信息防泄漏方案已经成为提及度最高的内网安全解决方案
近年来频发且影响深远的信息泄漏事件,表明企业和各类组织信息系统中的敏感信息正遭到威胁。仅2011一年,就发生了RSA遭入侵导致安全令牌丢失、LulzSec、Anonymous等黑客大规模攻击、Duqu工业病毒爆发等多起引起严重后果的信息安全事件。这些事件不仅仅造成了企业的实际经济损失,更带来了严重的声誉伤害。觊觎企业机密信息的攻击活动变得目的更加明确,频率更加频繁,同时攻击方式也更加多样化,更加隐蔽和耐心。另外,包括微博在内的社交网络的蓬勃发展,以及以智能手机、平板电脑为代表的移动设备的爆发式增长,也使得企业面临的信息泄漏风险更加多样化和难以防范。
图-1:最受关注的信息安全类方案热度
2011年底针对国内部分用户的调研中,大部分企业的IT管理人员都表达了对于信息泄漏风险加剧的担忧,以及信息一旦泄漏所造成的不良影响的心有余悸。如图-1所示,在受访的客户中,近7成的客户认为未来一年自己所在组织对于信息防泄漏方案的需求位于所有信息安全方案需求的首位。同时,为了加强对于社交网络与智能终端的管理,对于桌面管理与规范类产品的需求仍然旺盛。
值得注意的是,过去几年来国内一直提倡的一个细分市场“内网安全”,在本次的调研中呼声不高,这可能由于国内“内网安全”概念本身比较缺乏准确的内涵,包括信息防泄漏、桌面管理、上网管理、系统运维等多种类别的产品都可以归类于内网安全旗下,因此用户可能存在认知上的不确定。未来的发展中,更加专业化和准确的产品细分,更能抓住用户的心。
加密热度不减,信息防泄漏高歌猛进
图-2:最受关注的信息防泄漏功能需求
作为众多信息防泄漏实现方案中的一种,加密类产品在过去一年中依然保持了较高的关注度,报告中加密类功能高居功能需求榜第一位也说明了这一点。这一方面是由于加密类产品以信息为中心的“自动透明加解密”的理念更加接近信息防泄漏的定义;另一方面,也是用户在面临信息泄漏渠道暴增,分别封堵可能“防不胜防”的现实情况时,更倾向于寻求更加直接的以信息本身为保护对象的解决方案。
更多管理层参与并推动信息防泄漏项目
从行业经验来看,与传统的反病毒、防火墙、IDS\IPS等信息安全项目相比,信息防泄漏项目更加直接的与业务流程相关,同时,由于其保护的是对于企业来说最为重要的核心数据与信息,因此一般会得到更高的管理层级,如IT部门负责人甚至企业高管等人群的关注与推动。以下的调研数据即是很好的证明。
图-3:信息防泄漏项目发起推动者
本次接受调研的企业大多数已经部署了信息防泄漏产品,其中,近五成的信息防泄漏项目是由最高级别的IT经理直接推动,同时,高管(11%)和业务部门(8%)也有不同程度的参与。
在信息安全领域中,安全与效率的矛盾众所周知,而信息防泄漏项目,恰恰或多或少的会影响原有的业务流程,也就有可能发生因造成效率损失而招致用户反对等执行受阻的情况。这时,高更级别管理层的支持与意志就决定了项目执行上的成败。IT经理更多的寻求高级别的支持有利于保证项目的成功。值得注意的是,过于强势的推动也可能招致更严重的反弹,IT经理也应该考虑如何制定更加灵活的安全策略,同时在项目实施全程都加强与普通用户的沟通。
信息防泄漏项目不再一“密”俱“密”
我应该在多大范围内部署信息防泄漏项目?这可能是众多IT经理经常问自己的一个问题。的确,信息防泄漏产品从来都不像厂商宣称的那样“完全不改变用户的使用习惯”,部分普通部门完全没有必要一起“陪跑”。同时,考虑到信息防泄漏产品不菲的价格,精打细算成了IT经理的必然选择。
