外包合作成企业信息保护短板,该如何加强防控措施?



    出于多(duō)方面的考虑,不少企业会将部分(fēn)业務(wù)外包给其他(tā)公司或组织,很(hěn)多(duō)外包工作也都会涉及数据处理(lǐ)问题,然而為(wèi)其提供服務(wù)的外包组织的安全防护水平和管理(lǐ)细粒度不一定能(néng)与企业内部的水平匹配,也因此存在各种威胁企业信息安全的风险。

    现在已经有(yǒu)不少数据泄露事件发生在外包、转包流程中,外包业務(wù)的数据处理(lǐ)过程中存在的各种泄密渠道,如外设拷贝、IM、邮件和网络上传等,很(hěn)容易成為(wèi)企业机密泄露的隐患,此外终端管理(lǐ)的缺失也会给企业带来更多(duō)系统风险。

    外包人员信息安全管理(lǐ)的挑战

    1、敏感数据泄露风险

    开展外包业務(wù)时,需要给对方发送部分(fēn)业務(wù)数据、项目资料等,这些重要机密存放在外包人员的電(diàn)脑上,该如何保护它们的存储安全?项目合作过程中,我们也要堤防终端的重要文(wén)件遭遇恶意损坏而无法恢复的风险,此外我们也要给对方一定的服務(wù)器访问权限,该如何保证访问下载安全?

    2、外包人员终端管理(lǐ)缺失

    通常情况下,外包人员的终端需要接入公司内网开展工作,然而我们很(hěn)难掌握外包人员的终端环境信息,外包人员随意使用(yòng)USB或网络端口,随意安装不明来源应用(yòng)软件,以及操作系统存在安全漏洞等,因為(wèi)没有(yǒu)部署与公司一致的终端安全管理(lǐ),这些行為(wèi)很(hěn)容易成為(wèi)企业风险管理(lǐ)的一个短板。

    3、非法的网络访问行為(wèi)

    对外包人员开放网络访问权限,如果没有(yǒu)进行相应的管控,很(hěn)容易出现非法的网络访问行為(wèi),如未授权人员接入办公网络,外包人员随意访问内部核心區(qū)域,外包人员使用(yòng)通讯设备进行非法行為(wèi)等。

    如何防控外包信息安全问题?

    一个企业信息安全防护水平的高低,不是取决于防护最好的方面,也不是取决于防护的平均水平,而是取决于防护的最低水平,针对外包人员容易成為(wèi)企业信息安全管理(lǐ)低洼的问题,IP-guard也有(yǒu)专门的管控方案,可(kě)以帮助企业合规管理(lǐ)外来人员访问、保护重要文(wén)档安全、全面审计等,加强企业的信息保护机制。

    1、保护机密文(wén)档安全

    无论何种情况,对机密提前加密,都可(kě)以给机密提供最直接的保障,IP-guard可(kě)以帮助企业对重要文(wén)档提前加密保护,严密管控加密文(wén)档的访问权限,防止无关人员访问机密,重要资料发送给外包人员,加密措施也伴随着,可(kě)以一直保护资料在外安全。

    IP-guard安全网关还可(kě)以帮助限制访问系统服務(wù)器的权限,防止非授权人员访问,同时结合IP-guard加密功能(néng),对从服務(wù)器中下载到本地的文(wén)档进行自动加密,避免服務(wù)器的数据被外泄。

    2、文(wén)档传输安全

    对邮件、IM和网络上传等常见文(wén)档传播途径进行严格规范,可(kě)以有(yǒu)效防止机密外泄,IP-guard支持对QQ、微信等主流即时通讯工具的文(wén)档、图片和截屏的外传行為(wèi)进行管控,同时还可(kě)以帮助有(yǒu)效防范拍照、截屏和打印等泄密行為(wèi)。

    3、备份重要文(wén)档

    系统支持将终端的文(wén)档上传到文(wén)档云备份服務(wù)器,进行集中存储和管理(lǐ),企业可(kě)以将项目合作中的重要文(wén)档提前备份,当终端的文(wén)档被损坏或者丢失时,可(kě)以快速恢复原有(yǒu)文(wén)档,及时恢复被影响的业務(wù)。

    4、桌面安全管理(lǐ)

    IP-guard可(kě)以帮助集中管理(lǐ)接入内网的终端主机,规范化管理(lǐ)企业内的软件安装卸载使用(yòng),对外接设备进行控制,以及对全网终端的系统漏洞进行检测并统一分(fēn)发安装补丁,实现桌面的安全规范管理(lǐ),降低系统安全威胁。

    5、设备接入认证

    IP-guard还可(kě)以帮助规范外包人员的网络接入,严格控制内部网络与外联网的连接,同时加强接入内网的主机检测,检测接入的终端客户端是否安装杀毒软件、补丁是否修补,规定的软件是否安装等,无法通过合规检测的客户端主机禁止访问核心服務(wù)器區(qū)域,并发出修复警告。

    6、终端安全审计

    IP-guard可(kě)以帮助全面记录文(wén)档全生命周期、邮件、网络上传、USB、移动存储设备等终端行為(wèi)的操作日志(zhì),对终端操作行為(wèi)、文(wén)档各种流通情况进行全面审计,并通过定期输出报表进行统计分(fēn)析,帮助快速发现潜在风险。

    企业业務(wù)的形式越趋多(duō)样化,在一定程度上给我们的信息保护增加了难度,不过只要我们加强对机密文(wén)档的源头保护,以及对接入企业内部的外部终端进行管控,建立一套相对完善的信息防泄露體(tǐ)系,就可(kě)以很(hěn)好地避免新(xīn)业務(wù)成為(wèi)我们信息保护的短板,影响业務(wù)的正常开展。

    ×