第50章

    第50章 (第1/3页)



      每一个员工都必须接受企业数据分类策略培训，包括那些并不经常使用计算机或企业通信系统的人。因为企业中的每一个人——包括清洁工、门卫、复印室职员、顾问和承包人，甚至是实习医生——都有可能访问敏感信息，任何人都能成为攻击的目标。

      管理层必须指定一个信息所有者负责公司目前正在使用的任何信息，信息所有者的职责之一就是保护信息资产。通常，所有者负责确定基于信息保护需要的分类等级，周期性地评估分类等级，并在必要的时候对其进行修改，信息所有者可能还会负责指定管理人员或其他人员来保护数据。

      分类类别与定义

      应当基于敏感程度将信息分成不同的分类等级。一旦建立了详细的分类系统，重新分类信息将十分昂贵和费时。在我们的策略范例中，我选择了4个适合几乎所有大中型企业的分类等级。依靠敏感信息的编号和分类，商业公司可以选择增加更多分类以适应将来的特殊类型。在小型商业公司，三个等级的分类方案可能就够了。记住——分类方案越复杂，企业培训员工和执行方案的费用就越高。

      机密是最敏感的信息分类，机密信息只能在企业内部使用。在大多数情况下，机密信息只能让少数有必要知道的人访问。机密信息的泄漏会严重影响到公司（股东、商业伙伴和（或）客户）。机密信息通常包括以下内容：

      商业机密信息、私有源代码、技术或规格说明书、能被竞争者利用的产品信息。

      并不公开的销售和财政信息。

      关系到公司运转的其它任何信息，比如商业战略前景。

      私有是仅在企业内部使用的个人信息分类。如果未授权的人（尤其是社会工程师）获得了私有信息，员工和公司都将受到严重影响。私有信息内容包括：员工病历、健康补助、银行帐户、加薪历史，和其它任何没有公共存档的个人识别信息。

      注释：

      内部信息分类通常由安全人员设定，我使用了“内部”这个词，因为这是分类使用的范围。我列出的这些敏感分类并不是详细的安全等级，而是查阅机密、私有和内部信息的快捷方式，用另一句话说，敏感程度涉及到了任何没有指定为公共权限的公司信息。

      内部信息分类能提供给任何受雇于企业的员工。通常，内部信息的泄漏不会对公司（股东、商业伙伴、客户或员工）造成严重影响，但是，熟悉社会工程学技能的人能用这些信息伪装成一个已授权的员工、承包人或者厂商，从没有丝毫怀疑的员工那里获得更多敏感信息突破企业计算机系统的访问限制。

      必须在传递内部信息给第三方（提供商、承包人、合作公司等等）之前与其签署一份保密协议。内部信息通常包括任何在日常工作中使用的、不能让外部人员知道的信息，比如企业机构图、网络拨号号码、内部系统名、远程访问程序、核心代码成本、等等。

      公共信息被明确规定为公共可用。这种信息类型，比如新闻稿、客服联系

    （本章未完，请点击下一页继续阅读）