七種武器保障數(shù)據(jù)安全

隨著信息化進程發(fā)展，各種信息化技術和系統(tǒng)的廣泛應用，數(shù)據(jù)的數(shù)量成幾何級增長，現(xiàn)階段信息安全的重心，不再局限于系統(tǒng)本身的安全，而應該更多地關注數(shù)據(jù)的安全。數(shù)據(jù)安全不是一個新鮮的話題。從早期的防止DDOS攻擊、木馬、病毒、蠕蟲入侵，從防火墻、入侵檢測設備、網(wǎng)關等硬件設備的使用，到現(xiàn)在的加密軟件的廣泛使用，整個信息化過程中都伴隨著數(shù)據(jù)安全的問題。在信息化水平已經(jīng)很高的今天，有哪些技術手段可以防止數(shù)據(jù)流失呢？筆者經(jīng)過大量市場調(diào)查研究，提供以下七種武器，足以保證您的數(shù)據(jù)安全。

　　第一種武器：透明加密軟件

　　這里指的加密軟件，不是網(wǎng)絡上可以隨意下載的那種免費的個人級加密軟件。我們通常可以在各種軟件下載網(wǎng)站，下載諸如文件夾加密超級大師、加密王之類的加密軟件，這些軟件只是“偽加密”，很容易被菜鳥級的計算機用戶解除，而且經(jīng)常發(fā)生文件被破壞無法恢復，非常不安全。

　　企業(yè)用戶里的研發(fā)部門、設計部門等核心部門，每天產(chǎn)生大量的源代碼、平面設計圖、電路設計圖、3D圖、或者是音頻視頻文件，這些文件需要在產(chǎn)生、使用、存儲和流轉(zhuǎn)過程中進行加密處理。這就需要使用企業(yè)級“透明加密軟件”。這種軟件在國內(nèi)已經(jīng)相當成熟，以Smartsec軟件等為代表。

　　Smartsec是針對內(nèi)部信息泄密，對數(shù)據(jù)進行強制加密/解密的軟件產(chǎn)品。該系統(tǒng)在不改變用戶使用習慣、計算機文件格式和應用程序的情況下，采取“驅(qū)動級透明動態(tài)加解密技術”，對指定類型的文件進行實時、強制、透明的加解密。即在正常使用時，計算機內(nèi)存中的文件是以受保護的明文形式存放，但硬盤上保存的數(shù)據(jù)卻是加密狀態(tài)。如果沒有合法的使用身份、訪問權限、正確的安全通道，所有加密文件都是以密文狀態(tài)保存。所有通過非法途徑獲得的數(shù)據(jù)，都以亂碼文件形式表現(xiàn)。

　　第二種武器：文檔權限管理軟件

　　對于個人級的用戶，可以利用Windows Rights Management Services(權限管理服務,簡稱 RMS)，以及Office版本中的信息權限管理(Information Rights Management，IRM)來防止用戶利用轉(zhuǎn)發(fā)、復制等手段濫用你發(fā)給他們的電子郵件消息和Office文檔（主要是Word、 Excel、 PowerPoint）。國外企業(yè)通常所用的DRM（Data　Rights Management）手段大抵如此。對企業(yè)級的用戶來說，這種權限管理是相當業(yè)余的，而且最大的問題是，這種權限管理是沒有對數(shù)據(jù)本身進行高強度的加密。采用這樣的權限管理，做不到真正細粒度的權限劃分，是一種非常粗放的管理手段，數(shù)據(jù)泄露是不可避免的。

　　對企業(yè)級用戶來說，對文檔的權限管理需要采用專業(yè)的權限管理系統(tǒng)。以億賽通文檔權限管理系統(tǒng)為例，這是針對企業(yè)用戶可控、授權的電子文檔安全共享管理系統(tǒng)。該系統(tǒng)采用“驅(qū)動級透明動態(tài)加解密技術”和實時權限回收技術，對通用類型的電子文檔進行加密保護，且能對加密文檔進行細分化的權限設置，確保機密信息在授權的應用環(huán)境中、指定時間內(nèi)、進行指定操作，不同使用者對“同一文檔”擁有“不同權限”。 通過對文檔內(nèi)容級的安全保護，實現(xiàn)機密信息分密級且分權限的內(nèi)部安全共享機制。

