2011年已经过去了将近一半，要说在这半年里面，IT届最为轰动的事情有哪些，索尼的PSN用户信息泄漏肯定榜上有名。此次索尼PSN在线被黑，受影响用户多达7700万人，涉及了全球的57个国家和地区。

　　有报道认为这是有史以来被公开的最严重的信息泄漏时间。索尼因此可能会损失数百亿美元，并将面临众多诉讼。随之而来的花旗银行、IMF、美国联邦政府等政府部门也难逃厄运，纷纷被黑。而黑客攻击这些网站的原因也很挑衅——看不惯政府的某些行为。暂且不说这些企业或政府机关的网络安全措施是否齐全，以及带来的损失有多巨大，这些事件最应该让读者警醒的是如何保护自己的数据信息。

　　对于一个员工来说，或许想象不到他的一个鼠标点击动作就有可能为企业带来巨大的损失。比如，发错邮件、点击了带有木马或后门的链接、下载了带有恶意软件的应用等，这些日常的网上动作都给企业机密数据的泄漏带来了可能。另外，智能手机、平板电脑日渐流行，企业网一般都是让这些设备畅通无阻的接入内部网络，这也都是数据泄漏的可能途径。

　　泄漏途径多样化

　　在十几年前，一个企业面对的可能更多的是来自于网络外部的共计，采用一个防火墙就可以起到良好的防护作用。但是，现在黑客已经不仅仅局限于侵入你的网络内部，给你造成干扰，他们的目标是窃取极具价值的数据。另外，面临着接入网络的终端类型的不断丰富，对于这种网络接入设备的管理日趋复杂，企业如何管理这些终端也是以后面临的难题之一。综合起来看，企业用户面临的数据泄漏途径其实主要体现在以下几个方面。

　　第一种是来自黑客的主动攻击。不同于传统的黑客攻击，现在的黑客选择攻击对象时，越来 越具有目标性。赛门铁克中国区首席解决方案顾问林育民表示，目标性攻击与传统的攻击手法最大的差别是它不再是一枪打乱鸟，而是针对个别企业去专门设计。深信服科技安全产品总监邱德文也表示，目前多数黑客以窃取数据和机密为目标，就如最近发生的索尼事件也属于这种类别。

　　另外，社交网络的盛行也是恶意攻击侵入企业网络的一个途径。Check Point北亚洲区地区总监梁国贤表示：“现在，Web 2.0已经成为一个不可或缺的商业工具，用户在Web上冲浪、分享信息、下载文件、聊天、更新博客或观看视频的时间平均占每个工作天的1/4。”根据《经济学人》杂志的数据，最受欢迎的100个网站中有45%支持用户生成内容，其中60%被恶意软件感染。这种恶意软件有可能会长期潜伏在网络中，获取到足够的资料之后，才会真正去发动比较严重的攻击，往往这种攻击带来的损失也是巨大的。

　　上述来自黑客或其他病毒的入侵行为一度为企业造成了很大的困扰，现在其发展的速度也是越来越快，但事实上，在办公室里，还隐藏着另外一个数据安全的风险。BlueCoat中国区高级产品经理申强表示：“一种非常极端的方式就是企业员工恶意的偷窃，但这种情况占的比例是非常低的。”其实占据非常大比例的数据泄露方式是员工有意或者无意之中将机密信息发送出去了。

　　针对员工有意或无意的泄露数据的问题，受访对象纷纷表示了自己的见解。梁国贤说：“Forrester Research曾指出，几乎80%的数据丢失是无意造成的，它们主要是由员工疏忽或无意中违反了公司安全政策所致。例如，员工将机密文件误发给和同事同名的其他人，或者使用基于网络的P2P文件共享网站给商业伙伴发送大容量文件时，没有仔细阅读网站中‘用户须知’等字样，而导致上载文件后不知情地失去文件的拥有权和控制。”

　　针对员工泄露数据的问题，申强表示，员工有意的泄露数据时，一般都是不重视本公司的安全策略，认为是无关紧要的信息而发送给外部的人员。另外一种是则通过邮件或其他通信工具误发出去。Check Point销售总监张涛表示，除了这种通过邮件误发出去和黑客的恶意偷窃之外，还有一部分比例是由于U盘、CD或者笔记本丢失造成隐秘数据丢失。这也是一个DLP解决方案需要考虑的范畴。

