3同行回答
1、人性化上,在设计企业信息防泄漏系统时,尽量要结合各条线员工工作流程和内容,使防泄漏系统在使用上尽可能小得影响现有工作。
2、增加细类度的问题比较宽泛,要细化防泄漏系统各个功能模块,如在文档权限控制上,可细化对在线和离线文件的控制;文件外发上,可细化外发策略,什么级别文件要领导审批,什么级别文件可以明文外传等等
3、第一时间发现泄密这个问题,说白了就是要有动态的防泄漏措施,能够随时感知漏洞、更新防护措施。
4、审计方面,范围要广,在特殊岗位和部门进行管控,限制信息的带出。在核心部门,对机密信息进行透明加密。
没太看明白您的意思,我从你的小标题开始发表一点自己的看法吧!
1、防泄密做到人性化,这个没问题,毕竟你只要保障数据的安全就行,可以将加密和解密级别调低,比如简化解密流程,少一些套路。
2、如何做到按照文件分级定制防护策略? 这个每个加密厂家防泄漏的策略方式不一样,那么他们的防护策略也不一样,如果要做到简化工作,请联系供应商协助你解决。
3、如何做到第一时间发现泄密? 这个非常不好定论,泄密的途径太多了,那么你有行为管理,有加密,有审计,但是他们也只是一个记录和工作,并非是“第一时间”
4、审计方面要人性化,这个也不难,将审计的内容缩小,选择关键字,而且一般来说,审计的功能对于用户来说是透明的,他们一般情况下是感觉不到的!
你的这几个问题对于企业安全来说有点太笼统了,安全涉及的方面很多,以国家等级保护的相关要求为主吧。
先对你的问题谈一下我自己的观点:一是防止信息泄漏和防泄密的问题,这是两个有很多不同的方面,不建议在一起讨论。主要是涉及两个不同的领域,就是涉密与非泄密的领域,它们的信息安全问题有不同要求。二是人性化与安全要求的关系,这本身就是一个矛盾,如果更多考虑人性化,必定要违反安全的一些要求,要平衡好它们的关系就目前的大环境来说,是非常难的一个问题。
对于做到第一时间发现泄密的问题也是一个非常难的问题,而且很难做到。但也不是说就不能做了,只要按照安全等级相关要求做好一些基础工作,起码可以减少一些安全问题的发生。安全永远都是相对而言的。
我倒是觉得在你的第二个和第四个问题上可以先做一下。先好好学习研究一下国家安全等级保护相关要求,学习研究一下国家《网络安全法》等相关安全内容,结合自己的工作环境,考虑应该如何做好相应的工作,才能达到相关安全要求。在自己管理的环境中,应该配置部署那些安全设备和安全策略,这些安全要求必须认真学习,认真研究,才可以根据自己的环境,自己的需求,制定出既能满足日常管理的要求,又能达到安全等级保护的要求的管理策略和管理的制度,并能够很好的在日常管理工作中落实,使企业的安全尽可能达到相应的安全管理要求。