因为安全是巴别鸟一个主要卖点,使用巴别鸟的企业用户80%左右是冲着企业数据安全来的。所以在服务很多对安全要求较高的用户后,总结了一些安全使用一个云产品所要关注的点。不仅仅针对我们的产品,应该适用面很广。
首先,大多数数据安全事故并不是系统破防,而是不良的使用习惯造成的。
同时,安全和使用方便往往是双刃剑,而使用不便也是一个容易被忽视的安全隐患。
所以,今天这篇文章,我们讲讲产品特性外容易被忽视又是大概率引发数据安全事故的几个关键点。如果对企业网盘本身的安全性或者做了什么措施提高安全性感兴趣,可以移步下面这篇文章。
如果追求极致的安全,其实手段相反很简单了。
总结出来就是一句话,在各个安全机构甚至都能看到大幅标语。也是高赞答主说的北航校训(虽然公司北航校友指出校训是德才兼备
、知行合一。这个应该算第二校训,保密相关的院校都有)。
“涉密不上网,上网不涉密”
这里的上网指的是互联网,相当于所有涉密数据都存放于内网,与外网物理隔离。使用私有化方式的企业网盘往往用于这样的系统,配合行为管理和禁用USB设备,能很好的保证数据的安全性。需要在外界临时访问局域网内的数据,需要使用一台跳板机在DMZ区连入内网,然后通过VPN访问跳板机再通过跳板机访问到内网设备。所有操作行为在跳板机
上都可以监控到,停止使用就关闭跳板机。
这样一刀切的安全管理方式其实是最简单也最安全,但除非特别机密并且管理严格的场合,不然如果日常高频业务行为也以这种方式管理,相反会不安全。
因为从人性的角度来说,人是不会每天都紧绷着,随着越来越熟悉系统,也没出啥安全问题,慢慢的就会越来越松懈。但内外网使用的确不方便啊,跳板机开启VPN也要层层审批麻烦啊。合作时内网数据还需要通过网闸传输到外网才可以给合作方太麻烦….
而只要麻烦,就会想办法简化并绕开,后面出现私自传数据的、内网接入个人设备的、内网VPN上互联网的、VPN申请时间很长的、一次性传整个项目数据出去方便和合作伙伴协作的 ….这类事情就越来越多,其实甚至都是比不用系统更不安全的行为。
所以,除非极大的管理成本,每天做安全审计,各种制度严格执行,就是突发事件也不能改变安全守则,不然就是最安全的方式也会因人带来各种安全隐患。但要做到这些除非是保密等级极高并且执行力很到位的企事业单位或者军方,不然实际上形同虚设。所以,再好的安全管理方法也要做好对人的管理,同时,在保证数据安全的前提下做到使用也相对方便,才能更好的保证不会出现人为绕过系统变成更不安全的局面。
那么如何解决高频对外发送敏感数据呢?
“严控外发数据“
于是,为了解决这个问题,很多企业上了数据泄密(泄露)防护(Data leakage prevention,DLP)系统,对于外发文件除了审核外还有一个重要的功能就是加密,就是文件给对方下载了,没有密码对方也打不开。就是有密码也可以设定有效期。
但作为甲方给乙方发送文件这样操作没问题,很多时候乙方给强势的甲方发文件就不行了。因为甲方没有必要为了看一个文件还需要去下载某个软件,或者打开某个沙盒,某些特殊格式的文件甚至没法在沙盒里打开。
这时候,需要外发文件支持脱密
,通过上级确认,然后文件脱密发送给对方。但这样就意味着,对方获取了源文件
,可以肆无忌惮的传播了。
在这个问题上也可以解决,网络传播的问题交给网络解决,可以发给对方一个链接,对方可以打开链接,没有下载权限就仅仅可以在线预览,在线预览可以监控行为,可以加水印,也可以防止或者控制传播。当然,在线预览也可以加密传输防止被截获。如果预览做到不用传送源文件,就可以防止用通过技术手段获取源文件了。这也是很多安全产品发展的方向,接入互联网可能增加攻击风险,但对传播可控,比不可控的文件传输可能更加安全。
“管理好密码“
这是安全事故的重灾区,几个已知重大数据泄漏事故都是密码被撞库或者使用默认密码被猜出来导致的。这也是个矛盾的点,降低密码复杂度(使用简单密码)容易被猜或者容易被破解。增加密码复杂度用户又记不住,记不住多个平台就会用一样的密码(容易被撞库)或者拿个小本本记上,相反容易造成泄漏。
技术上当然有很多解决方案,最常用的是单点登录+各种身份认证,定期轮换密码。
但是,往往是最重要的密码被漏掉或者用不了这些手段。如:linux系统的root密码、数据库的密码、某个公共库的密码、管理后台的密码…
“管理好硬盘“
这也是一个往往被忽视的地方,很多OA、ERP系统使用的是传统的文件存储,说白了就是文件按文件树
的形式存在服务器硬盘里。
不管前端的密码和安全系统再先进,只要拿到服务器的硬盘了,就能读出文件。
而长远上来说,服务器硬盘总会损坏总会更换的,盘阵
里替换一块坏掉的硬盘不影响使用的。但是在安全防范规范不是很严格的企业换下来的硬盘往往….
