当谈到尽量减少员工向竞争对手传播关键信息的风险时,什么是常识?
截至今天,很明显,即使是美国政府和军方也无法确保他们的数据安全地留在他们的门内。因此,我明白我的问题可能应该写成“让员工更难传播关键业务信息有什么常识呢?”
如果有人想传播信息,他们就会找到方法。生活就是这样,而且一直如此。
如果我们通过缩小员工队伍,假设我们只有普通的员工,而不是热爱 Linux 的系统管理员,从而让情况更加现实一些,那么应该采取哪些预防措施,至少让员工更难向竞争对手发送业务关键信息呢?
据我所知,有几个明显的解决方案,它们各有利弊:
- 阻止 Dropbox 等类似服务,防止任何人通过网络发送千兆字节的数据。
- 确保只有小于设定大小的文件才能作为电子邮件发送(?)
- 在部门之间设置 VLAN,使盗窃癖和好奇的人更难窥探。
- 插入所有可移动媒体设备 - CD/DVD、软盘驱动器和 USB
- 确保无法对硬件进行任何配置(?)
- 监控网络流量中的非线性事件(如何?)
在现实世界中,什么才是现实可行的?大公司如何处理这个问题? 当然,我们可以向前雇主提起诉讼,但那时损害已经造成了……
多谢
答案1
可以做的事情有很多。行业围绕“如何防止信息泄露”这一理念而创建的。静态数据存储和无线网络(WiFi 和 3G/4G)的普及使得有线网络边界安全不再像 5 年前那样成为障碍。
与所有安全措施一样,管理例外情况可能非常棘手。是的,您可以禁用所有 USB 端口,但这样 USB 键盘、鼠标和打印机就无法访问了。您可以禁用对 Facebook 的所有访问,但公共关系办公室肯定需要访问。极端偏执的人可以禁止所有带摄像头的手机(以免有人用手机拍摄文档并将其邮寄给竞争对手),但这是真的如今很难坚持下去。还有一种老式方法,就是把打印件带回家传真。
如果有人真的想泄露信息,一般来说很容易。
市政级高带宽网络对安全态势的影响不容小觑。几乎每个人口袋里都有相机,手机套餐可以容纳照片,因此可以轻松发送 1-5 页的文档,而无需接触企业局域网。如果启用了 USB 连接,许多智能手机可以将本地存储暴露给工作场所计算机,并在其中保存文件,然后可以直接从手机发送,如果没有通过网络回家并从那里发送。
手机摄像头“攻击”尤其阴险,因为它不会在公司设备上留下任何日志痕迹,而 USB 安装可能会留下痕迹。
互联网访问限制封锁社交网站和所有已知的网络邮件提供商的讽刺之处在于,它迫使人们通过手机来使用相同的服务。
大公司处理这个问题的方法是忽略难以管理的威胁(见上文一个很好的例子)并管理他们可以低成本管理的风险。这意味着:
- 封锁任何可疑类别的网站(社交媒体和网络邮件网站是主要禁令目标)和已知的网络代理网站
- 记录所有外发电子邮件
- 强制实施互联网访问强制门户,要求使用公司凭证登录后才能访问
- 使用不同复杂程度的过滤器监控外发电子邮件中的私人数据(这是大型行业)
- 确保本地网络上的最小权限,以便人们无法访问他们不知道的秘密需要
- 使用资产清单软件监控公司硬件的变化事件
- 使用事件日志监控软件来跟踪硬件事件,例如使用可移动介质
- 设置组策略来禁止某些在工作场所被视为不必要的行为
- 在任何正在使用的 WLAN 上使用强加密
如今,网络边界已不仅限于 WAN/LAN 分界线,它还涉及网络的每个点,在这些点上,数据以任何类型的模拟形式发布,而利用此类模拟漏洞的工具正变得越来越好,越来越普遍。还有其他类似的东西。
答案2
在第一种情况下,我们谈论的是恶意行为/商业间谍活动?还是愚蠢/疏忽?(两者都是真实存在的问题)。
无论哪种情况,首先要记下共享的信息是完成工作所需的一切(记住,IT 部门永远不应该影响业务部门)以及工作场所的人力资源政策,该政策明确规定这是所有允许的行为,违规行为属于纪律问题。
除此之外,请记住员工是人- 除非你工作的地方明显需要严格的安全政策,否则过分的要求会疏远员工并损害生产力 - 记住你不是因为保护系统很有趣而保护系统,你这样做是为了保护企业保护业务的一部分包括不要无缘无故地骚扰和扰乱员工。
最后,关于“制定政策”的要点,请记住,IT 安全并非存在于真空中。如果物理安全松懈,封锁网络就毫无意义。如果有人能走进办公室,从精美的打印件中取出数据,将其藏在午餐盒里,然后走出去,那他们为什么还需要闯入网络呢?
