七種武器保障數據安全

摘要：隨著信息化進程發展，各種信息化技術和係統的廣泛應用，數據的數量成幾何級增長，現階段信息安全的重心，不再局限於係統本身的安全，而應該更多地關注數據的安全。在信息化水平已經很高的今天，有哪些技術手段可以防止數據流失呢？筆者經過大量市場調查研究，提供以下七種武器，足以保證您的數據安全。

隨著信息化進程發展，各種信息化技術和係統的廣泛應用，數據的數量成幾何級增長，現階段信息安全的重心，不再局限於係統本身的安全，而應該更多地關注數據的安全。數據安全不是一個新鮮的話題。從早期的防止DDOS攻擊、木馬、病毒、蠕蟲入侵，從防火牆、入侵檢測設備、網關等硬件設備的使用，到現在的加密軟件的廣泛使用，整個信息化過程中都伴隨著數據安全的問題。在信息化水平已經很高的今天，有哪些技術手段可以防止數據流失呢？筆者經過大量市場調查研究，提供以下七種武器，足以保證您的數據安全。

第一種武器：透明加密軟件
這裏指的加密軟件，不是網絡上可以隨意下載的那種免費的個人級加密軟件。我們通常可以在各種軟件下載網站，下載諸如文件夾加密超級大師、加密王之類的加密軟件，這些軟件只是“僞加密”，很容易被菜鳥級的計算機用戶破解，而且經常發生文件被破壞無法恢複，非常不安全。
企業用戶裏的研發部門、設計部門等核心部門，每天産生大量的源代碼、平面設計圖、電路設計圖、3D圖、或者是音頻視頻文件，這些文件需要在産生、使用、存儲和流轉過程中進行加密處理。這就需要使用企業級“透明加密軟件”。這種軟件在國內已經相當成熟，以Smartsec軟件等爲代表。
Smartsec是針對內部信息泄密，對數據進行強制加密/解密的軟件産品。該係統在不改變用戶使用習慣、計算機文件格式和應用程序的情況下，采取“驅動級透明動態加解密技術”，對指定類型的文件進行實時、強制、透明的加解密。即在正常使用時，計算機內存中的文件是以受保護的明文形式存放，但硬盤上保存的數據卻是加密狀態。如果沒有合法的使用身份、訪問權限、正確的安全通道，所有加密文件都是以密文狀態保存。所有通過非法途徑獲得的數據，都以亂碼文件形式表現。

第二種武器：文檔權限管理軟件
對於個人級的用戶，可以利用Windows Rights Management Services(權限管理服務,簡稱 RMS)，以及Office版本中的信息權限管理(Information Rights Management，IRM)來防止用戶利用轉發、複制等手段濫用你發給他們的電子郵件消息和Office文檔（主要是Word、 Excel、 PowerPoint）。國外企業通常所用的DRM（Data  Rights Management）手段大抵如此。對企業級的用戶來說，這種權限管理是相當業余的，而且最大的問題是，這種權限管理是沒有對數據本身進行高強度的加密。采用這樣的權限管理，做不到真正細粒度的權限劃分，是一種非常粗放的管理手段，數據泄露是不可避免的。
對企業級用戶來說，對文檔的權限管理需要采用專業的權限管理係統。以億賽通文檔權限管理係統爲例，這是針對企業用戶可控、授權的電子文檔安全共享管理係統。該係統采用“驅動級透明動態加解密技術”和實時權限回收技術，對通用類型的電子文檔進行加密保護，且能對加密文檔進行細分化的權限設置，確保機密信息在授權的應用環境中、指定時間內、進行指定操作，不同使用者對“同一文檔”擁有“不同權限”。 通過對文檔內容級的安全保護，實現機密信息分密級且分權限的內部安全共享機制。

第三種武器：文檔外發管理係統
對那些經常需要把文檔發送給合作夥伴或者是出差人員的企業來說，如果把文檔發給外部單位之後，就放任不管，必然有造成重大機密泄露的風險。爲了防範文檔外發之後造成泄密的風險，采用文檔外發管理係統是目前最有效的手段，
目前這種文檔外發管理軟件産品比較多。億賽通文檔外發管理係統是比較出色的一種。億賽通文檔外發管理係統是針對客戶的重要信息或核心資料外發安全需求設計的一款外發安全管理解決方案。當客戶要將重要文檔外發給客戶的出差人員、合作夥伴或客戶時，應用文檔外發管理程序打包生成外發文件發出。當外發文件打開時，需通過用戶身份認證，方可閱讀文件。同時，外發文件可以限定接收者的閱讀次數和使用時間等細粒度權限，從而有效防止了客戶重要信息被非法擴散。

第四種武器：磁盤全盤加密係統
在出差、旅行途中，我們的筆記本丟失，或者筆記本電腦在運輸中、在家裏或者停放的汽車裏被盜，或者筆記本電腦在維修……這些情況下，如何保護筆記本電腦上的數據安全？
磁盤全盤加密係統對磁盤或分區上的數據進行動態加密和解密操作。在電腦關機的狀態下，硬盤中存儲的數據均被做了加密處理，沒有用戶本人輸入密鑰，他人無法獲得硬盤上的加密數據，從而防止筆記本電腦數據泄露。這種係統已經相當成熟，在國內外普遍使用。

