数据防泄漏是企业很关注的要点,有些泄露会让竞争对手得益,有些会让企业面临大量亏损风险。保密就是保生存,就是保利润,不是一个夸张的说法。
数据防泄漏一般被叫做DLP,是Data Loss/Leakage Prevention的简称。信息存储在受控的环境中,一旦离开了这个环境,就称为发生了数据泄露事件。
泄密的途径
企业信息主要的泄密途径,主要有下面几种,目前的措施主要是防止数据离开受控环境。
- 拍照
- 录音
- 屏幕截屏录像
- U盘拷贝
- 邮件、即时通讯系统外发
- 服务器后台泄露
保密与效率的平衡
保密,本质上就是采取了各种手段,建立了一些门槛,阻碍了信息的流动。
信息的高效流动,往往带来效率的提升,反之亦然。
在企业生存阶段,利润率很低,产品的有无,销量的多少起决定作用的时候,真正的手段就是管理和监督,纯靠技术是不行的。
常见误区观点
企业是由一个个个体组成的。企业的信息,除了存储在企业的服务器、个人工作站上,还有可能存在与处理这个业务的人的脑子里、记忆中,个人的纸质笔记本上。
经常有一种误区,就是企业防泄漏,是防止所有的信息泄露,一丝一毫都不能泄露。这些人会说,如果拍了照,我还能重新画出来,有水印也没用。或者,如果这个人用笔记去抄,你也防不了。
这种误区的根源就在于过于绝对了,是站在纯技术视角,没有站在企业管理的视角上来看。我们都知道管理是有成本的,在有限的成本下追求极致安全,就是耍流氓。行业是可以有各种手段,做到绝对安全的,比如物理隔离,比如人员出入安检等。但是,这样的管理成本,带来的效率损失,这些企业往往不愿意或者难以承担的,也没有这个必要。
对于一般技术企业来讲,只有关键的数据、整套的数据的泄露,才会带来较大风险。个别数据的泄露往往不至于形成大的危害。
大范围、广泛的泄露是不可接受的,零星非致命数据的泄露,控制在较低水平,对企业无害,是可以接受的。
另外一个误区,就是责任归属的问题。如果指定某部门对泄密负责,那这个部门宁愿牺牲一些效率。比如,你可以想象信息中心来负责数据防泄漏工作,你问他这样可不可以,那样可不可以的时候,他的默认回答基本都是不可以。不要问,问就是不可以。没抓到你就算了,如果抓到你了,那就认倒霉吧。如果发生在业务部门,那多半会把责任推给信息中心,说没有管好。如果防泄密是业务部门负主责,那天然就是要求物理隔离,这样才不容易出现各种问题,研发的效率嘛,就呵呵了。
防泄漏工作,技术本质上是一个补木桶短板的工作。信息在企业内外部流转,就是有各种泄露途径和风险的,今天把这个短板补上了,又会有新的部分成为短板。如果人人都注意,人人都监督,那失泄密的概率就大大降低了。
从这个角度来看,华为的几个提法很有参考意义:小院高墙,意思是把边界管好,数据在企业内部自由流通,点燃年轻人的火花;全面监控和追溯,通过全面记录各类行为数据,通过技术手段、AI等发现和审计系统性风险,基于信用管理,做到最少打扰,精准防控。