七種武器保障數(shù)據(jù)安全

2011-03-14 10:46:00

摘自:計世網(wǎng)

隨著信息化進程發(fā)展,各種信息化技術(shù)和系統(tǒng)的廣泛應(yīng)用,數(shù)據(jù)的數(shù)量成幾何級增長,現(xiàn)階段信息安全的重心,不再局限于系統(tǒng)本身的安全,而應(yīng)該更多地關(guān)注數(shù)據(jù)的安全。

隨著信息化進程發(fā)展,各種信息化技術(shù)和系統(tǒng)的廣泛應(yīng)用,數(shù)據(jù)的數(shù)量成幾何級增長,現(xiàn)階段信息安全的重心,不再局限于系統(tǒng)本身的安全,而應(yīng)該更多地關(guān)注數(shù)據(jù)的安全。數(shù)據(jù)安全不是一個新鮮的話題。從早期的防止DDOS攻擊、木馬、病毒、蠕蟲入侵,從防火墻、入侵檢測設(shè)備、網(wǎng)關(guān)等硬件設(shè)備的使用,到現(xiàn)在的加密軟件的廣泛使用,整個信息化過程中都伴隨著數(shù)據(jù)安全的問題。在信息化水平已經(jīng)很高的今天,有哪些技術(shù)手段可以防止數(shù)據(jù)流失呢?筆者經(jīng)過大量市場調(diào)查研究,提供以下七種武器,足以保證您的數(shù)據(jù)安全。

第一種武器:透明加密軟件

這里指的加密軟件,不是網(wǎng)絡(luò)上可以隨意下載的那種免費的個人級加密軟件。我們通??梢栽诟鞣N軟件下載網(wǎng)站,下載諸如文件夾加密超級大師、加密王之類的加密軟件,這些軟件只是“偽加密”,很容易被菜鳥級的計算機用戶破解,而且經(jīng)常發(fā)生文件被破壞無法恢復(fù),非常不安全。

企業(yè)用戶里的研發(fā)部門、設(shè)計部門等核心部門,每天產(chǎn)生大量的源代碼、平面設(shè)計圖、電路設(shè)計圖、3D圖、或者是音頻視頻文件,這些文件需要在產(chǎn)生、使用、存儲和流轉(zhuǎn)過程中進行加密處理。這就需要使用企業(yè)級“透明加密軟件”。這種軟件在國內(nèi)已經(jīng)相當(dāng)成熟,以Smartsec軟件等為代表。

第二種武器:文檔權(quán)限管理軟件

對于個人級的用戶,可以利用Windows Rights Management Services(權(quán)限管理服務(wù),簡稱 RMS),以及Office版本中的信息權(quán)限管理(Information Rights Management,IRM)來防止用戶利用轉(zhuǎn)發(fā)、復(fù)制等手段濫用你發(fā)給他們的電子郵件消息和Office文檔(主要是Word、 Excel、 PowerPoint)。國外企業(yè)通常所用的DRM(Data Rights Management)手段大抵如此。對企業(yè)級的用戶來說,這種權(quán)限管理是相當(dāng)業(yè)余的,而且最大的問題是,這種權(quán)限管理是沒有對數(shù)據(jù)本身進行高強度的加密。采用這樣的權(quán)限管理,做不到真正細粒度的權(quán)限劃分,是一種非常粗放的管理手段,數(shù)據(jù)泄露是不可避免的。

對企業(yè)級用戶來說,對文檔的權(quán)限管理需要采用專業(yè)的權(quán)限管理系統(tǒng)。以億賽通文檔權(quán)限管理系統(tǒng)為例,這是針對企業(yè)用戶可控、授權(quán)的電子文檔安全共享管理系統(tǒng)。該系統(tǒng)采用“驅(qū)動級透明動態(tài)加解密技術(shù)”和實時權(quán)限回收技術(shù),對通用類型的電子文檔進行加密保護,且能對加密文檔進行細分化的權(quán)限設(shè)置,確保機密信息在授權(quán)的應(yīng)用環(huán)境中、指定時間內(nèi)、進行指定操作,不同使用者對“同一文檔”擁有“不同權(quán)限”。 通過對文檔內(nèi)容級的安全保護,實現(xiàn)機密信息分密級且分權(quán)限的內(nèi)部安全共享機制。

第三種武器:文檔外發(fā)管理系統(tǒng)

對那些經(jīng)常需要把文檔發(fā)送給合作伙伴或者是出差人員的企業(yè)來說,如果把文檔發(fā)給外部單位之后,就放任不管,必然有造成重大機密泄露的風(fēng)險。為了防范文檔外發(fā)之后造成泄密的風(fēng)險,采用文檔外發(fā)管理系統(tǒng)是目前最有效的手段,

