在最受客户欢迎的十大信息防泄漏功能(上篇)中对加密、移动存储设备管理、即时通讯管理、邮件管理、文档操作管控五个功能的背景与应用进行了分析,从中可以看出企业内网安全需求已倾向于以文档安全为中心的信息保护,那其他功能在企业安全需求中所占的格局又是怎样的呢?本篇将对后面五个功能进行解读,看看其在企业中的应用情况。
6.资产管理
资产管理包括企业软硬件资产扫描与统计、软件版权管理、软件分发、补丁管理等,属于信息防泄漏外围功能,但是是基础性计算机安全管理,所以重要性不可小视。在内网安全发展的前期,对这些基础性功能进行加强加固是一个热门的选择,时至今日,资产管理依然是众多企业热衷的功能,这说明基础性设施管理是企业信息安全管理不可或缺的组成部分。
对于资产管理在企业的具体应用,首先是企业计算机资产的管理,比如硬件的类别、型号、变更等,软件的类别、版本等等,尤其是对于大企业,计算机规模大,网络结构复杂,管理难度高,资产管理显得特别重要。其次是漏洞检查、补丁管理,其实很多时候企业内部计算机出现安全问题,往往是因为用户没能及时更新系统补丁,结果留下为人利用把柄。软件分发亦是很重要的部分,企业在部署安全管理软件客户端时,如果仅依靠人力,工作量必然会十分巨大,软件分发则可以将安装包自动分发至各计算机进行集中安装。
值得一说的,溢信科技IP-guard除了以上功能外,对于非IT资产也能进行管理,如办公室桌椅、路由器等,防止发生资产盗窃行为。
7.设备管控
企业的许多IT设备,尤其是存储设备如移动硬盘、光驱、刻录机等,都属于可能的信息泄漏渠道,而且现在新设备每隔一段时间就会更新,这对企业的信息安全带来很大的风险,因此对这些通道必须进行严格控制。
对于这些外设,有很多是企业正常工作非常用性设备,有一些甚至极少用到,因此可以对这部分设备的使用进行禁止,如有需要可临时开放权限。在对这一功能进行选型时有两点需要注意,一是管控设备的种类宜多多益善,并具备灵活的扩展性;二是管控的粒度宜精细,不仅仅采取一刀切的方式,对所有设备统一允许或者禁止。IP-guard在这方便有着良好的表现,可对存储设备、通讯接口设备、USB设备、网络设备及任何新增外设进行控制,,而在设备识别上IP-guard也能做到精细化管理,比如对于USB设备,可以识别出USB鼠标与USB移动存储,灵活方便。
虚拟化、云计算······随着未来新技术的普及,企业在设备管理方面也将面对更大挑战,如何应对这些风险,安全厂商应先行一步,为企业的信息化升级提供安全保障。
8.打印管控
打印机是现代企业办公必不可少的设备之一,但是很多时候它的安全管理为人所忽视。有人认为打印机不比普通计算机终端,不会中毒不会被黑,因此不会泄密,事实表明这是错误的。据凤凰网报道,济南某装甲团用新建的打印设备专门承担全团的涉密文件打印任务,然而在一次机关干部考试中,在电脑不上网,试卷柜上锁的前提下,试卷还是泄露了。经过调查,原来负责打印的人员将试卷文本列入打印任务后,打印机因缺纸没有打印,后来又没有在电脑中取消打印,最终造成考题泄露。
患生于所忽,祸起于细微,打印安全管理不可忽视。在内网安全行业发展已超十年的溢信科技认为应该对各类打印机进行严格的控制,而且还要对每次打印进行审计,如打印时间、用户、文件名等,在如此严格的管理下,一方面保障企业信息的安全,另一方面也可以防止随意打印造成不必要的浪费。
需要注意的是,有一些打印行为是没有对应的原始文档的,比如ERP等应用程序中的直接打印,这时就需要一些不依赖于打印文档格式的产品的支持,而直接记录打印影像的IP-guard就是其中之一。
9.应用程序管理
许多企业都存在工作时间炒股、玩游戏、聊天、BT下载等现象,从办公效果上说,这种状况会降低企业的工作效率,因为工作时间分配与企业网络流量分配不合理。而更可怕是,滥用网络与系统资源还可能将暗藏于互联网的安全隐患带入企业网络内,威胁系统安全。
对于这种情况,企业可以直接将不符合规定的应用程序禁止。当然有些程序如QQ,可能是公司与外部即时沟通的必要工具,因此不得不开放权限,但是又担心有人利用这些通道做一些与工作无关甚至危害企业信息安全的事情。这种情况下首先可以严格管理使用这些程序的终端,其次对进行详细的操作审计,记录通信内容,通信时间等信息,一方面从心理上产生一定的威慑力,一方面当出现问题时可以随时进行查询。
10.网页浏览管理
目前利用浏览器进行计算机攻击的行为大大增加,人们在享受丰富的网络大餐时,也面临着大量的安全风险。病毒、木马、蠕虫、钓鱼网站······不经意间计算机就可能成为病毒的宿主,虽然有防火墙、防病毒软件,但还是无法遏制病毒的叫嚣与入侵。
对于企业而言,其往往只是在局域网边界部署防火墙等安全设备,但是内部的安全部署却空空然,病毒一旦进入企业内部,则可以肆无忌惮。事实上企业可能对来自外部的袭击进行很好地防备,然而对内部人员主动外联的行为缺乏管控。为了对企业内部人员的上网行为进行规范,应该对访问的网站进行分类与限制,最大程度过滤掉不健康的网站,净化企业的上网环境。
另外对不同的用户可以设置不同的管控策略,比如企业为防止员工上班时间访问股票类网站而设置禁止策略,但是对于因工作原因需要临时查看与股票相关信息的同事,则可灵活授予其访问权限。
由以上分析可以看出,基础性的系统安全管理,桌面及上网行为管理依旧是众多企业的选择。结合最受客户欢迎的十大信息防泄漏功能上篇所谈到的内容,可以说明,由操作审计、权限管控及文档加密组成的整体信息防泄漏方案已经得到了多数企业的认可。可以想象,未来随着新技术的发展,企业将要面临的网络环境会越来越复杂,信息防泄漏只有整合各种防御技术,才能全面保护自己的信息资产安全,为企业的发展保驾护航。
