拿什麼奉獻給你，個人敏感信息(轉）

拿什麼奉獻給你，個人敏感信息

做者：張東英, 賽門鐵克公司中國區 DLP & Compliance 產品經理

有一首蘇芮的歌《奉獻》唱的很是的好「長路奉獻給遠方、玫瑰奉獻給愛情，我拿什麼奉獻給你，個人愛人。。。。」由於工做的關係我與不少的企業探討了企業最核心的客戶資料和知識產權等敏感信息的保護問題，看到每一個企業形形×××的敏感信息泄露事件，感覺企業由於泄密形成損失後的痛苦，深感不少企業的無奈和無助，特撰此小文，不感奢望可以成爲企業在黑夜中選擇敏感信息保護的一盞明燈，但求可以在企業信息化建設進程中添磚加瓦。

1、無奈的現實，讓咱們面對殘酷！

賽門鐵克發佈了《2010企業安全研究報告》其中發現全部企業（100%）都曾出現過數據丟失問題，43%的企業丟失了客戶資料或知識產權類的機密信息。我從互聯網上隨便搜了一下就看到了這麼多殘酷的現實：

• 2008年深圳婦幼保健醫院泄露孕產婦信息，給社會形成了很壞的影響；
• 2008年， 混凝土界的某工程師竊取公司920萬技術祕密 ，讓弗克科技(蘇州)有限公司上榜Internet知識產權第一案
• 2009年3月，香港警方連續兩日爆出泄露數據事件，警方機密文件屢次在互聯網上經檔案分享軟件「Foxy」外泄，香港政府顏面掃地。
• 2010年3月12日，瑞士「匯豐」(HSBC)銀行7.9萬名客戶12.7萬個帳戶遭到泄露和曝光。高端儲戶「逃離「匯豐銀行，轉投其餘銀行懷抱。

若是您願意能夠在互聯網上看到更多的敏感信息泄露的事件，涉及各行各業。現實是如此的殘酷，但咱們必需要保持冷靜，冷靜的咱們須要先探究一下數據丟失的主要緣由、高層領導的痛苦、主要的泄密渠道以及泄密後給企業帶來的風險：

數據丟失的主要緣由：

• 利益的驅使是致使數據泄密最直接的因素；
• 數據維護、保管人員因爲工做失職而形成的信息意外泄密和丟失；
• 新一代的安全威脅：***程序和***行爲致使數據被竊取
• 對於失業以及跳槽等行爲，企業組織必須格外謹慎，確保離職員工所接觸過的信息系統已經部署了防泄密解決方案。再者，心懷不滿的員工可能帶走資料或爲競爭對手作情報蒐集 。

高管層的痛苦：

• 企業的聲譽受到損失，下降了顧客的忠誠度和滿意度；
• 喪失企業競爭優點，被競爭對手快速跟進並超越； 
• 大客戶的流失和知識產權的泄露將嚴重影響企業的核心業務，形成利潤降低；

從全球企業信息泄露的主要渠道來看，有以下三個主要的泄密通道：

• 每400封郵件中就有1封包含敏感信息
• 每50份經過互聯網傳輸的文件中就有1份包含敏感數據
• 每2個USB盤中就有一個包含敏感信息

泄密的損失超乎想象

• 全球有80%的企業存在着信息泄漏的風險
• 在發達國家，泄漏一條客戶信息帶來的損失高達200美金

泄密防禦迫在眉睫

• 在全部被調查的公司中，進行常規性安全檢查的公司不到50％，而採起技術措施進行控制的公司只有 30% ，國內的比例更低
• 在泄密事件的調查統計中，有96％是由於流程缺陷和內部員工的無心識泄密所致

2、亡羊補牢？仍是未雨綢繆？

是被動等待羊被狼吃了採起「過後」的措施修補羊圈？仍是「事前」就作好充分準備？從國家層面、行業監管以及企業自身都開始了行動:

驅動力之一：國家的要求：
十一屆全國人大常委會第四次會議審議刑法修正案（七）專門增長有關條款，規定：「國家機關或者金融、電信、交通、教育、醫療等單位的工做人員，違反國家規定，將本單位在履行職責或者提供服務過程當中得到的公民我的信息，出售或者非法提供給他人，情節嚴重的，處三年如下有期徒刑或者拘役，並處或者單處罰金。竊取、收買或者以其餘方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。」

