走出数据保护误区

申请免费试用、咨询电话：400-8352-114

误区一:预防信息泄漏是信息管理员的事情

保护公司避免病毒等外部威胁向来是安全管理员的份内事，但保护公司避免信息泄漏需要极其宽广的视野。如今，保护敏感数据的难题涉及公司的各个部门: 从IT部门、法律部门到董事会。CIO们每天都必须面临如何落实必要的技术和流程，以便保护机密数据、遵守各种法规的问题，但他们必须在不影响日常业务运营的前提下做到这一点。

误区二:如果阻止了即时通信、基于万维网的电子邮件和外部存储设备，就用不着担心信息泄漏了

控制即时通信、万维网电子邮件和外部存储设备也许能增强基本的数据安全，不过在如今这个高度联网的世界，严格限制信息的流动可能会妨碍业务流程，最终制约公司的发展。行之有效的预防手段应该既让信息留在公司的防火墙内部，又不影响日常业务运营的顺利开展。信息管理需要采取面面俱到的方法。最佳实践包括: 针对即时通信和万维网使用等方面制订泄漏预防策略; 另外要使用越来越多的技术，比如端点安全和加密技术，好让员工们能够安全地使用外部存储设备。

误区三:我知道自己的数据位于何处

大多数公司对自己的数据位于何处（无论数据是在文件服务器上还是在公司的笔记本电脑上）并不是非常清楚。知道谁可以访问数据、数据在网络内外传输的情况，这对管理信息而言至关重要。除了识别敏感信息外，CIO们还必须明白其他有风险的方面，比如未加保护的端点，是否针对常见的数据丢失途径（如即时通信和上网冲浪）制订了互联网使用策略、策略是否得到了执行，等等。

误区四:我最应该关心的是保护数据避免数据失窃和内部恶意泄漏

恶意数据泄漏和失窃显然是要处理的重要方面。不过，大多数泄漏并非有意为之。失误、违反现有的业务或者IT流程以及员工和承包商的疏忽，这些因素都会导致泄漏。据弗雷斯特研究公司统计，实际上，有70%以上的泄漏事件是不小心造成的。由于几乎每台计算机上的预期收件人都有电子邮件自动填充功能，很容易看到电子邮件一不小心就发送到了公司外面。在制订行之有效的信息泄漏预防策略时，必须关注偶然性的数据丢失，以便应对绝大部分的日常风险。

误区五:信息泄漏预防技术很复杂、成本很高，所以不值得安装

每家公司的情况各不相同，因而泄漏带来的潜在成本也各不相同。不过已经有研究机构进行了大量研究，分析受害者遭遇的泄漏事件，如美国零售商TJX最近就专门拨款1.18亿美元来应对数据泄漏。弗雷斯特研究公司估计，客户信息丢失带来的成本为每条记录90美元到305美元之间，具体取决于所丢失信息的类型和公司。

不过，客户信息只是大多数人平时看到的泄漏信息当中的一小部分而已。并购方案、收益报告和知识产权等机密信息一旦泄漏，给相关公司带来的影响会大得多。每家公司需要进行风险管理评估，以便量化泄漏事件带来的预期损失。可以由此确定是否有必要实施信息控制措施，比如信息泄漏预防技术—在大多数情况下，许多公司发现有必要实施这类措施。

误区六:员工们知道什么信息可以发到公司外面、什么信息不能发到外面

大多数员工并不是有意泄漏信息的，如果经过适当的培训和教育，再结合信息泄漏预防技术，就可以大大降低数据泄漏风险。不过，绝大部分员工并不知道公司所订的策略。员工们往往不明白为什么通过网络邮件把工作文档发到家里去处理具有很大风险，也不明白为什么密码保护很重要。在移动性越来越强的工作环境下，员工培训显得更加重要。

员工教育方面的最佳实践从沟通开始入手。应当在新员工岗前培训期间提供员工培训，然后是一年一度的进修课程，教他们明白可以访问哪些信息、如何使用信息。第二步就是使用技术来提供持续教育、自动加强策略的机制。比方说，要是有了信息泄漏预防解决方案，哪些员工违反了策略，就会自动收到管理人员发来的警告信息。这样，他们就会知道为什么自己的某种联系违反了策略，以便将来能够有所改进。

误区七:信息泄漏预防技术会影响公司的运营

许多CIO一听到“信息泄漏预防”，就以为会影响业务流程。事实恰恰相反，信息泄漏预防实际上能改善业务流程。如果实施的产品拥有数据的上下文知识、知道谁在发送数据及预期目的地，那么一旦违反了策略，信息所有者就会接到通知，而不需要IT人员的干预，从而降低了管理开销，同时强化了以下观念: 信息泄漏问题能够而且必须在业务部门自身内部得到解决。

误区八:如果部署了信息泄漏预防技术，会接到大量误报

能够辨别实际的重大泄漏与日常的业务活动，这对维持安全效果和运营效果之间的平衡而言至关重要。当然，有些信息泄漏预防解决方案的误报率（及漏报率）很高。为了避免很高的误报率和漏报率及由此带来的成本，应当寻求具有准确的检测功能，并且对结构化数据和非结构化数据都能检测的解决方案。并且确保它拥有一组细粒度的策略控制机制和成熟的执行功能，从而确保能够设定及执行针对用户、数据、目的地、公司治理和法规遵从等方面的策略。

误区九:只有受管制行业才需要信息泄漏预防技术

消费者数据不是公司需要为之担心的惟一信息。每家公司都有重要的知识产权需要保护。如果某家娱乐公司丢失了重要的电影脚本，或者某家服装公司泄漏了明年的设计方案，公司有可能蒙受惨重损失。

误区十:信息泄漏预防技术有望解决所有数据泄漏问题

信息泄漏预防技术只不过提供了一种方法，它能够发现敏感数据位于何处，然后预防这些数据通过常见的联系方法（如电子邮件和即时通信）离开公司。不过，这项技术必须辅以员工教育，并且与文档权限管理、加密、端点安全等技术，当然还有物理安全措施结合使用。信息泄漏预防的目的在于，大大降低数据泄漏风险，同时为公司跟踪及迅速应对违反策略的严重事件提供一种手段。(CCW- 2008年02月25日第06期 33)