目前這種文檔外發(fā)管理軟件產(chǎn)品比較多。億賽通文檔外發(fā)管理系統(tǒng)是比較出色的一種。億賽通文檔外發(fā)管理系統(tǒng)是針對客戶的重要信息或核心資料外發(fā)安全需求設(shè)計的一款外發(fā)安全管理解決方案。當(dāng)客戶要將重要文檔外發(fā)給客戶的出差人員、合作伙伴或客戶時,應(yīng)用文檔外發(fā)管理程序打包生成外發(fā)文件發(fā)出。當(dāng)外發(fā)文件打開時,需通過用戶身份認證,方可閱讀文件。同時,外發(fā)文件可以限定接收者的閱讀次數(shù)和使用時間等細粒度權(quán)限,從而有效防止了客戶重要信息被非法擴散。

第四種武器:磁盤全盤加密系統(tǒng)

在出差、旅行途中,我們的筆記本丟失,或者筆記本電腦在運輸中、在家里或者停放的汽車里被盜,或者筆記本電腦在維修……這些情況下,如何保護筆記本電腦上的數(shù)據(jù)安全?

磁盤全盤加密系統(tǒng)對磁盤或分區(qū)上的數(shù)據(jù)進行動態(tài)加密和解密操作。在電腦關(guān)機的狀態(tài)下,硬盤中存儲的數(shù)據(jù)均被做了加密處理,沒有用戶本人輸入密鑰,他人無法獲得硬盤上的加密數(shù)據(jù),從而防止筆記本電腦數(shù)據(jù)泄露。這種系統(tǒng)已經(jīng)相當(dāng)成熟,在國內(nèi)外普遍使用。如下表:

產(chǎn)品名稱 廠商國別 HDD加密 備注

ProtectDrive 美國 ● 全球第七大安全公司Safenet

SafeBoot 荷蘭 ● 被McAfee并購

PointSec 瑞典 ● 被CheckPoint并購

SecureDoc 加拿大 ●

CompuSec 新加坡 ●

DiskSec 中國 ● 北京億賽通——中國專業(yè)數(shù)據(jù)泄露防護(DLP)產(chǎn)品提供商

對中國國內(nèi)用戶來說,最理想的選擇是采用DiskSec磁盤全盤加密系統(tǒng)。

第五種武器:移動設(shè)備管理系統(tǒng)

在單位內(nèi)部,如果任由U盤、移動硬盤、軟盤或者光盤等移動設(shè)備隨意使用,很可能造成病毒感染和泛濫;移動存儲設(shè)備一旦無意丟失,存儲在里面的大量敏感數(shù)據(jù)很可能造成泄密;內(nèi)部人員可能用移動設(shè)備將單位內(nèi)部核心資料拷貝帶走,造成單位核心數(shù)據(jù)暴露在競爭對手面……移動設(shè)備是數(shù)據(jù)安全最大的威脅之一,如何防范移動存儲介質(zhì)可能導(dǎo)致的危險?

針對移動設(shè)備的安全,應(yīng)采用移動設(shè)備管理系統(tǒng)來保障。市面上類似的產(chǎn)品很多,在選擇此類產(chǎn)品時,應(yīng)該關(guān)注以下功能:1、注冊機制。未經(jīng)注冊的移動存儲介質(zhì)不能在受管理的計算機系統(tǒng)中使用; 2、移動存儲介質(zhì)控制方法要多樣化。對注冊策略和信息,對未注冊的移動存儲介質(zhì)等等;3、控制共享范圍,4、要有審計記錄,包括注冊信息、使用信息和文件操作信息,并提供豐富的審計報告。

第六種武器:文檔安全網(wǎng)關(guān)

通常,重要文檔都存放在服務(wù)器上,采用集中管理的方式進行文檔管理,那要防止客戶端通過內(nèi)網(wǎng)連接到服務(wù)器上下載機密文檔,有什么辦法可以解決這個問題嗎?

目前有許多廠商都已推出網(wǎng)絡(luò)存取控制(NAC—Network Access Control)機制,從網(wǎng)關(guān)器下手,避免員工利用軟件規(guī)避由內(nèi)穿透企業(yè)防火墻的,此種以過濾的方法,都有一個共通的不足之處,那就是必須透過特征來判斷連結(jié)的流量是否有異,但是偏偏自由門、Tor等代理軟件,種類過多,又更新快速,在防堵內(nèi)部員工使用此類軟件穿透防火墻時,總是有未逮之處,例如如果封包內(nèi)容加密,或是新版本的代理軟件出現(xiàn),都很有可能無法偵測出。 而EIM產(chǎn)品雖然能夠控管員工的上網(wǎng)行為,設(shè)立政策分類管理,并且有效的阻斷聯(lián)機,但當(dāng)員工使用代理軟件試圖穿透其防范時,此類產(chǎn)品也會有特征更新的問題。整體來說,使用此類產(chǎn)品來防范員工穿透防火墻,還是有一定的減輕效果,但無法像從終端著手來得全面。