驅動力之二：行業監管與自律的須要：
例如： 中國移動的「五條禁令」（一、嚴禁泄露或交易客戶信息；二、嚴禁發送違法信息，或未經客戶贊成發送商業廣告信息； 三、嚴禁未經客戶確認擅自爲客戶開通或變動業務； 四、嚴禁串通、包庇、縱容增值服務提供商泄漏客戶信息、擅自爲客戶開通數據及信息化業務或實施其餘侵害客戶權益的行爲； 五、嚴禁串通、包庇、縱容渠道或系統合做商泄漏客戶信息、侵吞客戶話費、擅自過戶或銷號、倒賣卡號資源或實施其餘侵害客戶權益的行爲。）
銀監會《商業銀行風險管理指引》中對於保護客戶資料也有明確的要求

驅動力之三：企業自身發展、生存的須要：
爲了在目前的競爭環境下立於不敗之地，迫切須要提升自身的信息安全風險管理的水平，優化業務流程、提高員工的安全意識，保護核心知識產權不被競爭對手竊取，不被商業間諜利用。其實處於不一樣的行業的企業擁有的敏感數據是不同的，但都有很是明顯的行業特色，咱們須要從下面列出的敏感信息入手，例如：

金融機構（銀行、保險、證券、基金 ）
銀行卡號、保單信息、客戶帳號、交易數據、帳目信息、融資投資信息、大客戶信息、上市公司中報 / 年報等

電信企業
客戶資料（包括普通客戶資料、我的大客戶資料、集團大客戶資料、渠道合做夥伴資料等）;計費賬務數據（包括詳單、帳單、賬務信息和記錄等）;經營分析報表

製造業及高科技企業
客戶資料、產品設計圖紙、源代碼、價格體系、商業計劃、合同定單、物流信息、管理制度等。

3、常見的誤區與陷阱分析

首先：在企業選擇數據泄漏防禦產品的時候，最大的壁壘不是產品與技術，而是企業相關決策人員的出發點和關注點。 好比，企業可能一開始就把防止惡意泄漏做爲首要的出發點，在這一前提下，企業安全人員在作技術選型的時候就會走入誤區。賽門鐵克的調查顯示，96%的數據泄漏是因爲員工的疏忽，或者是流程上的缺陷形成的，而真正惡意的泄漏是小於1%的。因此從抓防泄密的角度來看的話，重點應該抓大放小，大的問題不解決，最後你會發現你的努力和回報是不成正比的。這是在我碰見的全部客戶中都廣泛存在的問題，90%以上的用戶在最開始選擇防泄密解決方案時可能會走入的誤區。

其次，企業部署人員太高的預期會形成項目實施困難。好比，有些企業追求的是絕對的安全。從風險管理的角度來說，風險是能夠被壓縮的，人們能夠消除一部分的風險，可是必然會殘留必定的風險——也就是說，並無絕對的安全，但能夠把風險控制在一個可接受的範圍裏。

第3、在魚龍混雜的市場中迷失了方向。目前市場上數據泄漏防禦主要的技術手段有三種：文件加密、文件權限管理DRM以及數據丟失防禦DLP（data loss Prevention），自從賽門鐵克收購業界最知名的加密公司PGP之後，目前是業內惟一能夠提供從DLP、DRM到加密的完整解決方案的廠商。企業是否須要一下同時選擇這三種技術手段呢？根據賽門鐵克全球用戶的最佳實踐來看，通常企業都會採起分階段的建設規劃，一般的會先考慮：第一階段從整個企業的角度選擇DLP，對整個企業範圍內的敏感信息進行發現、監控和保護，第二階段：針對某個辦公部門一些特定類型的文件進行安全保護選擇DRM數字權限管理，最後，對特定部門的已經清晰明確須要保護的文檔進行加密保護。DLP最大的特色就是面向內容，而不是面向文件，所以基於內容檢測的DLP對敏感數據的分佈具備更深的洞察力，部署起來也更容易，是每一個企業的首要選擇；

最後，再好的管理方法、制度、流程也必需要結合一套可以落地的解決方案才能實現真正的風險控制，我去拜訪一些客戶的時候，客戶給我講說「咱們的需求是加密」，錯把市場上的一些產品的功能和技術當作本身的需求這是不少企業最大的誤區。

