為了保護(hù)這些機(jī)密數(shù)據(jù)，不少企業(yè)都開展了信息防泄漏項(xiàng)目。但是防泄漏建設(shè)就跟買保險(xiǎn)一樣，不出安全事故，你永遠(yuǎn)不知道項(xiàng)目是否完善。一直在為防泄建設(shè)評(píng)估犯難的你，接下來可要看好了，以下6條標(biāo)準(zhǔn)，讓你徹底檢查內(nèi)部防泄體系究竟完善與否。

標(biāo)準(zhǔn)1：企業(yè)內(nèi)部操作行為是否實(shí)現(xiàn)可視化

在信息防泄漏的“戰(zhàn)爭”中，相比于躲在暗處的泄密者和安全威脅，站在明處的企業(yè)顯然略失先機(jī)。但如果企業(yè)能夠做到預(yù)先防御，在對(duì)手出招之前采取針對(duì)性的保護(hù)措施，就能從根本上“轉(zhuǎn)被動(dòng)為主動(dòng)”，做好內(nèi)部數(shù)據(jù)安全防護(hù)。

因此，良好的信息防泄體系的前提就是要時(shí)刻掌握企業(yè)動(dòng)態(tài)，做到要有的放矢。很重要的一點(diǎn)是要實(shí)現(xiàn)內(nèi)部操作的“可視化”，以隨時(shí)監(jiān)測(cè)整個(gè)信息系統(tǒng)的安全狀況，做到迅速反應(yīng)，甚至還能預(yù)測(cè)到潛在的風(fēng)險(xiǎn)，化被動(dòng)防御為積極防御。

標(biāo)準(zhǔn)2：防泄漏建設(shè)是否從全局角度出發(fā)，最大程度避免疏漏

安全領(lǐng)域中的木桶理論和馬其頓防線的故事相信大家都了解——無論怎么豪華的防線，一個(gè)漏洞就可以毀滅所有一切。在企業(yè)中，有時(shí)候可能是一個(gè)小小的 U盤就毀滅了幾百萬投資的努力，或者一封無意的郵件就能讓企業(yè)損失慘重。

因此，在解決安全問題之時(shí)，不能僅僅依賴透明加密等技術(shù)手段，“頭痛醫(yī)頭，腳痛醫(yī)腳”地堆砌不同安全產(chǎn)品及封堵安全漏洞，而是需要站在一個(gè)更高的戰(zhàn)略角度來通盤考慮。如果缺乏一個(gè)整體的分析視角，你可能會(huì)忽視或者低估某個(gè)安全攻擊的真正威脅，相應(yīng)采取的安全措施也可能無法解決真正的問題。

所以，在實(shí)際的防泄漏建設(shè)中，我們必須從整體上來評(píng)估企業(yè)的信息安全狀況，運(yùn)用統(tǒng)一的平臺(tái)來進(jìn)行風(fēng)險(xiǎn)和安全管理，檢測(cè)出內(nèi)部問題，從而描繪出整個(gè)企業(yè)當(dāng)前安全情況的更清晰和更準(zhǔn)確的圖景，采取針對(duì)性的防護(hù)措施，最大限度降低企業(yè)的安全風(fēng)險(xiǎn)。

標(biāo)準(zhǔn)3、 是否根據(jù)涉密程度不同，防護(hù)力度輕重有別

企業(yè)在構(gòu)建立體化、全方位的整體信息防泄體系時(shí)并不是一刀切，不分輕重地在全公司范圍內(nèi)采取相同的策略，這樣雖然看似達(dá)到了最為安全的效果，但對(duì)業(yè)務(wù)造成的巨大影響，以及因此產(chǎn)生的高額成本，對(duì)企業(yè)來說，都是巨大的負(fù)擔(dān)。

對(duì)信息安全來說，威脅和風(fēng)險(xiǎn)往往和高價(jià)值的信息資產(chǎn)聯(lián)系在一起，安全保護(hù)工作也就應(yīng)該輕重有別，將重點(diǎn)放在高價(jià)值的信息資產(chǎn)上。什么是高價(jià)值信息資產(chǎn)?通過風(fēng)險(xiǎn)評(píng)估，你會(huì)知道，它是你業(yè)務(wù)依賴的信息系統(tǒng)，無論軟件、硬件、服務(wù)還是人。那么，在安全建設(shè)過程中，對(duì)涉密程度高的部門或崗位進(jìn)行力度大的防御，對(duì)涉密程度低的部門采取相應(yīng)的安全防御。同時(shí)衡量提升安全性可能帶來的業(yè)務(wù)操作上的麻煩、企業(yè)安全成本等問題，是企業(yè)必須要做的事情。

比如透明加密的成本，以及對(duì)企業(yè)效率的影響遠(yuǎn)高于審計(jì)和管控，在企業(yè)實(shí)施過程中，往往需要結(jié)合企業(yè)的實(shí)際情況，對(duì)三種技術(shù)手段整合運(yùn)用：首先，在全公司范圍內(nèi)進(jìn)行安全審計(jì)，掌握企業(yè)操作，發(fā)現(xiàn)安全隱患;其次，對(duì)特殊崗位和部門，進(jìn)行嚴(yán)格管控，限制信息的帶出;最后，在核心部門內(nèi)部，對(duì)機(jī)密信息進(jìn)行透明加密。這樣既可保證公司的正常業(yè)務(wù)運(yùn)作，又能有的放矢地實(shí)現(xiàn)最優(yōu)化的信息防泄漏管理。對(duì)于企業(yè)來說，還大大節(jié)約了投資成本。