解决方案是使用分块加密存储或者对象存储,数据被打散落盘,这样即使读取硬盘也获取不了文件。
“公有云选好服务商,管理好密码“
其实公有云在数据安全的角度是相当安全的,特别是大厂的公有云产品。但是针对个人的公有云产品如:百度网盘
、iCloud、onedrive…在安全性和使用便捷性上面产生极大冲突时,会首选满足便捷性。因为对于个人来说,使用方便更重要。
在这个角度上,重要的要命的数据最好不要存放在个人公有云平台,这不是平台本身的问题,而是为了照顾个人更方便的使用习惯,这些公有云平台大多数都支持免登录或自动登录,安全验证的重担就交给了终端设备。
就像题主提到的iClould,苹果设备多机可共享同一个iCloud账号的设置是很多时候发生数据泄漏的原因。虽然方便,但的确iCloud在使用时是默认登录的,如果设备在别人手上,只要掌握了开机密码,就意味着可以查看iCloud里的大量信息。其他公有云存储也有类似的问题,毕竟要用户每次打开APP就需要登录是大多数用户不愿意接受的使用体验,这就意味着,只要拿到你的手机,就可以访问你的公有云内容。
这里说一个小漏洞,很多手机锁屏时接收到通知会显示验证码的,即使没有手机锁屏密码获取到手机也可以利用手机验证码进行很多公有云平台的操作(验证码登录)。所以,修改锁屏的消息通知为“不显示消息内容”还是很重要的。
在公有云保证数据安全,我们能做的主要是以下四项:
- 选择大的服务商,或者服务器放在大的服务商的产品。这样数据中心的数据安全就不用操心了。譬如:我们的产品巴别鸟,我们其实有足够的能力自建机房,但是我们的公有云服务器还是放到了阿里云,虽然成本高很多,但是我们相当于拥有了大厂数据中心的灾备及防攻击能力,这一点很重要,一般公司要把自己的服务器平台搭建到具备类似阿里云这种多地灾备、大冗余、云盾防护、全球多节点…这样的级别是基本不可能的。
- 支持手机验证码登录的直接用高强度密码。注册时使用高强度密码,有的设备会推荐一个高强度密码(例如苹果设备)可以选择使用。但这个密码不用记住,因为不会使用。
- 日常使用手机验证码登录。验证码登录是相对安全的,因为不用记住密码,而验证码是动态可变的。但一定要把锁屏消息通知显示消息内容功能关闭。
- 管理好手机开机密码。好在现在很多手机支持指纹或面容验证。手机密码建议使用能记住的复杂度高的密码,一般只有开机的时候输一次,大多数时候还是指纹或面容解锁的。
“用加密软件”
加密软件最简单的是RAR或者ZIP加密,但是这个属于MD5加密,安全级别并不高。
这里推荐个老牌加密软件Boxcryptor,据说连FBI都破解不了。加密解密肯定提高了使用复杂度。所以适用于真需要放到公有云但是又是很重要的文件。
“合理的权限设置”
这个放到最后,这其实是众多安全系统和使用方式上的大漏洞,从产品的角度及使用着的角度都需要解决。
就是系统的权限
基本上所有安全相关的系统都能设置使用者的分组和权限。管理粒度越细的系统可设置的权限就越细。但如果你是管理员,你心里真的清楚每个人是什么权限么?如果企业人数超过了10人,一般管理员就不记得给谁分配了什么权限了。有时候为了某些工作需要还需要提高或降低某些人的权限,时间长了会更加混乱。权限乱了是很难调整也充满隐患的。
在实际使用中,能全面清晰的显示和统一管理权限的系统安全性其实要高很多。
一般权限设计有两种思路,第一种是先根据职能设计权限组,每一个组拥有统一特定的权限。一般一个权限组我们称为一个角色。实际分配权限时,只要给不同成员在所在部门一个角色即可,这个成员的权限是什么由角色统一管理。
第二种是权限跟着成员走,为每个成员勾选设定他的权限。要给某个权限,在权限处打个勾,选一个有效期就好。使用起来很简单。
我认为使用角色管理权限的方式更加方便和安全。很简单,第二种方案管理员不点开查看某个人的权限的时候,他是很难知道这个人的确切权限的,每个人的权限都不同的话,要检查某人是否拥有不该拥有权限时是相当困难的。这样意味着容易弄乱权限和出错。
用角色就不会有这个问题,我们知道某个人是什么角色时(如部门经理),就知道他有什么权限了。要更改权限也简单,换一个适合的角色就行。而且,这样的设置支持同时修改很多人的权限,如:XXX部门的所有部门成员都不能编辑或删除其他人的文件,仅能修改自己的文件。