出于多方面(miàn)的考慮,不少企業會將(jiāng)部分業務外包給其他公司或組織,很多外包工作也都(dōu)會涉及數據處理問題,然而爲其提供服務的外包組織的安全防護水平和管理細粒度不一定能(néng)與企業内部的水平匹配,也因此存在各種(zhǒng)威脅企業信息安全的風險。
現在已經(jīng)有不少數據洩露事(shì)件發(fā)生在外包、轉包流程中,外包業務的數據處理過(guò)程中存在的各種(zhǒng)洩密渠道(dào),如外設拷貝、IM、郵件和網絡上傳等,很容易成(chéng)爲企業機密洩露的隐患,此外終端管理的缺失也會給企業帶來更多系統風險。
外包人員信息安全管理的挑戰
1、敏感數據洩露風險
開(kāi)展外包業務時,需要給對(duì)方發(fā)送部分業務數據、項目資料等,這(zhè)些重要機密存放在外包人員的電腦上,該如何保護它們的存儲安全?項目合作過(guò)程中,我們也要堤防終端的重要文件遭遇惡意損壞而無法恢複的風險,此外我們也要給對(duì)方一定的服務器訪問權限,該如何保證訪問下載安全?
2、外包人員終端管理缺失
通常情況下,外包人員的終端需要接入公司内網開(kāi)展工作,然而我們很難掌握外包人員的終端環境信息,外包人員随意使用USB或網絡端口,随意安裝不明來源應用軟件,以及操作系統存在安全漏洞等,因爲沒(méi)有部署與公司一緻的終端安全管理,這(zhè)些行爲很容易成(chéng)爲企業風險管理的一個短闆。
3、非法的網絡訪問行爲
對(duì)外包人員開(kāi)放網絡訪問權限,如果沒(méi)有進(jìn)行相應的管控,很容易出現非法的網絡訪問行爲,如未授權人員接入辦公網絡,外包人員随意訪問内部核心區域,外包人員使用通訊設備進(jìn)行非法行爲等。
如何防控外包信息安全問題?
一個企業信息安全防護水平的高低,不是取決于防護最好(hǎo)的方面(miàn),也不是取決于防護的平均水平,而是取決于防護的最低水平,針對(duì)外包人員容易成(chéng)爲企業信息安全管理低窪的問題,IP-guard也有專門的管控方案,可以幫助企業合規管理外來人員訪問、保護重要文檔安全、全面(miàn)審計等,加強企業的信息保護機制。
1、保護機密文檔安全
無論何種(zhǒng)情況,對(duì)機密提前加密,都(dōu)可以給機密提供最直接的保障,IP-guard可以幫助企業對(duì)重要文檔提前加密保護,嚴密管控加密文檔的訪問權限,防止無關人員訪問機密,重要資料發(fā)送給外包人員,加密措施也伴随著(zhe),可以一直保護資料在外安全。
IP-guard安全網關還(hái)可以幫助限制訪問系統服務器的權限,防止非授權人員訪問,同時結合IP-guard加密功能(néng),對(duì)從服務器中下載到本地的文檔進(jìn)行自動加密,避免服務器的數據被(bèi)外洩。
2、文檔傳輸安全
對(duì)郵件、IM和網絡上傳等常見文檔傳播途徑進(jìn)行嚴格規範,可以有效防止機密外洩,IP-guard支持對(duì)QQ、微信等主流即時通訊工具的文檔、圖片和截屏的外傳行爲進(jìn)行管控,同時還(hái)可以幫助有效防範拍照、截屏和打印等洩密行爲。
3、備份重要文檔
系統支持將(jiāng)終端的文檔上傳到文檔雲備份服務器,進(jìn)行集中存儲和管理,企業可以將(jiāng)項目合作中的重要文檔提前備份,當終端的文檔被(bèi)損壞或者丢失時,可以快速恢複原有文檔,及時恢複被(bèi)影響的業務。
4、桌面(miàn)安全管理
IP-guard可以幫助集中管理接入内網的終端主機,規範化管理企業内的軟件安裝卸載使用,對(duì)外接設備進(jìn)行控制,以及對(duì)全網終端的系統漏洞進(jìn)行檢測并統一分發(fā)安裝補丁,實現桌面(miàn)的安全規範管理,降低系統安全威脅。
5、設備接入認證
IP-guard還(hái)可以幫助規範外包人員的網絡接入,嚴格控制内部網絡與外聯網的連接,同時加強接入内網的主機檢測,檢測接入的終端客戶端是否安裝殺毒軟件、補丁是否修補,規定的軟件是否安裝等,無法通過(guò)合規檢測的客戶端主機禁止訪問核心服務器區域,并發(fā)出修複警告。
6、終端安全審計
IP-guard可以幫助全面(miàn)記錄文檔全生命周期、郵件、網絡上傳、USB、移動存儲設備等終端行爲的操作日志,對(duì)終端操作行爲、文檔各種(zhǒng)流通情況進(jìn)行全面(miàn)審計,并通過(guò)定期輸出報表進(jìn)行統計分析,幫助快速發(fā)現潛在風險。
企業業務的形式越趨多樣(yàng)化,在一定程度上給我們的信息保護增加了難度,不過(guò)隻要我們加強對(duì)機密文檔的源頭保護,以及對(duì)接入企業内部的外部終端進(jìn)行管控,建立一套相對(duì)完善的信息防洩露體系,就可以很好(hǎo)地避免新業務成(chéng)爲我們信息保護的短闆,影響業務的正常開(kāi)展。