標(biāo)準(zhǔn)4、 能否及時(shí)發(fā)現(xiàn)安全威脅，實(shí)現(xiàn)動(dòng)態(tài)性的防護(hù)

動(dòng)態(tài)性的信息泄露防護(hù)，對(duì)于目前泄密手段日益增多的企業(yè)來說，非常重要。某些企業(yè)往往在安全事件發(fā)生之后才對(duì)現(xiàn)在的策略進(jìn)行被動(dòng)的調(diào)整。這種“吃一塹、長一智”的防護(hù)模式，對(duì)于企業(yè)而言，有可能是致命的。一旦出了安全事故，恐怕亡羊補(bǔ)牢，為時(shí)已晚。

企業(yè)需要建立一個(gè)動(dòng)態(tài)性的安全防護(hù)，前瞻性地發(fā)現(xiàn)安全威脅，并通過對(duì)技術(shù)或管理上的策略進(jìn)行及時(shí)調(diào)整更新，防范潛在的安全風(fēng)險(xiǎn)。如目前便攜設(shè)備發(fā)展迅速，智能手機(jī)、iPad等便攜設(shè)備日益成為企業(yè)的泄密威脅，在此基礎(chǔ)上，企業(yè)應(yīng)該調(diào)整安全策略，對(duì)便攜設(shè)備的使用進(jìn)行規(guī)范。

另外，企業(yè)內(nèi)部的人事變動(dòng)比較正常，人員的流動(dòng)屢見不鮮，企業(yè)應(yīng)收緊即將離職員工的文檔使用權(quán)限，確保機(jī)密文檔不被訪問和帶走。如果企業(yè)建立了動(dòng)態(tài)性的信息防泄體系，就能在安全事件發(fā)生之前，從技術(shù)、管理等多方面更新措施，大大增強(qiáng)安全防護(hù)的前瞻性。

標(biāo)準(zhǔn)5、能否隨需而變，實(shí)現(xiàn)擴(kuò)展性的體系

信息防泄漏可以看成是一場(chǎng)永無止境的戰(zhàn)爭——你剛剛應(yīng)對(duì)完一次安全威脅，下一個(gè)威脅又接踵而至。IT部門作為企業(yè)信息防泄的神經(jīng)中樞，必須能夠適應(yīng)安全需求的不斷變化，迅速滿足新需求、快捷響應(yīng)新威脅。如果企業(yè)只單純使用加密或監(jiān)控某一種技術(shù)手段，當(dāng)新需求出現(xiàn)之時(shí)，IT部門不得不求助于新產(chǎn)品，重新選型、試用，操作流程復(fù)雜且安全風(fēng)險(xiǎn)增加。

所以，企業(yè)在建立信息防泄漏體系時(shí)，要確保該體系能夠根據(jù)新的需求實(shí)時(shí)擴(kuò)展，無須重新選擇新的產(chǎn)品，只需加固同一管理平臺(tái)上的功能，就能進(jìn)行更多防泄密功能的擴(kuò)展，做到無縫集成，消除因選型遲緩而產(chǎn)生的安全風(fēng)險(xiǎn)。

標(biāo)準(zhǔn)6、 安全體系是否容易使用和維護(hù)

如今，市場(chǎng)上五花八門的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂，某些企業(yè)為了確保自己信息防泄漏高枕無憂，盲目地為自己配備上各種安全產(chǎn)品，并企望這種“強(qiáng)強(qiáng)組合”能給企業(yè)套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本，并增加了技術(shù)的復(fù)雜性，還容易導(dǎo)致產(chǎn)品軟件沖突等問題，企業(yè)雖然“裝”了安全產(chǎn)品，但根本“用”不了。

目前，能夠提供整體解決方案的單一安全產(chǎn)品成為一種優(yōu)良選擇，它能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺(tái)，無論是對(duì)企業(yè)安全邊界防護(hù)，到內(nèi)部使用都做了整體、全面的考慮，而且簡化了日常的操作與管理，降低系統(tǒng)的資源占用，避免了軟件沖突等多種問題。使用和維護(hù)起來非常方便，大大節(jié)約了IT人員的時(shí)間和精力。這種產(chǎn)品為企業(yè)帶來諸多功能集成方案的易管理和高性價(jià)比優(yōu)勢(shì)，對(duì)于企業(yè)將具有更大的吸引力。

如果你的信息防泄漏建設(shè)符合以上6條檢測(cè)標(biāo)準(zhǔn)，那么你已經(jīng)建立了一個(gè)完善的整體信息防泄漏體系，機(jī)密信息也得到了最大化的保護(hù)，實(shí)現(xiàn)了“成本、效率、安全”三者的最佳平衡，這也是近年來被大家認(rèn)可的“整體信息防泄漏”理念的核心。實(shí)際上，信息防泄本身就是一種博弈，是企業(yè)和人的博弈。它是一場(chǎng)思維的交鋒，企業(yè)只有掌握了內(nèi)部的行為操作，同時(shí)針對(duì)內(nèi)部安全威脅建立全面、立體化的安全防護(hù)，信息防泄才會(huì)立于不敗之地。

【編輯推薦】

1. 天融信參加2011信息安全技術(shù)大會(huì)
2. 信息防泄漏，如何用好行為審計(jì)？
3. 安全專家:Facebook時(shí)間線助于黑客收集信息
4. 國防工業(yè)首遭襲　三菱重工信息泄漏
5. 微軟牽手Websense為用戶提供最先進(jìn)的數(shù)據(jù)泄露防護(hù)