所有企业都有敏感信息,所以都要看考虑数据防泄漏。数据防泄漏可以从两个方面入手。首先是建立制度,树立数据防泄漏意识。大多数员工其实没有意识到自己把敏感信息发送出去了,如果能够继续数据防泄漏培训,可以有效阻止无意识的数据泄露。其次是使用数据防泄漏产品,所有的数据防泄漏产品,都是针对文件防泄漏,文件可以是文本、图片、视频等形式。市场上常见的数据防泄漏产品分为两大流派,加密派和阻断派。解密派即对文件进行加密,只要文件离开加密环境就不能使用。阻断派对敏感文件进行标记识别,当敏感文件离开环境的时候,进行阻断。阻断派又可以细分,从阻断途径上分为网络防泄漏、终端防泄露、应用防泄露。网络防泄露部署在网络出口,通过检查网络数据包内容,比如pop3的邮件数据包、ftp数据、http/https数据等。识别其中的敏感数据,并进行阻断和告警。终端防泄漏需要安装到终端上,对终端上的文件进行管控,对敏感文件外发进行阻断。应用防泄漏是指应用系统本身的一些防泄漏功能,比如飞书、企业微信、钉钉,能够监控对敏感文件的操作,留下审计记录,也可以限制对敏感文件的编辑、转发、下载等权限。
加密派产品优点是对使用者来说很方便,如果只是在加密环境内部使用,几乎不需要特别做什么。缺点是加密需要消耗系统资源,对一些超大文件的加密,比如很复杂的图纸,会造成系统卡慢。有时候加密的时候,也会造成文件的损坏。另外,如果加密文件要外发比较麻烦,需要先解密在外发,往往需要审批,对领导来说,面临的困扰就是每天有很多文件要审批,干脆不看了直接审批造成失控。网络防泄漏产品从原理上来讲,优点是不需要普通用户做什么,普通用户基本感受不到。缺点是要全方面精准防控就很难,比如对文件多次压缩再发送,就很难防范。终端防泄漏产品,优点是防护面比较全,缺点是需要每台终端部署,还需要对敏感文件一一进行识别和标记。应用防泄漏产品,优点是在应用内部可以做到很好的防护,但是脱离应用以后,就鞭长莫及了。另外,还有其他形式的数据防泄漏,比如使用桌面云,直接将数据该隔离到一个虚拟环境中。还有,干脆就是物理防泄漏,人和数据都物理隔离,不能离开特定空间。最好的方案是根据实际场景选用合适的产品,或者多种产品组合使用。
