论文部分内容阅读
项目负责人很清楚,U盘、邮件、MSN等都可能泄漏项目的机密文档。然而,迫于业务交流的需要,他通常都不能采用封死电脑出口、禁止上互联网等绝对的安全措施,不得不默许这些有泄密风险的工作方式。对于组成复杂的项目组织来说,防泄密有着其特殊的难度。
正所謂,有利必有弊。电子文档在方便了信息共享的同时,也方便了机密信息的泄漏。目前,大量的信息泄密手段往往是最直接的拷贝,离职人员把电脑上资料直接带走。这时,防火墙、入侵检测等防护系统就形同虚设,根本起不到任何保护作用。因为防火墙或专网,只是解决了外部人员非法访问的问题,不能解决内部人员通过电子邮件、移动硬盘、U盘或笔记本电脑把电子文档进行传播的问题。
随着企业经营活动的多样化,企业往往是各种复杂结构的组合体。比如,财务、人事、后勤等部门可能是职能型的,而销售可能有多个事业部和地区平台,可能是矩阵型,而新产品研发、重大建设等任务可能又是以项目形式开展工作。
而在多数项目中,虽然表面上看是项目型运作的,但由于项目组成员来自各个业务部门,甚至有很多是来自合作伙伴的公司。项目组成员对信息沟通、共享的需要很强烈。项目的这个特点,决定了防泄密的难度。
为了安全和保密,军队可以建一个与外界物理隔离的网络,封死对外的所有出口。而在项目组里,对于各种可能的信息泄密途径,比如USB接口、邮件、MSN等信息传播的途径,往往不能一禁了之。明明知道U盘可以拷走公司所有机密,却不能封死所有USB接口。明明知道发邮件可能泄密,却不能禁止使用邮件。因为,项目组成员需要协同完成一个任务,需要共享一些信息,甚至是一些机密信息。尽管有泄密的风险,项目组成员还是需要使用各种快捷的沟通方式。防泄密难就难在这,既要满足完成项目所需要的沟通,又需要防止机密信息的泄漏。
BS7799作为建设信息安全管理体系的一个权威性标准,得到许多国家的认可。目前我国不少企业或机构希望根据BS7799来建立自己的信息安全管理体系。从该标准可以看出,安全特别是信息安全,是一个系统工程。在这个系统工程中,技术和管理是两个重要的组成部分。
管理制度、管理策略是管理的一种浓缩,也可称为精华所在。在项目组织里,一套好的管理制度和好的管理策略至少应该:以企业的实际情况为主要依据,在满足企业保密需求的同时,能满足项目组成员对信息共享和沟通的需要,要具备良好的可操作的防泄密管理制度。
当然,仅有管理制度的约束,没有防泄密的技术措施,来源复杂的项目组成员是难以保守秘密的,保密最终只是空洞的说教。在整个内网中,终端计算机占了网络节点的大部分,显然安全管理,特别是信息安全管理的重点和难点。近几年,防泄密相关的产品和技术百花齐放。每一类防泄密产品,都能以某种方式保护企业的信息安全。但是,当每一类产品都将以不同的方式约束项目成员的信息交流,并将这种约束机制与企业的通信方式紧密地结合在一起。
因此,选择防泄密产品的最重要的一步是确定企业的实际需要。无论底层技术有多么安全或多么有吸引力,不恰当的产品会把项目的工作搞得一团糟。同样,企业还要考虑防泄密产品的实际成本和局限性。让物理距离很近的项目成员共享一个加密设备,这样企业就可以节约成本,但是安全性就不是很高。
只有切合项目实际的防泄密策略,辅以合适的技术手段,才能有让老板和项目组成员都满意的安全,堡垒才不至于从项目内部攻破。
正所謂,有利必有弊。电子文档在方便了信息共享的同时,也方便了机密信息的泄漏。目前,大量的信息泄密手段往往是最直接的拷贝,离职人员把电脑上资料直接带走。这时,防火墙、入侵检测等防护系统就形同虚设,根本起不到任何保护作用。因为防火墙或专网,只是解决了外部人员非法访问的问题,不能解决内部人员通过电子邮件、移动硬盘、U盘或笔记本电脑把电子文档进行传播的问题。
随着企业经营活动的多样化,企业往往是各种复杂结构的组合体。比如,财务、人事、后勤等部门可能是职能型的,而销售可能有多个事业部和地区平台,可能是矩阵型,而新产品研发、重大建设等任务可能又是以项目形式开展工作。
而在多数项目中,虽然表面上看是项目型运作的,但由于项目组成员来自各个业务部门,甚至有很多是来自合作伙伴的公司。项目组成员对信息沟通、共享的需要很强烈。项目的这个特点,决定了防泄密的难度。
为了安全和保密,军队可以建一个与外界物理隔离的网络,封死对外的所有出口。而在项目组里,对于各种可能的信息泄密途径,比如USB接口、邮件、MSN等信息传播的途径,往往不能一禁了之。明明知道U盘可以拷走公司所有机密,却不能封死所有USB接口。明明知道发邮件可能泄密,却不能禁止使用邮件。因为,项目组成员需要协同完成一个任务,需要共享一些信息,甚至是一些机密信息。尽管有泄密的风险,项目组成员还是需要使用各种快捷的沟通方式。防泄密难就难在这,既要满足完成项目所需要的沟通,又需要防止机密信息的泄漏。
BS7799作为建设信息安全管理体系的一个权威性标准,得到许多国家的认可。目前我国不少企业或机构希望根据BS7799来建立自己的信息安全管理体系。从该标准可以看出,安全特别是信息安全,是一个系统工程。在这个系统工程中,技术和管理是两个重要的组成部分。
管理制度、管理策略是管理的一种浓缩,也可称为精华所在。在项目组织里,一套好的管理制度和好的管理策略至少应该:以企业的实际情况为主要依据,在满足企业保密需求的同时,能满足项目组成员对信息共享和沟通的需要,要具备良好的可操作的防泄密管理制度。
当然,仅有管理制度的约束,没有防泄密的技术措施,来源复杂的项目组成员是难以保守秘密的,保密最终只是空洞的说教。在整个内网中,终端计算机占了网络节点的大部分,显然安全管理,特别是信息安全管理的重点和难点。近几年,防泄密相关的产品和技术百花齐放。每一类防泄密产品,都能以某种方式保护企业的信息安全。但是,当每一类产品都将以不同的方式约束项目成员的信息交流,并将这种约束机制与企业的通信方式紧密地结合在一起。
因此,选择防泄密产品的最重要的一步是确定企业的实际需要。无论底层技术有多么安全或多么有吸引力,不恰当的产品会把项目的工作搞得一团糟。同样,企业还要考虑防泄密产品的实际成本和局限性。让物理距离很近的项目成员共享一个加密设备,这样企业就可以节约成本,但是安全性就不是很高。
只有切合项目实际的防泄密策略,辅以合适的技术手段,才能有让老板和项目组成员都满意的安全,堡垒才不至于从项目内部攻破。