随着信息化进程发展,各种信息化技术和系统的广泛应用,数据的数量成几何级增长,现阶段信息安全的重心,不再局限于系统本身的安全,而应该更多地关注数据的安全。数据安全不是一个新鲜的话题。从早期的防止DDOS攻击、木马、病毒、蠕虫入侵,从防火墙、入侵检测设备、网关等硬件设备的使用,到现在的加密软件的广泛使用,整个信息化过程中都伴随着数据安全的问题。在信息化水平已经很高的今天,有哪些技术手段可以防止数据流失呢?笔者经过大量市场调查研究,提供以下七种武器,足以保证您的数据安全。
第一种武器:透明加密软件
这里指的加密软件,不是网络上可以随意下载的那种免费的个人级加密软件。我们通常可以在各种软件下载网站,下载诸如文件夹加密超级大师、加密王之类的加密软件,这些软件只是“伪加密”,很容易被菜鸟级的计算机用户破解,而且经常发生文件被破坏无法恢复,非常不安全。
企业用户里的研发部门、设计部门等核心部门,每天产生大量的源代码、平面设计图、电路设计图、3D图、或者是音频视频文件,这些文件需要在产生、使用、存储和流转过程中进行加密处理。这就需要使用企业级“透明加密软件”。这种软件在国内已经相当成熟,以Smartsec软件等为代表。
Smartsec是针对内部信息泄密,对数据进行强制加密/解密的软件产品。该系统在不改变用户使用习惯、计算机文件格式和应用程序的情况下,采取“驱动级透明动态加解密技术”,对指定类型的文件进行实时、强制、透明的加解密。即在正常使用时,计算机内存中的文件是以受保护的明文形式存放,但硬盘上保存的数据却是加密状态。如果没有合法的使用身份、访问权限、正确的安全通道,所有加密文件都是以密文状态保存。所有通过非法途径获得的数据,都以乱码文件形式表现。
第二种武器:文档权限管理软件
对于个人级的用户,可以利用Windows Rights Management Services(权限管理服务,简称 RMS),以及Office版本中的信息权限管理(Information Rights Management,IRM)来防止用户利用转发、复制等手段滥用你发给他们的电子邮件消息和Office文档(主要是Word、 Excel、 PowerPoint)。国外企业通常所用的DRM(Data Rights Management)手段大抵如此。对企业级的用户来说,这种权限管理是相当业余的,而且最大的问题是,这种权限管理是没有对数据本身进行高强度的加密。采用这样的权限管理,做不到真正细粒度的权限划分,是一种非常粗放的管理手段,数据泄露是不可避免的。
对企业级用户来说,对文档的权限管理需要采用专业的权限管理系统。以亿赛通文档权限管理系统为例,这是针对企业用户可控、授权的电子文档安全共享管理系统。该系统采用“驱动级透明动态加解密技术”和实时权限回收技术,对通用类型的电子文档进行加密保护,且能对加密文档进行细分化的权限设置,确保机密信息在授权的应用环境中、指定时间内、进行指定操作,不同使用者对“同一文档”拥有“不同权限”。 通过对文档内容级的安全保护,实现机密信息分密级且分权限的内部安全共享机制。
第三种武器:文档外发管理系统
对那些经常需要把文档发送给合作伙伴或者是出差人员的企业来说,如果把文档发给外部单位之后,就放任不管,必然有造成重大机密泄露的风险。为了防范文档外发之后造成泄密的风险,采用文档外发管理系统是目前最有效的手段,
目前这种文档外发管理软件产品比较多。亿赛通文档外发管理系统是比较出色的一种。亿赛通文档外发管理系统是针对客户的重要信息或核心资料外发安全需求设计的一款外发安全管理解决方案。当客户要将重要文档外发给客户的出差人员、合作伙伴或客户时,应用文档外发管理程序打包生成外发文件发出。当外发文件打开时,需通过用户身份认证,方可阅读文件。同时,外发文件可以限定接收者的阅读次数和使用时间等细粒度权限,从而有效防止了客户重要信息被非法扩散。
第四种武器:磁盘全盘加密系统
在出差、旅行途中,我们的笔记本丢失,或者笔记本电脑在运输中、在家里或者停放的汽车里被盗,或者笔记本电脑在维修……这些情况下,如何保护笔记本电脑上的数据安全?