　　第三種武器：文檔外發(fā)管理系統(tǒng)

　　對那些經(jīng)常需要把文檔發(fā)送給合作伙伴或者是出差人員的企業(yè)來說，如果把文檔發(fā)給外部單位之后，就放任不管，必然有造成重大機密泄露的風險。為了防范文檔外發(fā)之后造成泄密的風險，采用文檔外發(fā)管理系統(tǒng)是目前最有效的手段，

目前這種文檔外發(fā)管理軟件產(chǎn)品比較多。億賽通文檔外發(fā)管理系統(tǒng)是比較出色的一種。億賽通文檔外發(fā)管理系統(tǒng)是針對客戶的重要信息或核心資料外發(fā)安全需求設計的一款外發(fā)安全管理解決方案。當客戶要將重要文檔外發(fā)給客戶的出差人員、合作伙伴或客戶時，應用文檔外發(fā)管理程序打包生成外發(fā)文件發(fā)出。當外發(fā)文件打開時，需通過用戶身份認證，方可閱讀文件。同時，外發(fā)文件可以限定接收者的閱讀次數(shù)和使用時間等細粒度權限，從而有效防止了客戶重要信息被非法擴散。

　　第四種武器：磁盤全盤加密系統(tǒng)

　　在出差、旅行途中，我們的筆記本丟失，或者筆記本電腦在運輸中、在家里或者停放的汽車里被盜，或者筆記本電腦在維修……這些情況下，如何保護筆記本電腦上的數(shù)據(jù)安全？

磁盤全盤加密系統(tǒng)對磁盤或分區(qū)上的數(shù)據(jù)進行動態(tài)加密和解密操作。在電腦關機的狀態(tài)下，硬盤中存儲的數(shù)據(jù)均被做了加密處理，沒有用戶本人輸入密鑰，他人無法獲得硬盤上的加密數(shù)據(jù)，從而防止筆記本電腦數(shù)據(jù)泄露。這種系統(tǒng)已經(jīng)相當成熟，在國內(nèi)外普遍使用。如下表：

　　對中國國內(nèi)用戶來說，最理想的選擇是采用DiskSec磁盤全盤加密系統(tǒng)。

　　第五種武器：移動設備管理系統(tǒng)

　　在單位內(nèi)部，如果任由U盤、移動硬盤、軟盤或者光盤等移動設備隨意使用，很可能造成病毒感染和泛濫；移動存儲設備一旦無意丟失，存儲在里面的大量敏感數(shù)據(jù)很可能造成泄密；內(nèi)部人員可能用移動設備將單位內(nèi)部核心資料拷貝帶走，造成單位核心數(shù)據(jù)暴露在競爭對手面……移動設備是數(shù)據(jù)安全最大的威脅之一，如何防范移動存儲介質(zhì)可能導致的危險？

　　針對移動設備的安全，應采用移動設備管理系統(tǒng)來保障。市面上類似的產(chǎn)品很多，在選擇此類產(chǎn)品時，應該關注以下功能：1、注冊機制。未經(jīng)注冊的移動存儲介質(zhì)不能在受管理的計算機系統(tǒng)中使用； 2、移動存儲介質(zhì)控制方法要多樣化。對注冊策略和信息，對未注冊的移動存儲介質(zhì)等等；3、控制共享范圍，4、要有審計記錄，包括注冊信息、使用信息和文件操作信息，并提供豐富的審計報告。

　　第六種武器：文檔安全網(wǎng)關

　　通常，重要文檔都存放在服務器上，采用集中管理的方式進行文檔管理，那要防止客戶端通過內(nèi)網(wǎng)連接到服務器上下載機密文檔，有什么辦法可以解決這個問題嗎？

　　目前有許多廠商都已推出網(wǎng)絡存取控制（NAC—Network Access Control）機制，從網(wǎng)關器下手，避免員工利用軟件規(guī)避由內(nèi)穿透企業(yè)防火墻的，此種以過濾的方法，都有一個共通的不足之處，那就是必須透過特征來判斷連結(jié)的流量是否有異，但是偏偏自由門、Tor等代理軟件，種類過多，又更新快速，在防堵內(nèi)部員工使用此類軟件穿透防火墻時，總是有未逮之處，例如如果封包內(nèi)容加密，或是新版本的代理軟件出現(xiàn)，都很有可能無法偵測出。 而EIM產(chǎn)品雖然能夠控管員工的上網(wǎng)行為，設立政策分類管理，并且有效的阻斷聯(lián)機，但當員工使用代理軟件試圖穿透其防范時，此類產(chǎn)品也會有特征更新的問題。整體來說，使用此類產(chǎn)品來防范員工穿透防火墻，還是有一定的減輕效果，但無法像從終端著手來得全面。