图-4:用户选择在多大范围内部署信息防泄漏项目
从本次调研的结果来看,大部分企业部署信息防泄漏项目的规模都相对较小,受访的IT经理们也表示,与全盘部署相比,他们更倾向于在最核心的机密部门部署信息防泄漏产品,而其他普通的业务部门采取普通防护措施或者干脆放开。
针对此种情况,“轻重有别,区分对待”的信息防泄漏原则是正常的,但不能因此完全放开对于非核心部门的保护,因为我们无法保证非核心部门就不会接触到机密部门的敏感信息并有意或无意泄漏;另外,由业务流程联系起来的企业是有机的整体,如果只在核心部门内部署严格的保护,可能在企业内形成人为的区隔,阻碍了业务的运转。因此,企业应该更多的考虑内部统一部署整合的信息防泄漏方案,只是根据实际情况,为不同的部门分配轻重有别的针对性安全策略。
制造业打头阵,竞争升级催生普遍性安全保密需求
图-5:信息防泄漏行业关注度排行
作为信息化的先行者,制造业企业理所当然的在信息防泄漏项目的实施上走在了最前列。因此,电子电气、机械重工等行业出现在信息防泄漏产品关注与实施排行榜的前两位也就不足为奇。真正值得注意的是,以往传统意义上的劳动密集型行业如纺织服饰,其信息防泄漏需求也正在在升温。根据调研与市场数据,纺织服饰、咨询文化、贸易等传统意义上信息化应用并不发达的行业,正表现出对于信息防泄漏方案的强烈关注。
事实上,行业属性的不同,只是表面的分别;而信息防泄漏受到各个行业的普遍关注表明,我们正处在一个以信息为资产,以信息为竞争力的时代。制造业的图纸、流程是核心竞争力,纺织服饰的设计样板是竞争力,甚至经营数据、客户列表更加是竞争力…不同的行业,需要保护的信息载体与种类可能不同,以后的信息防泄漏解决方案,应该是“以信息和数据为中心,综合考虑业务流程和保密需求”而制定的多层次安全策略的组合。
信息防泄漏前路方向明确,实施之路依然荆棘满布
尽管大多数用户对于信息防泄漏的重要性与紧迫性都有足够的认识,但显然并不是所有的用户,都知道如何去做。通过结合市场数据以及互联网上的公开信息,本次报告还总结出了在实施信息防泄漏项目过程中,项目执行者最经常提及的5大难题,如下:
在众多的信息防泄漏方案中,哪一种才是最适合我的,强审计,边界封堵,信息过滤,还是加密?
我该如何做才能更好调和部署信息防泄漏方案过程中所必然面临的效率、安全和成本三者之间的矛盾呢?
信息防泄漏怎样才能顺利的从纸上的方案被卓有成效的实施推进呢?
信息防泄漏解决方案怎样才能与原有的ERP\PLM\OA等业务系统更好的整合呢?
我应该怎样看待审计在信息防泄漏体系中的角色?如何才能避免审计带来隐私难题呢?
以上5大难题,有的反映了用户对于当今信息防泄漏市场宣传众说纷纭乱象的迷惘,有的反映了IT部门面临的项目执行力困境,有的更直击目前信息防泄漏项目的症结所在。
虽然信息防泄漏在过去一年中得到了很高的关注度,市场表现良好,但总体来看,信息防泄漏市场依然处在一个概念和噱头竞争的时代,产品与方案很多都缺乏经得住推敲的理论支撑,信息防泄漏产品也面临着从理论到实际执行效果之间的差距鸿沟。新的一年,信息泄漏威胁不会减少,用户的需求将会更加明确和多样化,但如何解决上述5大问题,是摆在用户和业界面前的共同难题。
©2022 Guangzhou Supreme Info Software Technology Co., Ltd.
广州鼎资软件科技有限公司
粤ICP备09010208号