還有用戶采用微軟的AD群組原則管理。AD的群組原則控管確實能達到很大的功效。將終端計算機的管理權(quán)限收回,然后再進而設(shè)定相對應(yīng)的管理政策。透過群組原則可以將終端計算機安裝軟件的權(quán)限關(guān)閉,就無法透過代理軟件試圖穿透防火墻,自然只能遵循企業(yè)的政策連網(wǎng)。但是這樣的做法對于使用者來說會造成很大的不便,并不是所有的企業(yè)都能適用。

以上兩種方法雖然有其可取之處,但是對于用戶來講,仍然是不安全的。最理想的解決辦法,是采用文檔安全網(wǎng)關(guān)。以億賽通文檔安全網(wǎng)關(guān)NetSec為例,NetSec由硬件和軟件兩大部分組成,其中硬件采用高性能的網(wǎng)絡(luò)服務(wù)器,軟件為億賽通研發(fā)的文檔安全網(wǎng)關(guān)軟件。文檔安全網(wǎng)關(guān)軟件由“網(wǎng)絡(luò)加速”、“訪問控制”、“訪問日志”和“動態(tài)加解密”四大模塊組成。NetSec對所有上傳到服務(wù)器的文檔自動進行解密,對所有從服務(wù)器下載的文檔自動進行加密。通過對文檔進出服務(wù)器進行強制管理,能徹底保護服務(wù)器上的文檔安全。

第七種武器:數(shù)據(jù)泄露防護(DLP)體系

對于大型企業(yè),或者是政府、醫(yī)院、學(xué)校等公共機構(gòu),內(nèi)部網(wǎng)絡(luò)產(chǎn)生的海量數(shù)據(jù),采用單一的解決辦法,已經(jīng)無法保證安全。針對目前越演越烈的數(shù)據(jù)泄露,已經(jīng)有完整的DLP解決方案。目前國外主流的DLP廠商Reconnex,(被McAfee收購),另外還有Verdasys、Vericept、 Websense、RSA(被EMC收購)和 Symantec等。國內(nèi)著名的DLP廠商有北京億賽通。

采用DLP解決方案,通常要考慮從以下幾個方面著手:

首先,要考慮單位內(nèi)部的網(wǎng)絡(luò)連接狀況。如果內(nèi)網(wǎng)與外網(wǎng)連接,則關(guān)注網(wǎng)絡(luò)訪問權(quán)限的設(shè)定、端口的設(shè)置等,采用基于網(wǎng)絡(luò)的DLP解決方案,如果內(nèi)網(wǎng)外網(wǎng)完全隔離,則選擇基于主機的DLP解決方案,重點放在對終端數(shù)據(jù)產(chǎn)生、傳輸、轉(zhuǎn)移、存儲等操作進行監(jiān)控、阻止的策略來進行數(shù)據(jù)泄露防護。

其次,對內(nèi)部的核心數(shù)據(jù)進行分類,可采用等級保護的方法,對此類數(shù)據(jù)實現(xiàn)加密并有訪問權(quán)限的策略設(shè)定。諸如源代碼、產(chǎn)品設(shè)計圖、財務(wù)信息、客戶資料等核心數(shù)據(jù)和其他數(shù)據(jù)就應(yīng)該定義為高等級保護,該類數(shù)據(jù)丟失的風(fēng)險也為最高。

第三,明確設(shè)置策略和工作流程。采用等級保護之后,單位需要設(shè)計出相應(yīng)的數(shù)據(jù)管理流程來對這些核心機密數(shù)據(jù)的動向、使用和訪問行為進行嚴密監(jiān)控。在數(shù)據(jù)被非法使用時候,可在第一時間內(nèi)對異常行為做出反應(yīng),并有詳細的日志審計制度,避免數(shù)據(jù)的泄露。

最后,采用制度加技術(shù)的雙重保險,保護數(shù)據(jù)安全。通過安全意識教育,強化員工的風(fēng)險意識,實際操作培訓(xùn)等使員工自覺遵守相關(guān)的策略。只有管理與技術(shù)相結(jié)合,才能做到真正的數(shù)據(jù)安全。

Smartsec是針對內(nèi)部信息泄密,對數(shù)據(jù)進行強制加密/解密的軟件產(chǎn)品。該系統(tǒng)在不改變用戶使用習(xí)慣、計算機文件格式和應(yīng)用程序的情況下,采取“驅(qū)動級透明動態(tài)加解密技術(shù)”,對指定類型的文件進行實時、強制、透明的加解密。即在正常使用時,計算機內(nèi)存中的文件是以受保護的明文形式存放,但硬盤上保存的數(shù)據(jù)卻是加密狀態(tài)。如果沒有合法的使用身份、訪問權(quán)限、正確的安全通道,所有加密文件都是以密文狀態(tài)保存。所有通過非法途徑獲得的數(shù)據(jù),都以亂碼文件形式表現(xiàn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號