2011年已經(jīng)過去了將近一半，要說在這半年里面，IT屆最為轟動的事情有哪些，索尼的PSN用戶信息泄漏肯定榜上有名。此次索尼PSN在線被黑，受影響用戶多達(dá)7700萬人，涉及了全球的57個國家和地區(qū)。有報(bào)道認(rèn)為這是有史以來被公開的最嚴(yán)重的信息泄漏時間。索尼因此可能會損失數(shù)百億美元，并將面臨眾多訴訟。隨之而來的花旗銀行、IMF、美國聯(lián)邦政府等政府部門也難逃厄運(yùn)，紛紛被黑。而黑客攻擊這些網(wǎng)站的原因也很挑釁——看不慣政府的某些行為。暫且不說這些企業(yè)或政府機(jī)關(guān)的網(wǎng)絡(luò)安全措施是否齊全，以及帶來的損失有多巨大，這些事件最應(yīng)該讓讀者警醒的是如何保護(hù)自己的數(shù)據(jù)信息。

對于一個員工來說，或許想象不到他的一個鼠標(biāo)點(diǎn)擊動作就有可能為企業(yè)帶來巨大的損失。比如，發(fā)錯郵件、點(diǎn)擊了帶有木馬或后門的鏈接、下載了帶有惡意軟件的應(yīng)用等，這些日常的網(wǎng)上動作都給企業(yè)機(jī)密數(shù)據(jù)的泄漏帶來了可能。另外，智能手機(jī)、平板電腦日漸流行，企業(yè)網(wǎng)一般都是讓這些設(shè)備暢通無阻的接入內(nèi)部網(wǎng)絡(luò)，這也都是數(shù)據(jù)泄漏的可能途徑。

泄漏途徑多樣化

在十幾年前，一個企業(yè)面對的可能更多的是來自于網(wǎng)絡(luò)外部的共計(jì)，采用一個防火墻就可以起到良好的防護(hù)作用。但是，現(xiàn)在黑客已經(jīng)不僅僅局限于侵入你的網(wǎng)絡(luò)內(nèi)部，給你造成干擾，他們的目標(biāo)是竊取極具價(jià)值的數(shù)據(jù)。另外，面臨著接入網(wǎng)絡(luò)的終端類型的不斷豐富，對于這種網(wǎng)絡(luò)接入設(shè)備的管理日趨復(fù)雜，企業(yè)如何管理這些終端也是以后面臨的難題之一。綜合起來看，企業(yè)用戶面臨的數(shù)據(jù)泄漏途徑其實(shí)主要體現(xiàn)在以下幾個方面。

第一種是來自黑客的主動攻擊。不同于傳統(tǒng)的黑客攻擊，現(xiàn)在的黑客選擇攻擊對象時，越來 越具有目標(biāo)性。賽門鐵克中國區(qū)首席解決方案顧問林育民表示，目標(biāo)性攻擊與傳統(tǒng)的攻擊手法最大的差別是它不再是一槍打亂鳥，而是針對個別企業(yè)去專門設(shè)計(jì)。深信服科技安全產(chǎn)品總監(jiān)邱德文也表示，目前多數(shù)黑客以竊取數(shù)據(jù)和機(jī)密為目標(biāo)，就如最近發(fā)生的索尼事件也屬于這種類別。

另外，社交網(wǎng)絡(luò)的盛行也是惡意攻擊侵入企業(yè)網(wǎng)絡(luò)的一個途徑。Check Point北亞洲區(qū)地區(qū)總監(jiān)梁國賢表示：“現(xiàn)在，Web 2.0已經(jīng)成為一個不可或缺的商業(yè)工具，用戶在Web上沖浪、分享信息、下載文件、聊天、更新博客或觀看視頻的時間平均占每個工作天的1/4。”根據(jù)《經(jīng)濟(jì)學(xué)人》雜志的數(shù)據(jù)，最受歡迎的100個網(wǎng)站中有45%支持用戶生成內(nèi)容，其中60%被惡意軟件感染。這種惡意軟件有可能會長期潛伏在網(wǎng)絡(luò)中，獲取到足夠的資料之后，才會真正去發(fā)動比較嚴(yán)重的攻擊，往往這種攻擊帶來的損失也是巨大的。

上述來自黑客或其他病毒的入侵行為一度為企業(yè)造成了很大的困擾，現(xiàn)在其發(fā)展的速度也是越來越快，但事實(shí)上，在辦公室里，還隱藏著另外一個數(shù)據(jù)安全的風(fēng)險(xiǎn)。BlueCoat中國區(qū)高級產(chǎn)品經(jīng)理申強(qiáng)表示：“一種非常極端的方式就是企業(yè)員工惡意的偷竊，但這種情況占的比例是非常低的。”其實(shí)占據(jù)非常大比例的數(shù)據(jù)泄露方式是員工有意或者無意之中將機(jī)密信息發(fā)送出去了。