如果你不想让一个部门的人向另一个部门的人谈论机密业务,那么就需要向他们说明这一点。同样,如果有人可以请朋友吃午餐并询问此事,那么封锁网络就没有什么意义了。
确保打印机和复印机得到适当保护 - 人们会把各种文件放在打印机旁边。打印机和复印机有时会在内存中保留上一次打印文件的副本...
至于事情的实际 IT 方面...
您的 6 点是一个很好的起点,但这里有几点需要注意:
配置锁定和管理是一个好的开始,但信息如何合法地到达和离开企业?这些工作流程会被滥用吗?
如果你把所有的 USB 端口都堵住了,那么鼠标怎么用呢?毕竟现在鼠标通常都是 USB 端口。如果你留了一个端口,那么一个铁了心的小偷就可以拔掉鼠标,然后插入 USB 驱动器。所以也许你需要考虑基于软件的阻止,禁止安装某些类型的设备。
如果要走这条路,您需要考虑复杂的电子邮件过滤。您不能仅仅假设任何超过一定大小的文件都会被阻止,而是需要可用的电子邮件过滤功能,可以扫描内容中您定义的关键字和模式,并据此采取行动。
将敏感办公室的 VLAN 分开(如果不是完全物理分离的网络)是良好的标准做法。请注意,这将增加支持成本,并且可能由于负责布线的支持技术人员的人为错误而容易发生违规行为。
我肯定会做的一件事是确保数据不是本地存储在工作站和笔记本电脑上,而是保存在中央服务器上。这些服务器应该更容易在物理和电子上得到保护。考虑将文档存储在文档管理系统让您能够跟踪访问和所做的更改。这还可以允许信息关系管理控制谁可以对文档执行什么操作。这些系统并非万无一失,但可以提供帮助。
关于这个主题,你还有很多话要说,但这些可能会给你一些有趣的想法。这是一个你可以写一本书的主题(确实有不少人已经写了)。
答案3
简短的回答是你不能这样做,你必须能够信任你的用户。你所能做的就是根据用户的信任程度限制他们能够访问的信息。如果他们在工作中需要这些信息,但你不信任他们,那么你选错了人。大多数关键数据不会很大,但财务数字、客户信用卡号等信息会很大。例如,我们只有信用卡号以单向方式进入系统,永远不会显示给任何用户,甚至不会显示给客户。财务报告经过审计和审查,以了解谁在运行它们以及从哪里运行它们。
答案4
如果你真的有这么重要的信息,你列出的这些事情还不错。从技术角度来看,记录一切 - 你无法阻止一切。不过第 3 项有点傻 - 只需在共享资源(文件、网站/SharePoint 等)上设置适当的 ACL。
从非技术角度来看,您可以签订竞业禁止协议。正如您所说,您可以将员工告上法庭。这也是一种威慑,而不仅仅是一种补救措施——请记住这一点。
您还可以以这样一种方式经营企业,让您的员工感到受到重视,并且不太可能参与此类行为。这可能与经营企业就像被封锁一样,任何人都不值得信任,也可能不会发生冲突。
贵公司掌握的关键信息是什么?如果是专利或商业机密,那么竞争对手就不能使用它(法律上、AFIAK、IANAL 等)。如果是员工的经验和技能,那很困难 - 您不拥有它,除非这个人价值很高,以至于您确实与他们签订了一定期限的具有约束力的合同。如果是专有的东西(根据我自己的经验,服务公司信任的承包商的大型数据库,可以在全国范围内开展工作) - 那就更难了。从技术上讲,不要暴露整个数据库;但致力于该项目的人可能会随着时间的推移收集最重要的信息,然后慢慢地带着它潜逃。