似的企业来说，企业当中的机密数据就构成了它的血液。如果与企业相关的机密数据丢失，就不可能及时给企业的生存和发展带来需要的营养，也就有可能危及企业的生命。并且，一些特殊的企业还必需遵从其所在位置的地方性数据保护法规的要求，也需要解决企业数据丢失的问题。因此，如何防范企业数据的丢失，就成为现在企业信息化应用过程中最需要解决的问题之一。

　　但是，现在的企业要想防范其机密数据不丢失，并不是一个轻而易举就能解决的任务。主要原因有3个：

　　1、 第一个原因就是随着企业和信息化应用规模的不断扩大，在企业的信息化应用过程中会产生大量的机密数据。而企业信息化应用规模的不断扩大，也就意味着网络结构越来越复杂，再加上现大各种可移动存储设备，例如笔记本电脑、 PDA、智能手机和U盘等，以及WIFI无线的应用，就使得企业的信息化应用结构也越来越复杂。当这些企业机密数据在复杂的信息化系统结构中不断流转时，就会给我们控制机密数据的使用增加了难度，也就相应地增加了机密数据丢失的风险。

　　2、 第二个原因就是现在的企业所处的网络环境中存在越来越多的安全威胁，例如黑客入侵、特洛伊木马和网络嗅探等，这些安全威胁的攻击水平和攻击破坏力也在不断地提高。并且，现在的企业还面临一个更加严重的问题，就是企业原本部署的传统安全防范设备，只能用来防范来自企业外部的安全威胁，而现在企业数据丢失的主要原因却来自企业的内部。这是因为企业内部的员工已经处于企业网络内部，拥有一定的访问企业网络资源的权限，并且，他们知道企业中的机密数据主要分布在什么位置的什么设备之中。而且，他们对企业内部已经部署的安全防范措施有了一定的了解，更加容易知道其安全防范的死角在什么地方，也就更加容易找到突破口来得到企业中的机密数据。

　　这个问题在经济危机时期显得更加明显，主要是一些企业开始大规模地裁员，而这些离职的员工手上拥有大量的与企业相关的机密数据。一旦企业不能够及时妥善地处理好这些离职员工的帐户和权限，那么企业中的机密数据就有可能通过离职员工流出到竞争企业或互联网等公共场所。

　　3、 最后的一个原因就是企业现在正处于经济危机时期，为了能够生存下去正在想方设法地缩减各种成本。而现在许多企业原有的安全防范措施根本不能达到保护数据安全的要求，也就意味着需要企业增加相应的安全投入。增加投入也就是会增加企业的成本，这不仅与企业缩减成本的近期发展策略相互冲突，而且在追加数据保护措施时有可能会影响现在的业务。这样一来，也就将企业推到了一个两难的选择境地：到底是选择增加安全投入，还是保持现状？

　　虽然企业在防范数据丢失的过程中还存在上述所示的诸多问题，但是，很幸运的是，现在有一些企业已经成功地在其信息化结构中部署好了防范数据丢失的解决方案，并且取得了良好的效果。因此，我们完全可以吸取这些企业在保护数据安全方面取得的成功经验，来为我们防范企业机密数据丢失提供相应的实践指导。

　　防范企业机密数据丢失的成功经验主要包括6个最佳做法：了解企业中有哪些机密数据，并按重要程度进行分类、了解企业中的机密数据都驻留在什么位置及设备当中、识别造成数据丢失的风险来源和性质、制定一个适合自身需的数据控制策略、集中化管理控制和安全审计。下面我就分别详细说明这6个防范数据丢失的最佳做法到底该如何具体地去完成。

　　一、 了解企业中有哪些机密数据，并按重要程度进行分类

　　从安全的观点来看，企业中所有的机密数据并不会具有同样的重要程度。因而，要防范企业中的机密数据丢失，首先要做的就是了解企业中哪些机密数据是最重要的，或者可以理解为企业中的哪些数据对企业业务来说是最重要的，并且受到安全威胁的可能性也是最大的。通过确定企业网络中最重要的机密数据，就可以在建立数据保护策略时，在其中按数据的重要程度规定不同的防范等级。那么，企业要如何做才能将企业网络中所有的机密数据按重要程度为类呢？