針對員工有意或無意的泄露數(shù)據(jù)的問題，受訪對象紛紛表示了自己的見解。梁國賢說：“Forrester Research曾指出，幾乎80%的數(shù)據(jù)丟失是無意造成的，它們主要是由員工疏忽或無意中違反了公司安全政策所致。例如，員工將機(jī)密文件誤發(fā)給和同事同名的其他人，或者使用基于網(wǎng)絡(luò)的P2P文件共享網(wǎng)站給商業(yè)伙伴發(fā)送大容量文件時，沒有仔細(xì)閱讀網(wǎng)站中‘用戶須知’等字樣，而導(dǎo)致上載文件后不知情地失去文件的擁有權(quán)和控制。”

針對員工泄露數(shù)據(jù)的問題，申強(qiáng)表示，員工有意的泄露數(shù)據(jù)時，一般都是不重視本公司的安全策略，認(rèn)為是無關(guān)緊要的信息而發(fā)送給外部的人員。另外一種是則通過郵件或其他通信工具誤發(fā)出去。Check Point銷售總監(jiān)張濤表示，除了這種通過郵件誤發(fā)出去和黑客的惡意偷竊之外，還有一部分比例是由于U盤、CD或者筆記本丟失造成隱秘?cái)?shù)據(jù)丟失。這也是一個DLP解決方案需要考慮的范疇。

對比上述的數(shù)據(jù)泄漏方式，林育民用兩個數(shù)字來說明危害情況。由黑客發(fā)動的主動攻擊平均每次會造成26萬個信息泄漏;而因?yàn)閱T工有意或者無意的盜竊或丟失平均每次會造成6.7萬個身份信息的泄漏。雖然黑客入侵一般會造成大量的數(shù)據(jù)泄漏，但是對于企業(yè)來說，發(fā)生頻率較高的，更多是員工有意或無意的泄漏，其中無意的泄漏幾乎每天都會上演。正如梁國賢所說的那樣，幾乎80%以上的企業(yè)數(shù)據(jù)泄漏是無意中造成的，邱德文和申強(qiáng)也都表示，無意的泄漏占據(jù)了最大比例。這是不是意味著，企業(yè)對于員工的管理將會帶來解決數(shù)據(jù)泄露的新契機(jī)呢?

警示信息必不可少

針對黑客帶來的惡意攻擊，企業(yè)完全可以通過技術(shù)手段來阻止他們的惡意攻擊，但是對于員工帶來的有意或者無意的數(shù)據(jù)泄露，企業(yè)該如何防范呢?正如申強(qiáng)所說的那樣：“你可以不讓員工用U盤拷，不讓他進(jìn)行打印，不讓他進(jìn)行截屏，但你能阻止他用手機(jī)拍照嗎?”是的，通過技術(shù)手段是無法完全阻止員工的這種行為的。既然數(shù)據(jù)已經(jīng)到達(dá)了員工的手上，就說明他對這些數(shù)據(jù)已經(jīng)有了知情權(quán)，同時，企業(yè)也應(yīng)該承擔(dān)數(shù)據(jù)泄露方面的風(fēng)險(xiǎn)。那就應(yīng)該這樣任由風(fēng)險(xiǎn)存在了嗎?其實(shí)剛才已經(jīng)說到，大部分的員工是無意泄漏了數(shù)據(jù)的，惡意偷竊的比例非常小。針對這種情況，對員工的教育與管理更加有效。

在試圖解決這類風(fēng)險(xiǎn)時，申強(qiáng)介紹了一個非常有趣的現(xiàn)象。一旦用戶有意或無意的要泄漏包含隱秘信息的數(shù)據(jù)時，如果有一個明顯的警示信息去提醒他，效果非常有效。如果只是通過技術(shù)手段去攔截包含隱秘信息的數(shù)據(jù)，據(jù)統(tǒng)計(jì)，用戶嘗試發(fā)送這些隱秘?cái)?shù)據(jù)的次數(shù)是不會減少的。相反，他會認(rèn)為是不是網(wǎng)絡(luò)不好?是不是發(fā)送的文件格式不對?然后繼續(xù)進(jìn)行發(fā)送。如果，用戶發(fā)送此類數(shù)據(jù)時，公司在用技術(shù)手段進(jìn)行攔截的同時，再給他一個警示說此類信息無法進(jìn)行發(fā)送，或者你發(fā)送的內(nèi)容屬于公司機(jī)密，這類數(shù)據(jù)發(fā)送的次數(shù)會下降很多。申強(qiáng)表示，這類解決方案是經(jīng)過證明的非常有效的方法，屬于BlueCoat的最佳實(shí)踐方案。