　　对比上述的数据泄漏方式，林育民用两个数字来说明危害情况。由黑客发动的主动攻击平均每次会造成26万个信息泄漏;而因为员工有意或者无意的盗窃或丢失平均每次会造成6.7万个身份信息的泄漏。虽然黑客入侵一般会造成大量的数据泄漏，但是对于企业来说，发生频率较高的，更多是员工有意或无意的泄漏，其中无意的泄漏几乎每天都会上演。正如梁国贤所说的那样，几乎80%以上的企业数据泄漏是无意中造成的，邱德文和申强也都表示，无意的泄漏占据了最大比例。这是不是意味着，企业对于员工的管理将会带来解决数据泄露的新契机呢?

　　警示信息必不可少

　　针对黑客带来的恶意攻击，企业完全可以通过技术手段来阻止他们的恶意攻击，但是对于员工带来的有意或者无意的数据泄露，企业该如何防范呢?正如申强所说的那样：“你可以不让员工用U盘拷，不让他进行打印，不让他进行截屏，但你能阻止他用手机拍照吗?”是的，通过技术手段是无法完全阻止员工的这种行为的。既然数据已经到达了员工的手上，就说明他对这些数据已经有了知情权，同时，企业也应该承担数据泄露方面的风险。那就应该这样任由风险存在了吗?其实刚才已经说到，大部分的员工是无意泄漏了数据的，恶意偷窃的比例非常小。针对这种情况，对员工的教育与管理更加有效。

　　在试图解决这类风险时，申强介绍了一个非常有趣的现象。一旦用户有意或无意的要泄漏包含隐秘信息的数据时，如果有一个明显的警示信息去提醒他，效果非常有效。如果只是通过技术手段去拦截包含隐秘信息的数据，据统计，用户尝试发送这些隐秘数据的次数是不会减少的。相反，他会认为是不是网络不好?是不是发送的文件格式不对?然后继续进行发送。如果，用户发送此类数据时，公司在用技术手段进行拦截的同时，再给他一个警示说此类信息无法进行发送，或者你发送的内容属于公司机密，这类数据发送的次数会下降很多。申强表示，这类解决方案是经过证明的非常有效的方法，属于BlueCoat的最佳实践方案。

　　这种现象表明对于员工的警示和教育必不可少，梁国贤也表示，一个使用的DLP方案应该在用户发送可能导致数据丢失的邮件之前提醒他们。他说，安全策略不应该只是技术层面，对人员的教育和管理往往会起到事半功倍的效果。因为一个企业中，最难管理的往往是人员。

　　Web 2.0：一把双刃剑

　　之所以将Web 2.0单独拿出来说，是因为基于Web 2.0应用的火热程度已经完全超越了安全措施的更新程度。企业正面临日益增多、千奇百怪的新型互联网威胁，例如恶意软件、网络钓鱼、木马程序和键盘记录器。然而一个新趋势是Web 2.0应用程序及移动设备中的富媒体功能，将会使得隐蔽强迫下载及混合攻击增加。例如，社交网站上的嵌入视频及其连接成为了黑客频繁植入恶意软件的目标。

　　Web 2.0已经成为了一个不可或缺的商业工具，用户在Web上冲浪、分享信息、下载文件、聊天、更新博客或观看视频等，这些事件平均占据每天工作时间的四分之一。无疑，Web2.0带来了巨大的便利，但是目前的许多Web应用都存有漏洞，但厂商却却没有相关的防护措施。传统的基于IP层的防火墙和URL过滤等工具在Web2.0的环境中显得有点捉襟见肘，因此针对应用层的安全防护就显得尤其重要。

　　以深信服为例，作为一直关注应用层安全的国内厂商，在近几年取得了持续增长的业绩。归根结底，是因为用户对于应用层防护的关注度越来越高。深信服的AC上网行为管理设备能够对员工访问不当网站造成的数据泄漏风险进行防护，它能够对挂马网站、恶意插件、危险脚本进行过滤，还能够识别出由网页、邮件、文件传输等端口发生的黑客行为等。

