网络安全公益联盟 安言咨询

正文

守内安张辉观:数据保护才是企业信息安全的本质

“目前企业信息安全重点正在发生转变,在需要建立信息安全的体系、增强系统安全性的同时,企业应更专注于数据保护。” 2015年3月12日,Softnext守内安信息科技(上海)有限公司产品总监张辉观先生及上海安言信息技术有限公司咨询总监羊志敏先生到访比特网ChinaByte,针对企业内部数据泄密防护(DLP,Data leakage prevention缩写)等相关话题得出了以上的共识。

数据泄密防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。随着计算机及网络技术飞速发展,企业对内对外都被网络所连接。近年来,数据泄漏造成企业严重损失的案例屡见不鲜,因此如何保卫内部重要数据或敏感数据已经成为每一个企业迫切需要解决的问题。

上海安言信息技术有限公司咨询总监羊志敏先生(左)和Softnext守内安信息科技(上海)有限公司产品总监张辉观先生(右)正在接受采访

企业需建立完整的安全体系

“很多国内企业在产品的完整性和管理等方面的落实存在不足,与国外又不小的差距。既然花钱买了产品,就需要用好好落实产品的应用与管理,才能实现一个良好、全面的安全体系。”在谈到国内企业与国外企业的差距时,拥有15年以上网络安全领域经验的Softnext守内安产品总监张辉观先生这样表达了以上的观点。

同时,管理制度和策略也必不可少。张辉观举例目前企业内部常见的垃圾邮件,如附带欺诈、钓鱼连结等,如果企业存在弱密码等隐患,机密信息和数据就很有可能被盗取。“因此,防范必须涉及每一个员工、每一个业务流程,也就必须建立一套完整的管理制度来进行管理。” 张辉观说道。

而对于管理的策略,张辉观认为,任何策略是按照客户现阶段状况而定的,政策不能是一成不变的,是根据客户的需求而改变。例如银行、制造业都会面对法规、防泄密法规,必须遵守。所以需要根据客户的要求,来指定相应的政策。而且,策略的实施与管理系统的特点,以及高层的重视程度也有很密切的关系。

咨询公司的作用就是帮助企业制定合适的控制措施和制度,但真正的管理还需要依靠企业自己。熟悉信息安全管理经验,并有多年IT管理经验的安言咨询总监羊志敏对此非常赞同,他表示:“安全不仅体现在产品或技术领域,更要与管理结合,亮着相辅相成,才能真正把安全落实到位。”

企业信息安全管理是持续性的

提到企业信息安全,很多企业往往对于购买安全设备、软件非常重视,却忽略了后期持续的管理和防护,很容易造成数据的泄露。张辉观表示,很多企业容易忽略资料外泄的防护,所以现在有些企业都要求审核或加密,加强管理的机制,加上个人自身的安全意识,以达到更好的效果。“Softnext守内安说明客户了解现阶段的需求的同时,并制定一个中长期的规划,一步一步完善。” 张辉观说道。

“信息安全需要强调监控。”对于长期的安全防护,羊志敏认为长期的监控非常重要,他说道:“我们向客户强调对系统和行为进行监控的重要性,并监控员工的个人行为,发现隐患,及时找到根源,尽快解决问题。”

监控方面,作为企业安全领域的专家,Softnext守内安自然也不会放松。张辉观指出,目前Softnext守内安产品可以监控到客户所有的流量,如果有恶意的程序或异常等情况,这是大数据在起作用。大数据的分析从异常情况开始才有价值。在客户还没发现之前,就加以提醒的话,客户满意度会大大的提高。

相对于其他行业来说,银行在安全的管控方面应该说已经走在了前列。“金融行业一般都会采用预防式的应用,而非一般企业是事件发生后才采购设备,并引入顾问辅导,如此对于金融行业的成长非常有帮助。” 张辉观说道。

羊志敏介绍道,银监会已经明确规定在关键交易和数据传输情况进行记录和持续的跟踪,意味着银行必须建立一个跟踪体系。“因此,银行等金融结构不仅要加强数据的安全保护,更需要注意交易信息的监控和控制。同样现在很多上市公司都有信息留存和监管的体制,以应对法律法规的要求。”在监控的同时,也提出了对于信息审计的要求,对于安全产品的要求也更高。

对于企业来说,只需要监控就够了吗?羊志敏认为:“目前所有的安全产品都需要加入审计功能,不仅需要防护、监控、日志等,也需要有审计功能。从管理结构上来说,就是将策略、管理、执行及审计结合,形成一个PDCA的死循环。”

张辉观指出Softnext守内安就在与客户的合作中,遇到不少因为缺少审计而遭受巨大损失的案例,例如公司面临诉讼危机,尤其是上市公司,都需要以往大量的电子邮件或财务文件,提交监管部门审计。否则,企业就会面临巨大的危机,影响难以估量。

企业数据安全管理 Softnext守内安有办法

十几年来Softnext守内安一直致力于为企业提供全方位的安全解决方案,其中最典型的是邮件安全与管理方面,在业界领先。而其实Softnext守内安在敏感信息的防泄漏保护也有出色的产品和解决方案,其中就包括:

1. Mail DLP:邮件数据的保护与安全审计——Mail SQR Expert

2. WEB DLP:上网行为管理——Content SQR

3. EnderUser DLP:终端设备、应用程序控管、图文加密管理等

4. Add on:事后审计与电子发现、电子举证的实现等

谈到自家的产品,作为产品总监的张辉观犹如数家珍,侃侃而谈。他认为目前企业不仅是内部,还是外部的沟通,甚至是管理和流程,都已经离不开邮件,邮件的重要性也越来越受到重视,而且邮件中包含了大量企业内部的机密和敏感数据,一旦泄露,对于企业的影响不言而喻。

Softnext守内安首先在邮件威胁防护上领先业界,针对病毒邮件、恶意邮件、木马邮件等垃圾邮件实现与ASRC同步的全球实时监测,实现客户端事前防护的必备环节,同时,配合事中的邮件数据审计、与事后的邮件归档管理等应用,也针对邮件的数据保护、审计上做到了风险预防可控。“保证了邮件的安全,也正是保护了企业内部的数据。” 张辉观说道。

此外,张辉观还表示,上网行为管理、终端设备、应用程序控管、图文加密管理等方面也同样是Softnext守内安研发的目标,作为邮件安全产品的增值服务,也将作为Softnext守内安接下来的重点产品,向企业推荐,提供全方位的安全管理解决方案。

最后,张辉观总结说道:“信息安全不是一次性的,而是持续性的过程,在不确定变化的情况下,只有通过持续的监控,才能达到安全防护的效果。”
原文出自【比特网】

分享到: 更多

 

评论

  • 微信
  • 新浪微博

关注官方微信、微博获取更多资讯

点击按钮填写申请表单

安全法知识赛申请

Copyright 2011~ , E365.org版权所有

沪ICP备12023389-1号
沪公网安备 31010502002600号