探索中国CIO人才现状 | 第四季调研报告
防止移动环境下数据丢失的五大策略
2014-07-01  作者:沈建苗 来源:CIO发展中心

移动设备端数据丢失防护(DLP)方面的最佳实践和技术旨在保护离开企业网络安全体系的数据。众多原因会导致数据遭到破坏或泄露:设备被偷、授权用户无意中共享,或者不法分子通过恶意软件或恶意应用程序,公然窃取数据。

由于越来越多的员工携带自己的设备到工作场所――无论他们有没有得到IT部门的许可,与移动数据丢失相关的问题变得更加严峻了。在自带设备(BYOD)情形下,拥有设备的是用户,而不是企业;这样一来,IT部门就更难实施和维护安全了。

任何访问或存储企业信息的移动设备都至少应该配置用户身份识别和强验证机制,应该运行最新的反恶意软件工具,必须使用虚拟专用网(VPN)连接来访问企业网络。  

此外,IT部门应该实施下列策略,为移动环境下的企业信息提供最有效的保护。

下面逐一探讨这每个策略。

1. 数据备份:你知道该怎么做。

对于数据备份这个问题,我们没必要太过详细地讨论。简而言之,数据备份必不可少;必须定期备份数据;还必须测试因而生成的备份文件,确保必要时备份文件能顺利恢复。

2. 用户教育:用户知道得越多,你的数据越安全。

对于大多数用户来说,对他们进行安全教育、了解数据泄露的种种危险,是一种有用的、有价值的方法。无论你通过年度安全培训、午餐研讨会还是每月通讯来普及安全知识,都要对员工进行安全方面的教育。告诉他们什么是敏感信息,并且让他们知道敏感信息是什么样的。

一旦大多数员工明白了什么是“机密”信息,就会帮助保护企业的信息资产。他们还必须明白如果这类信息公之于众,企业所面临的后果:名誉受损、企业间谍活动、收入损失、监管部门罚款和处罚,甚至可能危及某些员工的人身安全。可能的话,展示本企业实际遇到的一些数据泄露案例,并仔细分析其他企业之前成为报章头条的安全泄密事件。

3. 数据分类:只有谁有权查看?

在过去几年,移动设备越来越广泛地用于工作场所,风头盖过几乎任何技术;这样一来,数据分类的重要性备受关注。大多数移动DLP技术(见下文)依赖某种数据分类技术来防止数据泄露。贵企业应该先建立一项数据分类标准――要是之前没有落实这种标准的话,然后尽快实施该标准。  

分类体系由界定如何处理信息的几大类组成。美国军方分类体系包括三个分类级别:绝密级(Top Secret)、秘密级(Secret)和机密级(Confidential)。企业或教育分类体系可能使用高度敏感(Highly Sensitive)、敏感(Sensitive)、内部(Internal)和公共(Public)这几类。(如果贵企业必须遵守监管某几类数据的特定法律法规,就要将合适的措词和措施加入到贵企业的分类标准中。)  

由于信息有多种不同形式:文字处理文档、电子表格和电子邮件、市场营销、日常业务运作、高管信件和客户服务电子邮件等,对一些信息进行分类可能有难度。此外,如何处理已针对其他用途而改变的文档?比如说,要是某个被分为高度敏感这一类的文档的一些部分用在其他地方,会怎样?这些部分也应该被认为是高度敏感,还是它们需要一轮审查、可能需要重新分类?

要小心:数据标记和数据分类是两码事。标识表明了所需的保护级别,通常是添加到文档本身上或元数据中的一个标记或注释。比如说,你可以将“机密”这个单词插入到文档的页眉或页脚,或者将该单词添加到文件的属性表。另一方面,如果你对文件进行分类,可能使用标记,也可能没有使用标记。  

4. 策略:保护各种形式的数据

你的数据分类标准必须纳入到贵企业的整体安全政策。使用和处理数据方面的政策必须很明确,你选择的方法将决定处理数据的成本。

安全政策、标准和程序确定了数据和信息方面的不同要求,这取决于数据在生命周期所处的状态(创建、访问、使用、传输、存储或销毁)。目的在于,保护在不同的处理环境(包括系统、网络和应用程序)下,各种介质上的各种形式的数据。

确保你的政策已明确:信息使用者个人有责任遵守所有的政策、标准和程序,否则将追究其责任。

5. 移动DLP软件:监控移动用户。

许多移动DLP产品提供了监控功能,这让IT部门可以查看移动用户访问的数据及/或从企业服务器下载的数据。移动监控的优点在于,它提供了预警信号,这让IT部门有机会对可能违反安全或政策的行为采取行动。不过,辨别一般的干扰活动和真正的安全威胁需要时间,所以它的用途常常更像跟踪分析行动的日志。面临的挑战是,首先是有选择地防止敏感信息被传输到移动设备或存储到移动设备上。  

来自赛门铁克、迈克菲和Websense等知名DLP应用软件和设备供应商的最新产品提供了数据分类功能,可以标记信息和文档(元数据标记),另外提供了移动设备与企业服务器进行联系时,分析并过滤内容的功能。

这些技术被称为内容感知技术,对企业发放的设备和员工拥有的设备都非常有用。比如说,它们基于移动DLP政策,可以防止某些电子邮件、日历事件和任务通过微软Exchange服务器与智能手机或平板电脑进行同步。这些技术让管理员能够区分个人电子邮件和企业电子邮件,并防止企业信息被存储到移动设备上。  

一些产品可以基于用户或用户群,而不是基于设备ID,防止敏感信息被传输到设备上。管理员只要为销售用户群和营销用户群,或者为用户03、用户04和用户07设置移动政策。你还可以在市面上找到支持基于角色发送消息的解决方案,以满足军用要求。  

内容感知的DLP与移动设备管理(MDM))决方案兼容。根本不需要在移动设备上安装什么东西;DLP软件可以利用MDM配置,强迫设备与企业网络建立VPN连接。DLP技术负责扫描和分析内容,并执行政策。  

虚拟化环境同样可以受到保护。比如说,DeviceLock提供了名为Virtual DLP的数据泄露防护功能,这项功能可以保护本地虚拟机、基于会话的桌面和应用程序以及流桌面和应用程序。Virtual DLP支持思杰XenApp、思杰XenDesktop、微软RDS和VMware View。