　　還有用戶采用微軟的AD群組原則管理。AD的群組原則控管確實能達到很大的功效。將終端計算機的管理權限收回，然后再進而設定相對應的管理政策。透過群組原則可以將終端計算機安裝軟件的權限關閉，就無法透過代理軟件試圖穿透防火墻，自然只能遵循企業(yè)的政策連網(wǎng)。但是這樣的做法對于使用者來說會造成很大的不便，并不是所有的企業(yè)都能適用。

　　以上兩種方法雖然有其可取之處，但是對于用戶來講，仍然是不安全的。最理想的解決辦法，是采用文檔安全網(wǎng)關。以億賽通文檔安全網(wǎng)關NetSec為例，NetSec由硬件和軟件兩大部分組成，其中硬件采用高性能的網(wǎng)絡服務器，軟件為億賽通研發(fā)的文檔安全網(wǎng)關軟件。文檔安全網(wǎng)關軟件由“網(wǎng)絡加速”、“訪問控制”、“訪問日志”和“動態(tài)加解密”四大模塊組成。NetSec對所有上傳到服務器的文檔自動進行解密，對所有從服務器下載的文檔自動進行加密。通過對文檔進出服務器進行強制管理，能徹底保護服務器上的文檔安全。

　　第七種武器：數(shù)據(jù)泄露防護（DLP）體系

　　對于大型企業(yè)，或者是政府、醫(yī)院、學校等公共機構(gòu)，內(nèi)部網(wǎng)絡產(chǎn)生的海量數(shù)據(jù)，采用單一的解決辦法，已經(jīng)無法保證安全。針對目前越演越烈的數(shù)據(jù)泄露，已經(jīng)有完整的DLP解決方案。目前國外主流的DLP廠商Reconnex，（被McAfee收購），另外還有Verdasys、Vericept、 Websense、RSA（被EMC收購）和 Symantec等。國內(nèi)著名的DLP廠商有北京億賽通。

　　采用DLP解決方案，通常要考慮從以下幾個方面著手：

　　首先，要考慮單位內(nèi)部的網(wǎng)絡連接狀況。如果內(nèi)網(wǎng)與外網(wǎng)連接，則關注網(wǎng)絡訪問權限的設定、端口的設置等，采用基于網(wǎng)絡的DLP解決方案，如果內(nèi)網(wǎng)外網(wǎng)完全隔離，則選擇基于主機的DLP解決方案，重點放在對終端數(shù)據(jù)產(chǎn)生、傳輸、轉(zhuǎn)移、存儲等操作進行監(jiān)控、阻止的策略來進行數(shù)據(jù)泄露防護。

　　其次，對內(nèi)部的核心數(shù)據(jù)進行分類，可采用等級保護的方法，對此類數(shù)據(jù)實現(xiàn)加密并有訪問權限的策略設定。諸如源代碼、產(chǎn)品設計圖、財務信息、客戶資料等核心數(shù)據(jù)和其他數(shù)據(jù)就應該定義為高等級保護，該類數(shù)據(jù)丟失的風險也為最高。

　　第三，明確設置策略和工作流程。采用等級保護之后，單位需要設計出相應的數(shù)據(jù)管理流程來對這些核心機密數(shù)據(jù)的動向、使用和訪問行為進行嚴密監(jiān)控。在數(shù)據(jù)被非法使用時候，可在第一時間內(nèi)對異常行為做出反應，并有詳細的日志審計制度，避免數(shù)據(jù)的泄露。

　　最后，采用制度加技術的雙重保險，保護數(shù)據(jù)安全。通過安全意識教育，強化員工的風險意識，實際操作培訓等使員工自覺遵守相關的策略。只有管理與技術相結(jié)合，才能做到真正的數(shù)據(jù)安全