　　对症下药

　　对于员工带来的恶意偷窃问题，虽然比例较低，但因为其带来的损失往往也是巨大的，企业需要特别注意。申强表示，解决这类问题，需要对企业的数据进行严格的权限划分，什么人能够访问什么数据必须具有严格的审计流程，并且要有相关的访问记录。针对各种存储设备的加密技术是一个完整DLP方案的必不可少的部分。例如，国内专注于数据防泄漏的安全厂商虹安，就有专门针对笔记本电脑、移动设备、文档、源代码，以及U盘等的全面的解决方案，取得了国内大批用户的信任。另外，Check Point的媒介加密和全磁盘加密技术，以及赛门铁克的DLP解决方案，都可以防护针对移动存储设备丢失带来的数据泄漏风险。

　　而对于员工有意或者无意造成的数据泄漏，最有效的方式就是在用技术手段拦截包含隐秘信息的数据时，还要有一个明确的警示信息。同时，梁国贤也认为安全应该贯穿整个业务流程，首先要教育员工充分了解安全环境及企业的安全策略;第二要有好的技术解决方案来帮助员工参与安全进程，并不断提醒他们避免失误。基于此，Check Point提出了3D安全的概念，将政策、人员与执行力完美结合，提供全方位的安全防护。而作为实践3D安全的R75方案，其中的DLP软件刀片利用UserCheck技术能够使用户对事件进行实时纠正，并且对用户进行关于数据防泄密政策的教育。

　　针对黑客发起的主动攻击，例如给PC种下了后门或者其他恶意软件等，单纯的对员工进行管理和教育又被发现是没有意义的，防范这种针对性的主动攻击，必须先保证基础的网络安全设施。包括防火墙、IPS、IDS等。申强表示，在基础网络缺失的情况下，即使部署了DLP解决方案，防护效果也往往不理想。所以，企业必须首先保证由外而内的网络安全，才能防止由内而外的数据泄漏风险。

　　由于黑客攻击类型的不断变种，传统的被动防御已经不能满足需求，因此赛门铁克提出了从被动变主动的安全理念。林育民表示，赛门铁克最近推出的Data Insight技术就是基于云端的安全防御，对发送的文件进行信誉评级，来决定是否对该文件进行阻挡。而这种解决方法通常是阻止原有的大量散播的恶意文件，对于目标性较强的恶意文件，赛门铁克端点保护措施可以提供完整保护，防止针对性较强的攻击。

　　针对上述的数据泄漏途径，国内厂商也有独特而先进的产品和解决方案。例如，溢信科技的IP-Guard，采用独有的三重防护解决方案，结合了IP-Guard V+全向文档加密技术与IP-guard原有文档安全保护技术，构建成全新的信息防泄漏三重保护解决方案。它不仅为防止信息通过U盘、Email等泄露提供解决方法，更重要的是，它帮助企业打造“详尽细致的操作审计、全面严格的操作授权管控、安全可靠的透明加密”三重安全防护体系，使得企业可以实现“事前防御—事中控制—事后审计”的完整的信息防泄漏流程。

　　综合上述种种针对数据泄漏的技术和解决方案，可以发现，对于一个企业来说，在构建数据泄漏防护系统的时候，不单单是要采用技术手段，同时还要通过安全策略来教育员工。同时，一个数据泄漏防护系统是在企业构建了完善的安全基础设施和完善的内容安全系统之后，才能够发挥其良好的效果。但是，目前国内的用户对于数据泄漏防护还没有找到最正确的路子，用户往往还在关注于阻断每个数据泄露的可能渠道，而忽视了对于安全管理策略的完善。数据泄漏防护相对于其他安全技术来说还是一个比较新的技术，而随着近期全球关于数据泄漏的大事件的发生，用户对于数据泄漏防护应该会有一个全新的认识了吧。

　　编看编想 保护数据，用户也可做主

　　在当今的互联网时代，如果完全依靠技术手段来保护自己的隐秘信息是不太现实的。作为个人用户，也完全可以大幅度避免自己的隐秘信息被泄漏的风险。对于个人用户来说，第一点要做到对所有来自网络的信息都保持怀疑的态度，不管是来自企业的、社交网站的或者其他好友的;第二点，要了解相关网站的隐私保护政策，设定好相关的隐私设置，确保自己的信息不是所有人都可以浏览可大幅度降低数据泄漏的风险;第三点，填写注册信息时，需要输入自己的隐秘资料时，一定要三思而后行;最后一点，在日常生活中，填写某些问卷时，一定不要受到赠送礼品的诱惑，要注意保护自己的Email地址。

　　隐私数据保护不能通过单纯的技术手段来解决，还包括管理、法律等方面的问题。要记住：永远没有百分之百的安全，大家应时刻保持警惕。