磁盘全盘加密系统对磁盘或分区上的数据进行动态加密和解密操作。在电脑关机的状态下,硬盘中存储的数据均被做了加密处理,没有用户本人输入密钥,他人无法获得硬盘上的加密数据,从而防止笔记本电脑数据泄露。这种系统已经相当成熟,在国内外普遍使用。
对中国国内用户来说,最理想的选择是采用DiskSec磁盘全盘加密系统。
第五种武器:移动设备管理系统
在单位内部,如果任由U盘、移动硬盘、软盘或者光盘等移动设备随意使用,很可能造成病毒感染和泛滥;移动存储设备一旦无意丢失,存储在里面的大量敏感数据很可能造成泄密;内部人员可能用移动设备将单位内部核心资料拷贝带走,造成单位核心数据暴露在竞争对手面……移动设备是数据安全最大的威胁之一,如何防范移动存储介质可能导致的危险?
针对移动设备的安全,应采用移动设备管理系统来保障。市面上类似的产品很多,在选择此类产品时,应该关注以下功能:1、注册机制。未经注册的移动存储介质不能在受管理的计算机系统中使用; 2、移动存储介质控制方法要多样化。对注册策略和信息,对未注册的移动存储介质等等;3、控制共享范围,4、要有审计记录,包括注册信息、使用信息和文件操作信息,并提供丰富的审计报告。
第六种武器:文档安全网关
通常,重要文档都存放在服务器上,采用集中管理的方式进行文档管理,那要防止客户端通过内网连接到服务器上下载机密文档,有什么办法可以解决这个问题吗?
目前有许多厂商都已推出网络存取控制(NAC—Network Access Control)机制,从网关器下手,避免员工利用软件规避由内穿透企业防火墙的,此种以过滤的方法,都有一个共通的不足之处,那就是必须透过特征来判断连结的流量是否有异,但是偏偏自由门、Tor等代理软件,种类过多,又更新快速,在防堵内部员工使用此类软件穿透防火墙时,总是有未逮之处,例如如果封包内容加密,或是新版本的代理软件出现,都很有可能无法侦测出。 而EIM产品虽然能够控管员工的上网行为,设立政策分类管理,并且有效的阻断联机,但当员工使用代理软件试图穿透其防范时,此类产品也会有特征更新的问题。整体来说,使用此类产品来防范员工穿透防火墙,还是有一定的减轻效果,但无法像从终端着手来得全面。
还有用户采用微软的AD群组原则管理。AD的群组原则控管确实能达到很大的功效。将终端计算机的管理权限收回,然后再进而设定相对应的管理政策。透过群组原则可以将终端计算机安装软件的权限关闭,就无法透过代理软件试图穿透防火墙,自然只能遵循企业的政策连网。但是这样的做法对于使用者来说会造成很大的不便,并不是所有的企业都能适用。
以上两种方法虽然有其可取之处,但是对于用户来讲,仍然是不安全的。最理想的解决办法,是采用文档安全网关。以亿赛通文档安全网关NetSec 为例,NetSec由硬件和软件两大部分组成,其中硬件采用高性能的网络服务器,软件为亿赛通研发的文档安全网关软件。文档安全网关软件由“网络加速”、 “访问控制”、“访问日志”和“动态加解密”四大模块组成。NetSec对所有上传到服务器的文档自动进行解密,对所有从服务器下载的文档自动进行加密。通过对文档进出服务器进行强制管理,能彻底保护服务器上的文档安全。
第七种武器:数据泄露防护(DLP)体系
对于大型企业,或者是政府、医院、学校等公共机构,内部网络产生的海量数据,采用单一的解决办法,已经无法保证安全。针对目前越演越烈的数据泄露,已经有完整的DLP解决方案。目前国外主流的DLP厂商Reconnex,(被McAfee收购),另外还有Verdasys、Vericept、 Websense、RSA(被EMC收购)和 Symantec等。国内着名的DLP厂商有北京亿赛通。
采用DLP解决方案,通常要考虑从以下几个方面着手:
首先,要考虑单位内部的网络连接状况。如果内网与外网连接,则关注网络访问权限的设定、端口的设置等,采用基于网络的DLP解决方案,如果内网外网完全隔离,则选择基于主机的DLP解决方案,重点放在对终端数据产生、传输、转移、存储等操作进行监控、阻止的策略来进行数据泄露防护。
其次,对内部的核心数据进行分类,可采用等级保护的方法,对此类数据实现加密并有访问权限的策略设定。诸如源代码、产品设计图、财务信息、客户资料等核心数据和其他数据就应该定义为高等级保护,该类数据丢失的风险也为最高。
第三,明确设置策略和工作流程。采用等级保护之后,单位需要设计出相应的数据管理流程来对这些核心机密数据的动向、使用和访问行为进行严密监控。在数据被非法使用时候,可在第一时间内对异常行为做出反应,并有详细的日志审计制度,避免数据的泄露。
最后,采用制度加技术的双重保险,保护数据安全。通过安全意识教育,强化员工的风险意识,实际操作培训等使员工自觉遵守相关的策略。只有管理与技术相结合,才能做到真正的数据安全。