這種現(xiàn)象表明對于員工的警示和教育必不可少，梁國賢也表示，一個使用的DLP方案應(yīng)該在用戶發(fā)送可能導(dǎo)致數(shù)據(jù)丟失的郵件之前提醒他們。他說，安全策略不應(yīng)該只是技術(shù)層面，對人員的教育和管理往往會起到事半功倍的效果。因?yàn)橐粋€企業(yè)中，最難管理的往往是人員。

Web 2.0：一把雙刃劍

之所以將Web 2.0單獨(dú)拿出來說，是因?yàn)榛赪eb 2.0應(yīng)用的火熱程度已經(jīng)完全超越了安全措施的更新程度。企業(yè)正面臨日益增多、千奇百怪的新型互聯(lián)網(wǎng)威脅，例如惡意軟件、網(wǎng)絡(luò)釣魚、木馬程序和鍵盤記錄器。然而一個新趨勢是Web 2.0應(yīng)用程序及移動設(shè)備中的富媒體功能，將會使得隱蔽強(qiáng)迫下載及混合攻擊增加。例如，社交網(wǎng)站上的嵌入視頻及其連接成為了黑客頻繁植入惡意軟件的目標(biāo)。

Web 2.0已經(jīng)成為了一個不可或缺的商業(yè)工具，用戶在Web上沖浪、分享信息、下載文件、聊天、更新博客或觀看視頻等，這些事件平均占據(jù)每天工作時間的四分之一。無疑，Web2.0帶來了巨大的便利，但是目前的許多Web應(yīng)用都存有漏洞，但廠商卻卻沒有相關(guān)的防護(hù)措施。傳統(tǒng)的基于IP層的防火墻和URL過濾等工具在Web2.0的環(huán)境中顯得有點(diǎn)捉襟見肘，因此針對應(yīng)用層的安全防護(hù)就顯得尤其重要。

以深信服為例，作為一直關(guān)注應(yīng)用層安全的國內(nèi)廠商，在近幾年取得了持續(xù)增長的業(yè)績。歸根結(jié)底，是因?yàn)橛脩魧τ趹?yīng)用層防護(hù)的關(guān)注度越來越高。深信服的AC上網(wǎng)行為管理設(shè)備能夠?qū)T工訪問不當(dāng)網(wǎng)站造成的數(shù)據(jù)泄漏風(fēng)險(xiǎn)進(jìn)行防護(hù)，它能夠?qū)祚R網(wǎng)站、惡意插件、危險(xiǎn)腳本進(jìn)行過濾，還能夠識別出由網(wǎng)頁、郵件、文件傳輸?shù)榷丝诎l(fā)生的黑客行為等。

對癥下藥

對于員工帶來的惡意偷竊問題，雖然比例較低，但因?yàn)槠鋷淼膿p失往往也是巨大的，企業(yè)需要特別注意。申強(qiáng)表示，解決這類問題，需要對企業(yè)的數(shù)據(jù)進(jìn)行嚴(yán)格的權(quán)限劃分，什么人能夠訪問什么數(shù)據(jù)必須具有嚴(yán)格的審計(jì)流程，并且要有相關(guān)的訪問記錄。針對各種存儲設(shè)備的加密技術(shù)是一個完整DLP方案的必不可少的部分。例如，國內(nèi)專注于數(shù)據(jù)防泄漏的安全廠商虹安，就有專門針對筆記本電腦、移動設(shè)備、文檔、源代碼，以及U盤等的全面的解決方案，取得了國內(nèi)大批用戶的信任。另外，Check Point的媒介加密和全磁盤加密技術(shù)，以及賽門鐵克的DLP解決方案，都可以防護(hù)針對移動存儲設(shè)備丟失帶來的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

而對于員工有意或者無意造成的數(shù)據(jù)泄漏，最有效的方式就是在用技術(shù)手段攔截包含隱秘信息的數(shù)據(jù)時，還要有一個明確的警示信息。同時，梁國賢也認(rèn)為安全應(yīng)該貫穿整個業(yè)務(wù)流程，首先要教育員工充分了解安全環(huán)境及企業(yè)的安全策略;第二要有好的技術(shù)解決方案來幫助員工參與安全進(jìn)程，并不斷提醒他們避免失誤?；诖耍珻heck Point提出了3D安全的概念，將政策、人員與執(zhí)行力完美結(jié)合，提供全方位的安全防護(hù)。而作為實(shí)踐3D安全的R75方案，其中的DLP軟件刀片利用UserCheck技術(shù)能夠使用戶對事件進(jìn)行實(shí)時糾正，并且對用戶進(jìn)行關(guān)于數(shù)據(jù)防泄密政策的教育。

