七種武器保障資料安全

隨著資訊化程序發展，各種資訊化技術和系統的廣泛應用，資料的數量成幾何級增長，現階段資訊保安的重心，不再侷限於系統本身的安全，而應該更多地關注資料的安全。資料安全不是一個新鮮的話題。從早期的防止DDOS攻擊、木馬、病毒、蠕蟲入侵，從防火牆、入侵檢測裝置、閘道器等硬體裝置的使用，到現在的加密軟體的廣泛使用，整個資訊化過程中都伴隨著資料安全的問題。在資訊化水平已經很高的今天，有哪些技術手段可以防止資料流失呢？筆者經過大量市場調查研究，提供以下七種武器，足以保證您的資料安全。

　　第一種武器：透明加密軟體

　　這裡指的加密軟體，不是網路上可以隨意下載的那種免費的個人級加密軟體。我們通常可以在各種軟體下載網站，下載諸如資料夾加密超級大師、加密王之類的加密軟體，這些軟體只是“偽加密”，很容易被菜鳥級的計算機使用者破解，而且經常發生檔案被破壞無法恢復，非常不安全。

　　企業使用者裡的研發部門、設計部門等核心部門，每天產生大量的原始碼、平面設計圖、電路設計圖、3D圖、或者是音訊視訊檔案，這些檔案需要在產生、使用、儲存和流轉過程中進行加密處理。這就需要使用企業級“透明加密軟體”。這種軟體在國內已經相當成熟，以Smartsec軟體等為代表。

　　Smartsec是針對內部資訊洩密，對資料進行強制加密/解密的軟體產品。該系統在不改變使用者使用習慣、計算機檔案格式和應用程式的情況下，採取“驅動級透明動態加解密技術”，對指定型別的檔案進行實時、強制、透明的加解密。即在正常使用時，計算機記憶體中的檔案是以受保護的明文形式存放，但硬碟上儲存的資料卻是加密狀態。如果沒有合法的使用身份、訪問許可權、正確的安全通道，所有加密檔案都是以密文狀態儲存。所有通過非法途徑獲得的資料，都以亂碼檔案形式表現。

　　第二種武器：文件許可權管理軟體

　　對於個人級的使用者，可以利用Windows Rights Management Services許可權管理服務,簡稱 RMS，以及Office版本中的資訊許可權管理Information Rights Management，IRM來防止使用者利用轉發、複製等手段濫用你發給他們的電子郵件訊息和Office文件（主要是Word、 Excel、 PowerPoint）。國外企業通常所用的DRM（Data　Rights Management）手段大抵如此。對企業級的使用者來說，這種許可權管理是相當業餘的，而且最大的問題是，這種許可權管理是沒有對資料本身進行高強度的加密。採用這樣的許可權管理，做不到真正細粒度的許可權劃分，是一種非常粗放的管理手段，資料洩露是不可避免的。

　　對企業級使用者來說，對文件的許可權管理需要採用專業的許可權管理系統。以億賽通文件許可權管理系統為例，這是針對企業使用者可控、授權的電子文件安全共享管理系統。該系統採用“驅動級透明動態加解密技術”和實時許可權回收技術，對通用型別的電子文件進行加密保護，且能對加密文件進行細分化的許可權設定，確保機密資訊在授權的應用環境中、指定時間內、進行指定操作，不同使用者對“同一文件”擁有“不同許可權”。通過對文件內容級的安全保護，實現機密資訊分密級且分許可權的內部安全共享機制。

　　第三種武器：文件外發管理系統

　　對那些經常需要把文件傳送給合作伙伴或者是出差人員的企業來說，如果把文件發給外部單位之後，就放任不管，必然有造成重大機密洩露的風險。為了防範文件外發之後造成洩密的風險，採用文件外發管理系統是目前最有效的手段，

目前這種文件外發管理軟體產品比較多。億賽通文件外發管理系統是比較出色的一種。億賽通文件外發管理系統是針對客戶的重要資訊或核心資料外發安全需求設計的一款外發安全管理解決方案。當客戶要將重要文件外發給客戶的出差人員、合作伙伴或客戶時，應用文件外發管理程式打包生成外發檔案發出。當外發檔案開啟時，需通過使用者身份認證，方可閱讀檔案。同時，外發檔案可以限定接收者的閱讀次數和使用時間等細粒度許可權，從而有效防止了客戶重要資訊被非法擴散。

　　第四種武器：磁碟全盤加密系統

　　在出差、旅行途中，我們的筆記本丟失，或者膝上型電腦在運輸中、在家裡或者停放的汽車裡被盜，或者膝上型電腦在維修……這些情況下，如何保護膝上型電腦上的資料安全？

磁碟全盤加密系統對磁碟或分割槽上的資料進行動態加密和解密操作。在電腦關機的狀態下，硬碟中儲存的資料均被做了加密處理，沒有使用者本人輸入金鑰，他人無法獲得硬碟上的加密資料，從而防止膝上型電腦資料洩露。這種系統已經相當成熟，在國內外普遍使用。如下表：

產品名稱	廠商國別	HDD加密	備註
ProtectDrive	美國	●	全球第七大安全公司Safenet
SafeBoot	荷蘭	●	被McAfee併購
PointSec	瑞典	●	被CheckPoint併購
SecureDoc	加拿大	●
CompuSec	新加坡	●
DiskSec	中國	●	北京億賽通——中國專業資料洩露防護（DLP）產品提供商

