随着越来越多的员工携带自己的设备到工作场所—无论他们是否得到IT的许可,移动数据丢失相关的问题也变得更加严重。在BYOD的情况下,用户拥有设备,而不是企业拥有,这让IT更难建立和维持安全性。
至少,所有访问或存储业务信息的移动设备都应该配置用户识别和强大的身份验证,运行最新的反恶意软件,并且,必须使用虚拟专用网络(VPN)链接来访问企业网络。
此外,IT部门应该部署以下五大措施来在移动环境中保护企业信息:
1.定期进行数据备份,还应该定期进行可恢复性测试
2.对用户进行DLP培训
3.部署数据分类标准
4.执行信息安全保护政策
5.使用移动DLP软件
下面我们将具体讨论上述策略。
1. 数据备份
对于数据备份,我们不需要太过深入细节。简单地说,数据备份是必要的,企业必须定期执行数据备份,生成的备份文件必须进行测试,以确保在必要时恢复它们。
2.教育程度:他们知道的越多,你的数据更安全
对于大多数企业来说,让用户认识到数据泄漏的危险性是有用的有价值的过程。无论是通过年度安全培训、午餐研讨会还是每月通讯,你都应该让企业了解安全问题。告诉他们什么是重要信息,并给他们看看这些信息。
大多数员工在了解什么是“机密”信息后,他们将会帮助保护企业的资产。他们必须知道这些信息泄漏的后果:名誉受损、企业间谍活动、收入损失、监管罚款和处罚,甚至可能危及某些员工的人身安全。此外,企业还可以让员工了解数据泄漏的实际例子。
3. 数据分类
不断增加的移动设备提高了数据分类的重要性。大多数移动DLP技术依赖于某种形式的数据分类来防止数据泄漏。你的企业必须创建一个数据分类标准,然后尽快实施该标准。
美国军方分类标准包括三个分类水平:绝密、秘密和机密。企业或教育分类可以使用高度敏感、敏感、内部和公共类别。如果你的企业必须遵守监管某类数据的特定法律法规,你应该将法律要求和标准加入到你的分类标准中。
由于信息涉及很多不同的形式(文字处理文档、电子表格和电子邮件,以及市场营销、一般业务运作、客户服务电子邮件等),一些信息可能很难分类。此外,你如何处理已经转为其他用途的文件?例如,被标记为高度敏感的部分文档用在其他地方?这部分文档是否应被视为高度敏感,或者需要对这部分进行重新审查和重新分类?
请注意,标记数据和分类数据是两回事。标记会标识所需要的保护水平,通常是放置在文档本身或元数据中的标记或注释。例如,你可以插入“机密”在文档的页眉或页脚,或者添加到文件的属性表。在另一方面,当你分类文件时,你可能或者可能不会使用标签。
4.策略:保护所有形式的数据
你的数据分类标准必须加入到企业的整体安全策略,对于数据的使用和处理,政策必须明确,并且,你选择的方法将会推动处理数据的成本。
安全政策、标准和程序对数据和信息制定了不同的要求,这取决于数据生命周期状态(创建、访问、使用、传输、存储或销毁)。这里的目的是保护在不同处理环境(包括系统、网络和应用程序)的所有类型的媒体上的所有形式的数据。
请确保你的政策明确,信息使用者必须遵守所有政策、标准和程序,否则将追究责任。
5. 移动DLP软件:监测移动用户
很多移动DLP产品提供了监控功能,这让It可以查看移动用户访问和/或从企业服务器下载的数据。移动监控的优点在于它提供了警示标志,使IT可以对潜在的数据泄漏或政策违规采取行动。然而,在识别一般活动和真正安全威胁需要一段时间,所以,它通常被用于追踪行动。企业面临的挑战是防止敏感信息被传输或存储在移动设备中。
来自知名DLP应用程序和设备供应商(例如赛门铁克、McAfee和Websense)的最新产品提供了数据分类功能来标记信息和文档(元数据标记),并提供了分析内容和过滤功能—当移动设备与企业服务器交互时。
简称为内容感知,这些技术对于企业持有和员工持有的设备非常有用。它们可以防止某型电子邮件、日历事件和任务与智能手机或平板电脑进行同步,例如,基于移动DLP政策。该技术使管理员能够分离个人和企业电子邮件,并防止企业信息被存储在移动设备上。
一些产品可以防止敏感信息被传输到设备,根据用户或用户组,而不是设备ID。并且,管理员可以为销售和营销部门设置移动政策。你还可以找到支持基于角色发送消息的解决方案,这可以满足军事使用要求。
内容感知DLP能够与移动设备管理(MDM)解决方案兼容。移动设备不需要安装任何东西,DLP软件可以利用MDM配置来强迫设备与企业网络建立VPN连接。在那里,DLP技术扫描并分析内容,然后执行政策。
虚拟环境也可以受到保护。例如,Devicelock提供数据泄漏保护功能,被称为Virtual DLP,这保护本地虚拟机,基于会话和流桌面及应用程序。Virtual DLP支持Citrix XenApp、Citrix XenDesktop、Microsoft RDS和VMware View。