第五種武器：移動設備管理係統
在單位內部，如果任由U盤、移動硬盤、軟盤或者光盤等移動設備隨意使用，很可能造成病毒感染和泛濫；移動存儲設備一旦無意丟失，存儲在裏面的大量敏感數據很可能造成泄密；內部人員可能用移動設備將單位內部核心資料拷貝帶走，造成單位核心數據暴露在競爭對手面……移動設備是數據安全最大的威脅之一，如何防範移動存儲介質可能導致的危險？
針對移動設備的安全，應采用移動設備管理係統來保障。市面上類似的産品很多，在選擇此類産品時，應該關注以下功能：1、注冊機制。未經注冊的移動存儲介質不能在受管理的計算機係統中使用； 2、移動存儲介質控制方法要多樣化。對注冊策略和信息，對未注冊的移動存儲介質等等；3、控制共享範圍，4、要有審計記錄，包括注冊信息、使用信息和文件操作信息，並提供豐富的審計報告。

第六種武器：文檔安全網關
通常，重要文檔都存放在服務器上，采用集中管理的方式進行文檔管理，那要防止客戶端通過內網連接到服務器上下載機密文檔，有什麽辦法可以解決這個問題嗎？
目前有許多廠商都已推出網絡存取控制（NAC—Network Access Control）機制，從網關器下手，避免員工利用軟件規避由內穿透企業防火牆的，此種以過濾的方法，都有一個共通的不足之處，那就是必須透過特征來判斷連結的流量是否有異，但是偏偏自由門、Tor等代理軟件，種類過多，又更新快速，在防堵內部員工使用此類軟件穿透防火牆時，總是有未逮之處，例如如果封包內容加密，或是新版本的代理軟件出現，都很有可能無法偵測出。 而EIM産品雖然能夠控管員工的上網行爲，設立政策分類管理，並且有效的阻斷聯機，但當員工使用代理軟件試圖穿透其防範時，此類産品也會有特征更新的問題。整體來說，使用此類産品來防範員工穿透防火牆，還是有一定的減輕效果，但無法像從終端著手來得全面。
還有用戶采用微軟的AD群組原則管理。AD的群組原則控管確實能達到很大的功效。將終端計算機的管理權限收回，然後再進而設定相對應的管理政策。透過群組原則可以將終端計算機安裝軟件的權限關閉，就無法透過代理軟件試圖穿透防火牆，自然只能遵循企業的政策連網。但是這樣的做法對於使用者來說會造成很大的不便，並不是所有的企業都能適用。
以上兩種方法雖然有其可取之處，但是對於用戶來講，仍然是不安全的。最理想的解決辦法，是采用文檔安全網關。以億賽通文檔安全網關NetSec爲例，NetSec由硬件和軟件兩大部分組成，其中硬件采用高性能的網絡服務器，軟件爲億賽通研發的文檔安全網關軟件。文檔安全網關軟件由“網絡加速”、“訪問控制”、“訪問日志”和“動態加解密”四大模塊組成。NetSec對所有上傳到服務器的文檔自動進行解密，對所有從服務器下載的文檔自動進行加密。通過對文檔進出服務器進行強制管理，能徹底保護服務器上的文檔安全。

第七種武器：數據泄露防護（DLP）體係
對於大型企業，或者是政府、醫院、學校等公共機構，內部網絡産生的海量數據，采用單一的解決辦法，已經無法保證安全。針對目前越演越烈的數據泄露，已經有完整的DLP解決方案。目前國外主流的DLP廠商Reconnex，（被McAfee收購），另外還有Verdasys、Vericept、 Websense、RSA（被EMC收購）和 Symantec等。國內著名的DLP廠商有北京億賽通。

采用DLP解決方案，通常要考慮從以下幾個方面著手：
首先，要考慮單位內部的網絡連接狀況。如果內網與外網連接，則關注網絡訪問權限的設定、端口的設置等，采用基於網絡的DLP解決方案，如果內網外網完全隔離，則選擇基於主機的DLP解決方案，重點放在對終端數據産生、傳輸、轉移、存儲等操作進行監控、阻止的策略來進行數據泄露防護。
其次，對內部的核心數據進行分類，可采用等級保護的方法，對此類數據實現加密並有訪問權限的策略設定。諸如源代碼、産品設計圖、財務信息、客戶資料等核心數據和其他數據就應該定義爲高等級保護，該類數據丟失的風險也爲最高。
第三，明確設置策略和工作流程。采用等級保護之後，單位需要設計出相應的數據管理流程來對這些核心機密數據的動向、使用和訪問行爲進行嚴密監控。在數據被非法使用時候，可在第一時間內對異常行爲做出反應，並有詳細的日志審計制度，避免數據的泄露。
最後，采用制度加技術的雙重保險，保護數據安全。通過安全意識教育，強化員工的風險意識，實際操作培訓等使員工自覺遵守相關的策略。只有管理與技術相結合，才能做到真正的數據安全。

透明加密軟件真是特別