　　對中國國內使用者來說，最理想的選擇是採用DiskSec磁碟全盤加密系統。

　　第五種武器：移動裝置管理系統

　　在單位內部，如果任由U盤、行動硬碟、軟盤或者光碟等移動裝置隨意使用，很可能造成病毒感染和氾濫；移動儲存裝置一旦無意丟失，儲存在裡面的大量敏感資料很可能造成洩密；內?a href='//' target='_blank'>咳嗽笨贍苡靡貧?璞附?ノ荒誆亢誦淖柿峽獎創?擼?斐傻ノ緩誦氖?荼┞對誥赫?允置?hellip;…移動裝置是資料安全最大的威脅之一，如何防範移動儲存介質可能導致的危險？

　　針對移動裝置的安全，應採用移動裝置管理系統來保障。市面上類似的產品很多，在選擇此類產品時，應該關注以下功能：1、註冊機制。未經註冊的移動儲存介質不能在受管理的計算機系統中使用； 2、移動儲存介質控制方法要多樣化。對註冊策略和資訊，對未註冊的移動儲存介質等等；3、控制共享範圍，4、要有審計記錄，包括註冊資訊、使用資訊和檔案操作資訊，並提供豐富的審計報告。

　　第六種武器：文件安全閘道器

　　通常，重要文件都存放在伺服器上，採用集中管理的方式進行文件管理，那要防止客戶端通過內網連線到伺服器上下載機密文件，有什麼辦法可以解決這個問題嗎？

　　目前有許多廠商都已推出網路存取控制（NAC—Network Access Control）機制，從閘道器器下手，避免員工利用軟體規避由內穿透企業防火牆的，此種以過濾的方法，都有一個共通的不足之處，那就是必須透過特徵來判斷連結的流量是否有異，但是偏偏自由門、Tor等代理軟體，種類過多，又更新快速，在防堵內部員工使用此類軟體穿透防火牆時，總是有未逮之處，例如如果封包內容加密，或是新版本的代理軟體出現，都很有可能無法偵測出。而EIM產品雖然能夠控管員工的上網行為，設立政策分類管理，並且有效的阻斷聯機，但當員工使用代理軟體試圖穿透其防範時，此類產品也會有特徵更新的問題。整體來說，使用此類產品來防範員工穿透防火牆，還是有一定的減輕效果，但無法像從終端著手來得全面。

　　還有使用者採用微軟的AD群組原則管理。AD的群組原則控管確實能達到很大的功效。將終端計算機的管理許可權收回，然後再進而設定相對應的管理政策。透過群組原則可以將終端計算機安裝軟體的許可權關閉，就無法透過代理軟體試圖穿透防火牆，自然只能遵循企業的政策連網。但是這樣的做法對於使用者來說會造成很大的不便，並不是所有的企業都能適用。

　　以上兩種方法雖然有其可取之處，但是對於使用者來講，仍然是不安全的。最理想的解決辦法，是採用文件安全閘道器。以億賽通文件安全閘道器NetSec為例，NetSec由硬體和軟體兩大部分組成，其中硬體採用高效能的網路伺服器，軟體為億賽通研發的文件安全閘道器軟體。文件安全閘道器軟體由“網路加速”、“訪問控制”、“訪問日誌”和“動態加解密”四大模組組成。NetSec對所有上傳到伺服器的文件自動進行解密，對所有從伺服器下載的文件自動進行加密。通過對文件進出伺服器進行強制管理，能徹底保護伺服器上的文件安全。

　　第七種武器：資料洩露防護（DLP）體系

　　對於大型企業，或者是政府、醫院、學校等公共機構，內部網路產生的海量資料，採用單一的解決辦法，已經無法保證安全。針對目前越演越烈的資料洩露，已經有完整的DLP解決方案。目前國外主流的DLP廠商Reconnex，（被McAfee收購），另外還有Verdasys、Vericept、 Websense、RSA（被EMC收購）和 Symantec等。國內著名的DLP廠商有北京億賽通。

　　採用DLP解決方案，通常要考慮從以下幾個方面著手：

　　首先，要考慮單位內部的網路連線狀況。如果內網與外網連線，則關注網路訪問許可權的設定、埠的設定等，採用基於網路的DLP解決方案，如果內網外網完全隔離，則選擇基於主機的DLP解決方案，重點放在對終端資料產生、傳輸、轉移、儲存等操作進行監控、阻止的策略來進行資料洩露防護。

　　其次，對內部的核心資料進行分類，可採用等級保護的方法，對此類資料實現加密並有訪問許可權的策略設定。諸如原始碼、產品設計圖、財務資訊、客戶資料等核心資料和其他資料就應該定義為高等級保護，該類資料丟失的風險也為最高。

　　第三，明確設定策略和工作流程。採用等級保護之後，單位需要設計出相應的資料管理流程來對這些核心機密資料的動向、使用和訪問行為進行嚴密監控。在資料被非法使用時候，可在第一時間內對異常行為做出反應，並有詳細的日誌審計制度，避免資料的洩露。

　　最後，採用制度加技術的雙重保險，保護資料安全。通過安全意識教育，強化員工的風險意識，實際操作培訓等使員工自覺遵守相關的策略。只有管理與技術相結合，才能做到真正的資料安全