6条企业不可不知的信息防泄漏评估标准

（中国软件网讯）在信息防泄漏的“战争”中，相比于躲在暗处的泄密者和安全威胁，站在明处的企业显然略失先机。但如果企业能够做到预先防御，在对手出招之前采取针对性的保护措施，就能从根本上“转被动为主动”，做好内部数据安全防护。

互联网时代，一个小小的数据就可以左右公司的命运。这些数据在企业自己手里是制胜王牌，在对手手里就是毁灭自身的工具。为了保护这些机密数据，不少企业都开展了信息防泄漏项目。但是防泄漏建设就跟买保险一样，不出安全事故，你永远不知道项目是否完善。一直在为防泄建设评估犯难的你，接下来可要看好了，以下6条标准，让你彻底检查内部防泄体系究竟完善与否。

标准1：企业内部操作行为是否实现可视化

在信息防泄漏的“战争”中，相比于躲在暗处的泄密者和安全威胁，站在明处的企业显然略失先机。但如果企业能够做到预先防御，在对手出招之前采取针对性的保护措施，就能从根本上“转被动为主动”，做好内部数据安全防护。

因此，良好的信息防泄体系的前提就是要时刻掌握企业动态，做到要有的放矢。很重要的一点是要实现内部操作的“可视化”，以随时监测整个信息系统的安全状况，做到迅速反应，甚至还能预测到潜在的风险，化被动防御为积极防御。

标准2：防泄漏建设是否从全局角度出发，最大程度避免疏漏

安全领域中的木桶理论和马其顿防线的故事相信大家都了解——无论怎么豪华的防线，一个漏洞就可以毁灭所有一切。在企业中，有时候可能是一个小小的U盘就毁灭了几百万投资的努力，或者一封无意的邮件就能让企业损失惨重。

因此，在解决安全问题之时，不能仅仅依赖透明加密等技术手段，“头痛医头，脚痛医脚”地堆砌不同安全产品及封堵安全漏洞，而是需要站在一个更高的战略角度来通盘考虑。如果缺乏一个整体的分析视角，你可能会忽视或者低估某个安全攻击的真正威胁，相应采取的安全措施也可能无法解决真正的问题。

所以，在实际的防泄漏建设中，我们必须从整体上来评估企业的信息安全状况，运用统一的平台来进行风险和安全管理，检测出内部问题，从而描绘出整个企业当前安全情况的更清晰和更准确的图景，采取针对性的防护措施，最大限度降低企业的安全风险。

标准3、是否根据涉密程度不同，防护力度轻重有别

企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切，不分轻重地在全公司范围内采取相同的策略，这样虽然看似达到了最为安全的效果，但对业务造成的巨大影响，以及因此产生的高额成本，对企业来说，都是巨大的负担。

对信息安全来说，威胁和风险往往和高价值的信息资产联系在一起，安全保护工作也就应该轻重有别，将重点放在高价值的信息资产上。什么是高价值信息资产?通过风险评估，你会知道，它是你业务依赖的信息系统，无论软件、硬件、服务还是人。那么，在安全建设过程中，对涉密程度高的部门或岗位进行力度大的防御，对涉密程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、企业安全成本等问题，是企业必须要做的事情。

比如透明加密的成本，以及对企业效率的影响远高于审计和管控，在企业实施过程中，往往需要结合企业的实际情况，对三种技术手段整合运用：首先，在全公司范围内进行安全审计，掌握企业操作，发现安全隐患;其次，对特殊岗位和部门，进行严格管控，限制信息的带出;最后，在核心部门内部，对机密信息进行透明加密。这样既可保证公司的正常业务运作，又能有的放矢地实现最优化的信息防泄漏管理。对于企业来说，还大大节约了投资成本。

标准4、能否及时发现安全威胁，实现动态性的防护

动态性的信息泄露防护，对于目前泄密手段日益增多的企业来说，非常重要。某些企业往往在安全事件发生之后才对现在的策略进行被动的调整。这种“吃一堑、长一智”的防护模式，对于企业而言，有可能是致命的。一旦出了安全事故，恐怕亡羊补牢，为时已晚。

企业需要建立一个动态性的安全防护，前瞻性地发现安全威胁，并通过对技术或管理上的策略进行及时调整更新，防范潜在的安全风险。如目前便携设备发展迅速，智能手机、iPad等便携设备日益成为企业的泄密威胁，在此基础上，企业应该调整安全策略，对便携设备的使用进行规范。

另外，企业内部的人事变动比较正常，人员的流动屡见不鲜，企业应收紧即将离职员工的文档使用权限，确保机密文档不被访问和带走。如果企业建立了动态性的信息防泄体系，就能在安全事件发生之前，从技术、管理等多方面更新措施，大大增强安全防护的前瞻性。

标准5、能否随需而变，实现扩展性的体系

信息防泄漏可以看成是一场永无止境的战争——你刚刚应对完一次安全威胁，下一个威胁又接踵而至。IT部门作为企业信息防泄的神经中枢，必须能够适应安全需求的不断变化，迅速满足新需求、快捷响应新威胁。如果企业只单纯使用加密或监控某一种技术手段，当新需求出现之时，IT部门不得不求助于新产品，重新选型、试用，操作流程复杂且安全风险增加。

所以，企业在建立信息防泄漏体系时，要确保该体系能够根据新的需求实时扩展，无须重新选择新的产品，只需加固同一管理平台上的功能，就能进行更多防泄密功能的扩展，做到无缝集成，消除因选型迟缓而产生的安全风险。

标准6、安全体系是否容易使用和维护

如今，市场上五花八门的信息防泄漏产品让企业眼花缭乱，某些企业为了确保自己信息防泄漏高枕无忧，盲目地为自己配备上各种安全产品，并企望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本，并增加了技术的复杂性，还容易导致产品软件冲突等问题，企业虽然“装”了安全产品，但根本“用”不了。

目前，能够提供整体解决方案的单一安全产品成为一种优良选择，它能够帮助企业建立统一的安全管理平台，无论是对企业安全边界防护，到内部使用都做了整体、全面的考虑，而且简化了日常的操作与管理，降低系统的资源占用，避免了软件冲突等多种问题。使用和维护起来非常方便，大大节约了IT人员的时间和精力。这种产品为企业带来诸多功能集成方案的易管理和高性价比优势，对于企业将具有更大的吸引力。

如果你的信息防泄漏建设符合以上6条检测标准，那么你已经建立了一个完善的整体信息防泄漏体系，机密信息也得到了最大化的保护，实现了“成本、效率、安全”三者的最佳平衡，这也是近年来被大家认可的“整体信息防泄漏”理念的核心。实际上，信息防泄本身就是一种博弈，是企业和人的博弈。它是一场思维的交锋，企业只有掌握了内部的行为操作，同时针对内部安全威胁建立全面、立体化的安全防护，信息防泄才会立于不败之地。