企业级信息防泄漏大方向
信息防泄漏方案已经成为提及度最高的内网安全解决方案
近年来频发且影响深远的信息泄漏事件,表明企业和各类组织信息系统中的敏感信息正遭到威胁。仅2011一年,就发生了RSA遭入侵导致安全令牌丢失、LulzSec、Anonymous等黑客大规模攻击、Duqu工业病毒爆发等多起引起严重后果的信息安全事件。这些事件不仅仅造成了企业的实际经济损失,更带来了严重的声誉伤害。觊觎企业机密信息的攻击活动变得目的更加明确,频率更加频繁,同时攻击方式也更加多样化,更加隐蔽和耐心。另外,包括新浪微博在内的社交网络的蓬勃发展,以及以智能手机、平板电脑为代表的移动设备的爆发式增长,也使得企业面临的信息泄漏风险更加多样化和难以防范。
\
图-1:最受关注的信息安全类方案热度
在溢信科技2011年底针对国内部分用户的调研中,大部分企业的IT管理人员都表达了对于信息泄漏风险加剧的担忧,以及信息一旦泄漏所造成的不良影响的心有余悸。如图-1所示,在受访的客户中,近7成的客户认为未来一年自己所在组织对于信息防泄漏方案的需求位于所有信息安全方案需求的首位。同时,为了加强对于社交网络与智能终端的管理,对于桌面管理与规范类产品的需求仍然旺盛。
值得注意的是,过去几年来国内一直提倡的一个细分市场“内网安全”,在本次的调研中呼声不高,溢信科技认为,这可能由于国内“内网安全”概念本身比较缺乏准确的内涵,包括信息防泄漏、桌面管理、上网管理、系统运维等多种类别的产品都可以归类于内网安全旗下,因此用户可能存在认知上的不确定。未来的发展中,更加专业化和准确的产品细分,更能抓住用户的心。
加密热度不减,信息防泄漏高歌猛进
最受关注的信息防泄漏功能需求
图-2:最受关注的信息防泄漏功能需求
作为众多信息防泄漏实现方案中的一种,加密类产品在过去一年中依然保持了较高的关注度,报告中加密类功能高居功能需求榜第一位也说明了这一点。溢信认为,这一方面是由于加密类产品以信息为中心的“自动透明加解密”的理念更加接近信息防泄漏的定义;另一方面,也是用户在面临信息泄漏渠道暴增,分别封堵可能“防不胜防”的现实情况时,更倾向于寻求更加直接的以信息本身为保护对象的解决方案。
另外,从图-2中可以看出,除了高居榜首的加密类需求,对移动存储、外设等设备边界,Email、IM等网络边界渠道的防护需求,仍然占很大比例。在此次调研中,亦有众多客户提及,单纯的加密方案,无论是文档加密还是磁盘加密,都无法完全忽略终端、外设、网络等传统边界的安全防护需求,用户更多的倾向于采用“加密+边界防护”的整合信息防泄漏方案。溢信科技也同样赞同此种方案,提出的“IP-guard信息防泄漏三重保护”方案,整合运用“审计-控制-加密”的多层次防护技术,获得了用户的广泛认可。
更多管理层参与并推动信息防泄漏项目
从溢信科技长期的行业经验来看,与传统的反病毒、防火墙、IDSIPS等信息安全项目相比,信息防泄漏项目更加直接的与业务流程相关,同时,由于其保护的是对于企业来说最为重要的核心数据与信息,因此一般会得到更高的管理层级,如IT部门负责人甚至企业高管等人群的关注与推动。以下的调研数据即是很好的证明。
信息防泄漏项目发起推动者
图-3:信息防泄漏项目发起推动者
本次接受调研的企业大多数已经部署了信息防泄漏产品,其中,近五成的信息防泄漏项目是由最高级别的IT经理直接推动,同时,高管(11%)和业务部门(8%)也有不同程度的参与。
[page] 在信息安全领域中,安全与效率的矛盾众所周知,而信息防泄漏项目,恰恰或多或少的会影响原有的业务流程,也就有可能发生因造成效率损失而招致用户反对等执行受阻的情况。这时,高更级别管理层的支持与意志就决定了项目执行上的成败。IT经理更多的寻求高级别的支持有利于保证项目的成功。值得注意的是,过于强势的推动也可能招致更严重的反弹,IT经理也应该考虑如何制定更加灵活的安全策略,同时在项目实施全程都加强与普通用户的沟通。
信息防泄漏项目不再一“密”俱“密”
我应该在多大范围内部署信息防泄漏项目?这可能是众多IT经理经常问自己的一个问题。的确,信息防泄漏产品从来都不像厂商宣称的那样“完全不改变用户的使用习惯”,部分普通部门完全没有必要一起“陪跑”。同时,考虑到信息防泄漏产品不菲的价格,精打细算成了IT经理的必然选择。 (编辑:ASP站长网) |