对于现在的网络和存储以及相关的计算机设备而言,安全问题越来越严重。其中,移动设备的数据泄漏问题更为突出。现在,移动设备进入公司中的速度比蚂蚁奔向野餐的速度还快。在安全方面,这导致了两个问题的出现:访问控制和数据泄露。本文,我们将关注与数据泄露和漫游信息保护相关行为在业务上带来的挑战。
数据泄漏
移动设备信息安全保护的根本关键问题是数据泄露。如果使用者不将机密信息复制到手机、笔记本计算机、优盘和其它移动设备中的话,对违规行为的控制将变得更简单。
我对数据泄露的定义很简单;它是指将信息从受到信任的地方移动或者复制到缺乏信任或者信任等级较低的地方。换句话说,信息的存放地点控制措施不完善,不能充分保护它的安全。
图A中显示的就是已经发现的用户可能导致数据泄露的途径,看上去数量非常多。如果不希望信息通过未知途径广泛传播开的话,我们就应该采取措施,堵住其中的一些漏洞。
图A
建立相应的策略是一个很好的开始。很多公司还没有开始对包括移动设备的使用方式在内的可接受使用策略进行更新。当然,监控解决方案应该检查使用者是否已经了解并遵循相关策略。此外,利用技术手段防范不必要行为也是降低风险的另外一种有效控制措施。在这里,数据丢失防护(DLP)和电子发现解决方案可以提供帮助。
数据丢失防护控制包含了两个层次:网络和主机。网络层会对整张网络中数据的流动情况进行监测。不过,防止数据泄露的最好模式是利用如图A所示基于主机的DLP。
基于主机的解决方案可以在从本地存储设备中移出数据时予以阻止,在本地存储设备移动时进行必要的加密,并且可以容许系统管理员对移动存储设备的使用进行监视和限制。如果使用者没有对移动数据的需求,就不要让他或它复制任何数据到CD、DVD、USB驱动器等存储设备中。关于是否采用家庭办公模式的争论往往会导致策略失效。特别是人力资源部门(HR)选择这种方式,以回避加班费之类州劳动法的限制时。
对移动存储设备的另一种访问控制模式是采用设置了活动目录组策略的计算机。微软公司免费提供了相关的.adm必备文件。关于它的使用说明,《防止信息泄漏指南》,在第三节:限制可移动存储设备的使用中。该文件中还包含了图A中很多泄露方式的相关信息。
电子发现解决方案可以对企业共享和隐私文件夹中的机密信息进行确认。很多供应商已经将在发现机密信息处于低信任区域时发出警告和自动移动功能添加进来。通过使用电子发现解决方案,你可以对数据泄露情况进行检测,并从结果中发现更多的信息。
从回答下面的问题开始,创建一个数据泄漏预防策略(欧扎克,2010年发表于首席安全官在线。)
· 公司是否禁止在桌面系统上保存文件?是否会将文件重定向保存到网络存储设备(举例来说,文件服务器和网络附加存储)上?如果桌面系统采用的是Windows,那我的文档是否会重定向到网络存储上?
· 申请或数据仓库解决方案,是否会将机密数据分配到最终用户使用的设备上?他们这么做是因为没有别的可行解决方案么?能否利用其它方式来提供这些信息(举例来说,门户网站)?
· 公司是否对包括笔记本计算机在内保存机密信息的移动存储设备进行了加密?