破冰起航，走正確的道路

企業應該優先從管理層面上從如下的幾個方面着手考慮來保證整個敏感信息防泄露工做的順利開展和成功：

• 公司管理人員的參與。由於數據保護，業務流程更改，員工行爲的控制等必須得到來自高層管理人員的支持。
• 設置優先次序，得到前期的成功。保密資料能夠各類方式存於組織內部各處，首先處理最關鍵的資料，當即證實價值，並從最容易見到效果並且風險最高的互聯網出口和郵件外發監控開始作起。
• 業務主管的參與。用來識別新威脅、確保最新策略以及修復中斷業務進程的信息資料，必須來自於離業務數據最近的人員。
• 訓練有素的事件響應團隊（IRT）。角色職責明確，流程清晰，有助於推進企業範圍內的一致性和認同。
• 員工教育。員工行爲的可視性能夠將教育集中在最重要的風險領域，只有每個員工參與到防泄密的工做流程中，提升他們的信息安全意識，才能促進公司安全氛圍的造成。

當企業在安全管理上從上述幾個層面考慮了相關的方法、制度、安全策略、規範、流程等內容後，這些管理的東西必需要依賴一套「信息泄露防禦平臺」來保證落地，真正融入到企業安全管理的業務中，深刻每一個員工的意識裏。

這個「信息泄露防禦平臺」就是賽門鐵克的DLP解決方案：主要涵蓋了存儲、網絡、終端、管理四個層面，從總體上來說幫助企業的管理人員回答了三個主要問題：敏感數據位於何處？使用狀況如何？如何預防數據丟失？

• 從存儲側來看：發現敏感數據源(DAR，Data At Rest)。經過對存儲在服務器、NAS設備、數據庫、郵件服務器中的靜態數據進行掃描，確認機密信息存放的位置，從而設定更有效的數據訪問機制，使得敏感信息的分佈得以監控，知足內容敏感企業的合規需求，例如：能夠經過風險評估瞭解企業中是否含有涉黃、反動的信息等等。
• 從網絡側來看：監控數據的流動(DIM，Data In Motion)。經過實時地對流動的數據進行監控，來發現而且審計包含有敏感數據的可疑行爲，主要經過部署在互聯網出口和郵件出口的監控和阻斷系統，對信息泄露最高風險的地方進行監控、審計。
• 從終端側來看：發現而且監控終端的數據(DAE，Data At Endpoint)。經過發現終端上已經存有的敏感數據，而且監控終端對敏感數據的使用(例如：USB拷貝、打印以及刻錄光盤等)，讓每個員工也參與並感覺到企業對於敏感信息泄露的要求。
• 從管理角度看：經過系統細緻的權限劃分機制和角色管理方式能夠與企業現有的管理組織架構、管理流程密切結合，在產生泄密事件時，經過工做流進行及時的響應，響應方式包括：郵件通知、消息框提示以及發送到第三方審計系統等。
• 經過這些方式將數據泄密風險逐級下降。該解決方案已經獲得全球用戶的普遍承認，DLP已經連續五年以上在Gartner排名全球第一，市場佔有率全球第一，2009年最新的全球市場份額是30%，在中國這個份額更高。

結束語：

隨着將來《我的信息保護法》的出臺，愈來愈多的企業會重視客戶資料以及知識產權的保護，我仍是但願引用權威機構的調查數據來看一下將來的趨勢，2010年Gartner戰略規劃預測: 到2014年，超過50%的企業將至少在部分重要的部門應用DLP解決方案 15%的企業會在整個企業範圍內使用基於內容感知的DLP解決方案，這些採起了DLP解決方案的企業在覈心競爭力、企業形象、員工意識的平均水平都超過了那些沒有采起任何措施的企業。

有一本暢銷書叫作《誰動了個人奶酪》，生動的闡述了「變是惟一的不變」這一輩子活真諦。對於咱們正在信息化進程中的企業來講，能夠說信息的泄露無時無處不在發生。若是咱們可以儘快調整本身適應變化，咱們徹底能夠作得更好。當咱們面對變化時，咱們會懼怕，會感到無所適從，這很正常。只要咱們可以以正確的方式應對信息泄露，它甚至能夠幫助咱們避開真正的風險。咱們無須拒絕變化，咱們徹底能夠改變對變化的態度，在變化中享受變化，擁抱變化，迎接變化。今天是時候問本身一個問題了「誰動了個人敏感信息？」！

做者簡介： 張東英 賽門鐵克公司中國區DLP & Compliance產品經理，2006年加入Symantec，目前主要負責推進中國區數據防信息泄露以及合規管理解決方案的業務，以前在安氏互聯網安全系統（中國）有限公司擔任高級安全顧問，十年的信息安全從業經歷，電信和金融行業背景，在安全風險評估、IT策略聽從、終端標準化、安全管理中心的建設等領域有豐富的經驗。