發(fā)生在去年的維基泄密事件令美國(guó)五角大樓惶恐不已。如今，事情似乎已經(jīng)過(guò)去，但它所帶來(lái)的影響卻遠(yuǎn)遠(yuǎn)沒有結(jié)束。對(duì)于安全和IT專家來(lái)說(shuō)，這種泄密可以作為企業(yè)改進(jìn)策略、過(guò)程和防衛(wèi)的一個(gè)重要警醒。下面筆者給出一些技巧，目的是為了幫助政府部門或企業(yè)避免成為下一個(gè)維基泄密的源頭。

1、安全策略和過(guò)程。

每一個(gè)政府組織或企業(yè)都必須建立明確的策略，定義哪些人可以訪問(wèn)哪些信息，以及什么時(shí)候可以訪問(wèn)。必須積極地維護(hù)和更新這些策略和過(guò)程，并且要恰當(dāng)?shù)貍鬟_(dá)。然后，必須部署恰當(dāng)?shù)墓ぞ邅?lái)減輕企業(yè)風(fēng)險(xiǎn)，管理相關(guān)的安全策略。

在高度敏感的信息環(huán)境中，策略要求嚴(yán)格管理和實(shí)施，要密切監(jiān)視信息訪問(wèn)，并將訪問(wèn)控制只授予擁有合法需要的人員。監(jiān)控、風(fēng)險(xiǎn)及合規(guī)工具能夠使安全策略全面涉及來(lái)自交換機(jī)、路由器、安全平臺(tái)、服務(wù)器、終端及應(yīng)用程序的數(shù)據(jù)源，從而使這些任務(wù)的某些方面實(shí)現(xiàn)自動(dòng)化,并可以實(shí)時(shí)查看合規(guī)狀態(tài)。

然而，任何策略都不可能100%地有效，許多企業(yè)都經(jīng)歷過(guò)這種問(wèn)題：某個(gè)內(nèi)部人員遵循策略要求，也擁有合法需要，但其目的卻是非法的。在這些情況下，安全技術(shù)應(yīng)當(dāng)提供下一層防御來(lái)對(duì)付這種威脅，用以確保策略不是形同虛設(shè)。

2、實(shí)施基于主機(jī)的安全解決方案。

基于主機(jī)的安全方案包括很多工具，企業(yè)借此可以保護(hù)和控制筆記本和臺(tái)式機(jī)。舉個(gè)例子，特定的軟件（包括反病毒和反惡意軟件之類的產(chǎn)品）可以防止用戶在包含機(jī)密信息的網(wǎng)絡(luò)計(jì)算機(jī)上使用U盤或可擦寫的光盤。

基于主機(jī)的安全方案可以保護(hù)和限制用戶在工作站上的操作。例如，基于主機(jī)的控制可以同時(shí)禁用有線和無(wú)線網(wǎng)絡(luò)功能，防止黑客將其作為一個(gè)登錄點(diǎn)。

基于主機(jī)的安全方案還可以與網(wǎng)絡(luò)訪問(wèn)控制（NAC）系統(tǒng)集成起來(lái)，構(gòu)建起網(wǎng)絡(luò)系統(tǒng)防御的第一道防線。如果一臺(tái)筆記本電腦被病毒感染了，或者是在從企業(yè)網(wǎng)絡(luò)上斷開時(shí)錯(cuò)過(guò)了一個(gè)重要的安全補(bǔ)丁，那么，基于主機(jī)的安全方案與NAC方案相結(jié)合，就可以隔離被感染的系統(tǒng)，并清除病毒，或者在它連接到網(wǎng)絡(luò)之前必須安裝恰當(dāng)?shù)陌踩a(bǔ)丁。

3、數(shù)據(jù)泄露預(yù)防（DLP）

數(shù)據(jù)泄露預(yù)防（DLP）工具可使企業(yè)洞察網(wǎng)絡(luò)上的活動(dòng)情況。包括監(jiān)視通過(guò)電子郵件、文件共享、FTP等發(fā)往網(wǎng)絡(luò)之外的內(nèi)容。企業(yè)可以精細(xì)調(diào)整DLP方案，并使DLP在出現(xiàn)特定的事件時(shí)監(jiān)視網(wǎng)絡(luò)，如阻止那些包含源代碼或信用卡號(hào)等敏感信息的通信。

4、流量分析工具。

這種工具可以查看網(wǎng)絡(luò)上的個(gè)別用戶的通信，查看這些用戶在訪問(wèn)什么網(wǎng)站，特別是重視那些支持文件共享的網(wǎng)站。網(wǎng)絡(luò)管理員也許不必阻止這種網(wǎng)站，但該種工具卻有助于他們實(shí)時(shí)地知道用戶訪問(wèn)這些網(wǎng)站的時(shí)間和目的。

流量分析工具還可以檢測(cè)從網(wǎng)絡(luò)上竊取數(shù)據(jù)的惡意企圖。網(wǎng)絡(luò)上的每一個(gè)設(shè)備都有自己的運(yùn)行方式。例如，如果流量分析工具檢測(cè)到某個(gè)打印機(jī)看起來(lái)更像是一臺(tái)Linux工作站，那么，某人可能正在騙取打印機(jī)的IP地址，其真實(shí)目的是為了竊取某個(gè)系統(tǒng)的數(shù)據(jù)。

5、日志管理和關(guān)聯(lián)。

發(fā)生在網(wǎng)絡(luò)上的幾乎所有的活動(dòng)都會(huì)以日志記錄的形式留下痕跡，也就是在用戶與網(wǎng)絡(luò)設(shè)備交互時(shí)都會(huì)自動(dòng)記錄。如果發(fā)生了信息泄露，日志就可以在取證時(shí)提供更為簡(jiǎn)單的訪問(wèn)，這種信息可以追溯到幾天甚至幾年以前。這種工具可以更快捷地決定數(shù)據(jù)泄露的源頭。一旦確認(rèn)了某個(gè)人使數(shù)據(jù)離開網(wǎng)絡(luò)的途徑，就可以制定新的策略和程序來(lái)防止這種行為再次發(fā)生。

在企業(yè)環(huán)境中實(shí)施時(shí)，上述所有的解決方案都可以集中管理和監(jiān)視。其中的多數(shù)工具都可以與安全事件及事件管理（SIEM）工具集成在一起，實(shí)時(shí)地查看安全環(huán)境。SIEM工具根據(jù)事件的“簽名”（特征）使任何單位都可以自動(dòng)地將事件關(guān)聯(lián)起來(lái)。這里，所謂的簽名是指在跨越多種安全平臺(tái)中的事件組合（以前曾經(jīng)造成損害或企業(yè)造成損害的事件組合）。其實(shí)，任何企業(yè)都可以根據(jù)其環(huán)境中真實(shí)的或理論上的威脅來(lái)構(gòu)建自己的簽名。

【編輯推薦】

1. 揭露維基解密竊取機(jī)密信息新手段
2. 企業(yè)安全三大挑戰(zhàn)：移動(dòng)辦公、數(shù)據(jù)泄漏和病毒入侵
3. 維基解密黑客復(fù)仇Radware用戶占上風(fēng)
4. 如何防止人為因素造成的企業(yè)數(shù)據(jù)泄漏？