　　要回答这个问题，首先我们需要了解企业的业务结构，调查各个部门和企业的整个业务流程等等，并且，还要明白企业中各个部门的数据是否需要遵从企业所在位置的某个数据保护法规。例如，一些在美国上市的国内企业的财务数据就必需遵从萨班斯(Sarbanes-Oxley)法案，而销售部门可能就需要遵从另外一个法案，例如国外的PCI法案，而且还必需遵从我国制定的相关法案，例如即将执行的《企业内部基本控制规范》等。

　　一旦我们了解了企业各个部门需要遵从的数据保护法规要求，接下来就可以将各个部门的数据分成三个主要的类别：最高限制级(例如企业的财务报表、新产品研发资料等)；敏感级，例如企业的销售计划等；以及普通敏感级，例如各供应商分布位置和产品运费等。

　　下一步，就是确定每一类数据的具体类别、内容和属主。这要求我们根据数据对企业业务的重要程度，以及对法规的遵从要求来划分。例如，我们可以将供应商的基本资料作为限制级别的数据，同时要明确这些基本资料中包含哪些具体的内容，例如原材料的供应价格等；然后，还要了解这些限制级别的数据是由企业中哪个部门中的哪个具体的员工负责生成和维护的，也就是确定其操作的属主。我们可以为这些数据建立一个具体的表格，用来详细说明数据的类别、内容和属主。

　　在这里，要明白的是，这个我们制定的表格也应该将它作为限制级别的机密数据进行妥善的保护。这是由于这个表格中包含有企业中所有机密数据的类型、内容和具体的操作属主等信息，一旦这些资料落入攻击者的手中，他们就可以从这个表格中了解企业的机密数据分布情况，了解这些数据由哪些员工保管，然后就可以具体针对某个员工的弱点来进行相应的社会工程攻击或其它入侵手段。

　　当我们将这企业中的机密数据调查清楚并划分保护等级后，我们还应当制定一个操作这些机密数据的具体规范。在这个规范当中应当明确规定企业中的哪些员工可以访问这些机密数据和员工的访问权限，以及应该如何、何时及从什么位置可以访问它们等等。例如，对于限制级别的数据，只有少数一部分核心员工可以访问，而且，这些员工的访问权限各不相同，有些是只读，有些具有写权限。还可以规定访问这些数据时的具体时间段，例如限制级别的机密数据只可以在上午10点整到11点整，以及下午15点整到17点整这两个时间段允许特殊权限的人员访问。并且，还可以明确员工只能通过某台具体的工作站才能访问这些数据，而且不能以直接接触的方式去访问它们等等。

　　二、 了解企业中的机密数据都驻留在什么位置及设备当中

　　对于这个问题，一些读者可能会认为它很容易回答：“企业中的机密数据驻留在什么位置，这不是显而易见嘛，那当然是保存在数据库服务器或文件服务器之中了。”这样的回答也对，但回答的内容只是企业机密数据可能驻留位置中的一小部分而已。

　　企业数据库中保存的机密数据充其量也只是整个企业机密数据中的一小部分。尤其是在今天这个企业2.0和WEB2.0大行其道的时期，各种移动存储设备在企业信息化应用环境中大量使用，造成大量的机密数据就有可能驻留在笔记本电脑、智能手机、PDA和U盘等可移动存储设备，以及有可能保存在访问这些数据的应用程序、文件服务器和协同办公服务器之中，还有可能驻留在电子邮件服务器和WEB服务器等位置。当然，机密数据还可以以数据包的形式存在于企业内部网络传输介质、互联网传输通道和WIFI电波当中，更有可能保存在企业或员工的网络博客、WIKI，以及社交网站及Twitter等网站之中。

　　对于如些众多的可以驻留企业机密数据的位置和设备，我们该使用什么样的方法去发现保存在这些位置和设备上的机密数据呢？

　　要回答这个问题并不容易，但这又是必需详细完成的任务。因此，对于大多数企业来说，必需花一定的时间来作一次全面的机密数据发现之旅，以便企业能够将所有可能驻留机密数据的位置和设备全部标识出来，并绘制一张相应的机密数据驻留位置结构原理图。