一只水桶想盛滿(mǎn)水，必須每塊木板都一樣平齊且無(wú)破損，如果這只桶的木板中有一塊不齊或者某塊木板下面有破洞，這只桶就無(wú)法盛滿(mǎn)水。這個(gè)經(jīng)典的木桶原理就是說(shuō)一只水桶能盛多少水，并不取決于最長(zhǎng)的那塊木板，而是取決于最短的那塊木板。在當(dāng)下社會(huì)，出于對(duì)利益的瘋狂追逐，信息泄露事件越來(lái)越多。雖然很多企業(yè)開(kāi)始采取了一些信息泄露防護(hù)措施，但由于缺乏規(guī)劃，建設(shè)不成系統(tǒng)，常常漏洞百出。一旦出現(xiàn)故障，就會(huì)捉襟見(jiàn)肘，應(yīng)接不暇，其信息泄露防護(hù)水平依舊處于原地踏步的狀態(tài)。

　　可以說(shuō)，無(wú)論你采取多么強(qiáng)大的安全技術(shù)，如果不是從整體去考慮企業(yè)的安全防護(hù)，而放任一些防護(hù)薄弱區(qū)不管，那么最終企業(yè)的防泄密水平就可能會(huì)被這些薄弱的地方無(wú)限拉低，低出你的想象。內(nèi)網(wǎng)安全企業(yè)溢信科技在對(duì)大量企業(yè)的信息泄露防護(hù)建設(shè)進(jìn)行分析與服務(wù)中，發(fā)現(xiàn)企業(yè)在防泄密上存在諸多不足，而在這三方面表現(xiàn)尤為突出。

　　防泄密“三短”之相

　　第一是在計(jì)算機(jī)系統(tǒng)上，很多企業(yè)無(wú)法兼顧到系統(tǒng)層、應(yīng)用層與數(shù)據(jù)層，有的部署了加密系統(tǒng)，在底層系統(tǒng)的基礎(chǔ)配置、漏洞管理上卻乏善可陳;有的進(jìn)行了應(yīng)用權(quán)限管控，但對(duì)核心機(jī)密卻又缺乏更有力的防護(hù)。實(shí)際上，這三層對(duì)于信息泄露防護(hù)都是缺一不可的。

　　第二在防護(hù)區(qū)域上，很多企業(yè)在沒(méi)有對(duì)自身安全狀態(tài)進(jìn)行全面評(píng)估的前提下，就憑感覺(jué)人為地劃分出所謂的核心區(qū)、重點(diǎn)區(qū)以及普通區(qū)。然而往往只對(duì)核心區(qū)、重點(diǎn)區(qū)部署信息泄露防護(hù)措施，而對(duì)其他區(qū)域則放任自流不管不問(wèn)。殊不知，企業(yè)內(nèi)部所謂核心部門(mén)與非核心部門(mén)，從來(lái)都是動(dòng)態(tài)的。而信息技術(shù)應(yīng)用越深入，核心部門(mén)與其它部門(mén)之間的信息交流就越多。核心部門(mén)的文檔一旦流轉(zhuǎn)到非核心部門(mén)，防護(hù)薄弱的非核心部門(mén)，可能僅僅由于一個(gè)U盤(pán)的誤用，或者一封郵件的外發(fā)，就有可能導(dǎo)致價(jià)值不菲的智力資產(chǎn)一瞬間被外泄出去。

　　第三在防護(hù)人員上，很多企業(yè)的防泄密工作往往是IT部寥寥數(shù)人在忙活，力量有限。其實(shí)非IT部門(mén)的人才是信息泄露防護(hù)的主要使用者，沒(méi)有這些部門(mén)的支持協(xié)作，信息泄露防護(hù)就成了IT部門(mén)的獨(dú)角戲。不僅達(dá)不到效果還不受人待見(jiàn)。

　　防泄密破局之策

　　無(wú)論你采用多么先進(jìn)的信息泄露防護(hù)技術(shù)，制訂多么嚴(yán)格的安全管理制度，如果不將這三塊“短板”補(bǔ)齊，再美好的安全愿景也會(huì)變成無(wú)法實(shí)現(xiàn)的幻想。如何補(bǔ)短?作為業(yè)內(nèi)知名的信息泄露防護(hù)專(zhuān)家，溢信科技對(duì)此提出自己的建議。

　　1、三管齊下

　　首先要保證系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層都要顧及，缺一不可。系統(tǒng)安全，可保證系統(tǒng)能夠連續(xù)可靠地運(yùn)行;應(yīng)用安全，可保證合理授權(quán)應(yīng)用權(quán)限，分配信息系統(tǒng)資源，保證系統(tǒng)應(yīng)用效率;數(shù)據(jù)安全，使企業(yè)免于承受信息被盜取、泄露、破壞的風(fēng)險(xiǎn)。

　　2、因地制宜

　　防護(hù)區(qū)域要全面，不能簡(jiǎn)單地設(shè)置防護(hù)盲區(qū)。只有對(duì)自身安全需求進(jìn)行整體評(píng)估，全面洞悉可能的泄密風(fēng)險(xiǎn)，才能更好地彌補(bǔ)自身的缺陷。我們可以對(duì)于行政部等涉密程度較低的部門(mén)，部署基礎(chǔ)的審計(jì)以及適當(dāng)?shù)墓芸丶纯伞?duì)于經(jīng)常接觸到敏感信息又頻繁與外界交互的部門(mén)，除了審計(jì)之外同時(shí)必須有嚴(yán)格的管控，對(duì)于文檔的使用權(quán)限、移動(dòng)設(shè)備的使用、郵件等可能外泄的渠道進(jìn)行管理。針對(duì)核心部門(mén)，除了詳細(xì)的審計(jì)和管控之外，更要考慮部署文檔透明加密，讓核心信息得到進(jìn)一步的保護(hù)。

　　3、聚力而行

　　防護(hù)人員上，需要盡力使不同部門(mén)的力量都參與進(jìn)來(lái)。部署信息防泄露項(xiàng)目免不了會(huì)對(duì)企業(yè)原來(lái)的網(wǎng)絡(luò)系統(tǒng)產(chǎn)生一定的影響，而且還可能遭到員工的不理解甚至反對(duì)。如果事先能夠獲取企業(yè)高層的強(qiáng)力支持，勢(shì)必會(huì)提高溝通的效率，減小項(xiàng)目實(shí)施的阻力。

　　部署信息防泄露系統(tǒng)，雖然是IT部門(mén)的工作，但是使用者更多的是非IT部門(mén)。IT部除了擬定一份具體的項(xiàng)目計(jì)劃，明確項(xiàng)目實(shí)施的流程，如安全需求調(diào)查、產(chǎn)品選型、安裝部署等等外。對(duì)這些非IT部門(mén)人員，也要使其明白信息安全的重要性以及對(duì)其部門(mén)的意義和收益所在，最大程度爭(zhēng)取他們的理解和支持。在項(xiàng)目實(shí)施時(shí)，也要讓每個(gè)部門(mén)都參與進(jìn)來(lái)。遇到問(wèn)題時(shí)相互之間多溝通，以加強(qiáng)協(xié)作。

　　行而不思，無(wú)以進(jìn)焉。知而不行，猶如不知。以上信息泄露防護(hù)三塊“短板”你的企業(yè)有嗎?是否也該有意識(shí)地進(jìn)行彌補(bǔ)了呢。