針對黑客發(fā)起的主動攻擊，例如給PC種下了后門或者其他惡意軟件等，單純的對員工進(jìn)行管理和教育又被發(fā)現(xiàn)是沒有意義的，防范這種針對性的主動攻擊，必須先保證基礎(chǔ)的網(wǎng)絡(luò)安全設(shè)施。包括防火墻、IPS、IDS等。申強(qiáng)表示，在基礎(chǔ)網(wǎng)絡(luò)缺失的情況下，即使部署了DLP解決方案，防護(hù)效果也往往不理想。所以，企業(yè)必須首先保證由外而內(nèi)的網(wǎng)絡(luò)安全，才能防止由內(nèi)而外的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

由于黑客攻擊類型的不斷變種，傳統(tǒng)的被動防御已經(jīng)不能滿足需求，因此賽門鐵克提出了從被動變主動的安全理念。林育民表示，賽門鐵克最近推出的Data Insight技術(shù)就是基于云端的安全防御，對發(fā)送的文件進(jìn)行信譽(yù)評級，來決定是否對該文件進(jìn)行阻擋。而這種解決方法通常是阻止原有的大量散播的惡意文件，對于目標(biāo)性較強(qiáng)的惡意文件，賽門鐵克端點(diǎn)保護(hù)措施可以提供完整保護(hù)，防止針對性較強(qiáng)的攻擊。

針對上述的數(shù)據(jù)泄漏途徑，國內(nèi)廠商也有獨(dú)特而先進(jìn)的產(chǎn)品和解決方案。例如，溢信科技的IP-Guard，采用獨(dú)有的三重防護(hù)解決方案，結(jié)合了IP-Guard V+全向文檔加密技術(shù)與IP-guard原有文檔安全保護(hù)技術(shù)，構(gòu)建成全新的信息防泄漏三重保護(hù)解決方案。它不僅為防止信息通過U盤、Email等泄露提供解決方法，更重要的是，它幫助企業(yè)打造“詳盡細(xì)致的操作審計(jì)、全面嚴(yán)格的操作授權(quán)管控、安全可靠的透明加密”三重安全防護(hù)體系，使得企業(yè)可以實(shí)現(xiàn)“事前防御—事中控制—事后審計(jì)”的完整的信息防泄漏流程。

綜合上述種種針對數(shù)據(jù)泄漏的技術(shù)和解決方案，可以發(fā)現(xiàn)，對于一個企業(yè)來說，在構(gòu)建數(shù)據(jù)泄漏防護(hù)系統(tǒng)的時候，不單單是要采用技術(shù)手段，同時還要通過安全策略來教育員工。同時，一個數(shù)據(jù)泄漏防護(hù)系統(tǒng)是在企業(yè)構(gòu)建了完善的安全基礎(chǔ)設(shè)施和完善的內(nèi)容安全系統(tǒng)之后，才能夠發(fā)揮其良好的效果。但是，目前國內(nèi)的用戶對于數(shù)據(jù)泄漏防護(hù)還沒有找到最正確的路子，用戶往往還在關(guān)注于阻斷每個數(shù)據(jù)泄露的可能渠道，而忽視了對于安全管理策略的完善。數(shù)據(jù)泄漏防護(hù)相對于其他安全技術(shù)來說還是一個比較新的技術(shù)，而隨著近期全球關(guān)于數(shù)據(jù)泄漏的大事件的發(fā)生，用戶對于數(shù)據(jù)泄漏防護(hù)應(yīng)該會有一個全新的認(rèn)識了吧。

編看編想 保護(hù)數(shù)據(jù)，用戶也可做主

在當(dāng)今的互聯(lián)網(wǎng)時代，如果完全依靠技術(shù)手段來保護(hù)自己的隱秘信息是不太現(xiàn)實(shí)的。作為個人用戶，也完全可以大幅度避免自己的隱秘信息被泄漏的風(fēng)險(xiǎn)。對于個人用戶來說，第一點(diǎn)要做到對所有來自網(wǎng)絡(luò)的信息都保持懷疑的態(tài)度，不管是來自企業(yè)的、社交網(wǎng)站的或者其他好友的;第二點(diǎn)，要了解相關(guān)網(wǎng)站的隱私保護(hù)政策，設(shè)定好相關(guān)的隱私設(shè)置，確保自己的信息不是所有人都可以瀏覽可大幅度降低數(shù)據(jù)泄漏的風(fēng)險(xiǎn);第三點(diǎn)，填寫注冊信息時，需要輸入自己的隱秘資料時，一定要三思而后行;最后一點(diǎn)，在日常生活中，填寫某些問卷時，一定不要受到贈送禮品的誘惑，要注意保護(hù)自己的Email地址。

隱私數(shù)據(jù)保護(hù)不能通過單純的技術(shù)手段來解決，還包括管理、法律等方面的問題。要記?。河肋h(yuǎn)沒有百分之百的安全，大家應(yīng)時刻保持警惕。