随着计算机网络的快速发展,信息内容安全面临着比过去更多的威胁。信息泄露防范是信息内容安全很重要的一个方面,也开始得到越来越多的重视。信息泄露防范涉及到科技、军事、金融、医疗、科技等各个行业和领域,而且很多具体的措施还需要和相关的保密法律和政策配合。
在这个信息时代,企业每天要利用和处理的信息越来越多,而且其中不乏关系到客户私密、财务状况、企业规划等一些敏感数据和信息。毫无疑问,公司必须要防止敏感数据泄露到公司以外。问题在于,真的需要购买“信息泄露防范”的技术才能做到吗?
有很多众所周知的隐私泄露的例子,例如ChoicePoint公司、美国银行、时代华纳公司等等。一些隐私法律明确了:为了保护客户和雇员数据不被未经授权的人看到,公司必须采取一些措施。大多数公司使用访问控制来确保数据库安全,少数公司则使用加密。
产品市场较混乱
随着时间的推移,企业数据已经变得越来越分散,并且公司信息的很大一部分(可能高达90%)并没有存储到数据库中。这些信息以公司电子邮件、Web邮件、Web讨论、Word文档、PowerPoint演示文档、报表和IM(即时通信)等分散的数据包的形式漂浮在公司网络的周围。
防止这些形式的私密数据离开网络,这是目前冲击市场的新一代产品所确立的目标。这些产品是私密数据的“卡士达最后据点”。就在一段有用的私密或隐秘数据(如一种新产品原型图或一个信用卡号码列表)将要离开你的公司的网络环境的时候,这些监测产品就会捕获到攻击性的事项并且采取某种行动,如发送警告、封锁信息或者简单地报告并放行而让其他人去决定着是否是一种麻烦或危险的情形。
这些产品分类混乱的根源在于:没有一个可以被广泛接受的名字。在不同的时期,它曾被叫做析出防范、动态策略管理、末端私密保护、企业风险管理、末端安全、内容监测和控制、数据丢失防范、内容过滤、消息安全(关注E-mail和IM所包含的私密数据的厂商提倡这一说法)和多渠道私密保护(我们上面所述就证明了这点)。而现在,我们称其为“信息泄露防范”。
这一领域的基本目的是为了帮助公司满足数据保密法律的要求,从而免受集体诉讼。另外,雇员需要得到警告,并接受规则和策略的训练,而这一技术可以帮助做到这一点。
和这个领域的那些经销商所告诉你的恰恰相反,信息泄露防范产品并不会完全解决数据私密性问题。一家努力保护私密数据安全并且满足规章需求的公司,必须采取多种不同的方法,包括每年一次或两次的弱点评估、数据库加密和访问控制、雇员培训、物理的安全性、雇员背景审核、事件响应和报告、数据保持和销毁策略等等。
这些产品为公司带来的是:能够捕获私密数据逃逸的一个最终的安全网络、训练员工来保护私密数据的一个工具和使得校正者和设计者能够知道数据私密性如何处理的应答。最佳状态下,它们能够防止雇员犯非法的或代价昂贵的错误,并且有助于限制全体员工更加细致地操作。
最坏的情况下,它们产生错误的肯定,没有识别危险的违规,并且很难进行成本验证。正如Gartner的分析家Paul Proctor所指出的:这个领域“能够提供一种有价值的能力,但还远不是万能药”。
