走進信息化時代 數據安全七種秘密武器
随着信息化進程發展,各種信息化技術和系統的廣泛應用,數據的數量成幾何級增長,現階段信息安全的重心,不再局限于系統本身的安全,而應該更多地關注數據的安全。數據安全不是一(yī)個新鮮的話(huà)題。從早期的防止DDOS攻擊、木馬、病毒、蠕蟲入侵,從防火(huǒ)牆、入侵檢測設備、網關等硬件設備的使用,到現在的加密軟件的廣泛使用,整個信息化過程中(zhōng)都伴随着數據安全的問題。在信息化水平已經很高的今天,有哪些技術手段可以防止數據流失呢?經過大(dà)量市場調查研究,提供以下(xià)七種武器,足以保證您的數據安全。
第一(yī)種武器:透明加密軟件
企業用戶裏的研發部門、設計部門等核心部門,每天産生(shēng)大(dà)量的源代碼、平面設計圖、電(diàn)路設計圖、3D圖、或者是音頻(pín)視頻(pín)文件,這些文件需要在産生(shēng)、使用、存儲和流轉過程中(zhōng)進行加密處理。這就需要使用企業級“透明加密軟件”。
第二種武器:文檔權限管理軟件
對于個人級的用戶,可以利用Windows Rights Management Services(權限管理服務,簡稱 RMS),以及Office版本中(zhōng)的信息權限管理(Information Rights Management,IRM)來防止用戶利用轉發、複制等手段濫用你發給他們的電(diàn)子郵件消息和Office文檔(主要是Word、 Excel、 PowerPoint)。國外(wài)企業通常所用的DRM(Data Rights Management)手段大(dà)抵如此。對企業級的用戶來說,這種權限管理是相當業餘的,而且最大(dà)的問題是,這種權限管理是沒有對數據本身進行高強度的加密。采用這樣的權限管理,做不到真正細粒度的權限劃分(fēn),是一(yī)種非常粗放(fàng)的管理手段,數據洩露是不可避免的。
對企業級用戶來說,對文檔的權限管理需要采用專業的權限管理系統。以億賽通文檔權限管理系統爲例,這是針對企業用戶可控、授權的電(diàn)子文檔安全共享管理系統。該系統采用“驅動級透明動态加解密技術”和實時權限回收技術,對通用類型的電(diàn)子文檔進行加密保護,且能對加密文檔進行細分(fēn)化的權限設置,确保機密信息在授權的應用環境中(zhōng)、指定時間内、進行指定操作,不同使用者對“同一(yī)文檔”擁有“不同權限”。 通過對文檔内容級的安全保護,實現機密信息分(fēn)密級且分(fēn)權限的内部安全共享機制。
第三種武器:文檔外(wài)發管理系統
對那些經常需要把文檔發送給合作夥伴或者是出差人員(yuán)的企業來說,如果把文檔發給外(wài)部單位之後,就放(fàng)任不管,必然有造成重大(dà)機密洩露的風險。爲了防範文檔外(wài)發之後造成洩密的風險,采用文檔外(wài)發管理系統是目前最有效的手段,
目前這種文檔外(wài)發管理軟件産品比較多。
第四種武器:磁盤全盤加密系統
在出差、旅行途中(zhōng),我(wǒ)們的筆記本丢失,或者筆記本電(diàn)腦在運輸中(zhōng)、在家裏或者停放(fàng)的汽車(chē)裏被盜,或者筆記本電(diàn)腦在維修……這些情況下(xià),如何保護筆記本電(diàn)腦上的數據安全?
磁盤全盤加密系統對磁盤或分(fēn)區上的數據進行動态加密和解密操作。在電(diàn)腦關機的狀态下(xià),硬盤中(zhōng)存儲的數據均被做了加密處理,沒有用戶本人輸入密鑰,他人無法獲得硬盤上的加密數據,從而防止筆記本電(diàn)腦數據洩露。這種系統已經相當成熟,在國内外(wài)普遍使用。
第五種武器:移動設備管理系統
在單位内部,如果任由U盤、移動硬盤、軟盤或者光盤等移動設備随意使用,很可能造成病毒感染和泛濫;移動存儲設備一(yī)旦無意丢失,存儲在裏面的大(dà)量敏感數據很可能造成洩密;内部人員(yuán)可能用移動設備将單位内部核心資(zī)料拷貝帶走,造成單位核心數據暴露在競争對手面……移動設備是數據安全最大(dà)的威脅之一(yī),如何防範移動存儲介質可能導緻的危險?
針對移動設備的安全,應采用移動設備管理系統來保障。市面上類似的産品很多,在選擇此類産品時,應該關注以下(xià)功能:1、注冊機制。未經注冊的移動存儲介質不能在受管理的計算機系統中(zhōng)使用; 2、移動存儲介質控制方法要多樣化。對注冊策略和信息,對未注冊的移動存儲介質等等;3、控制共享範圍,4、要有審計記錄,包括注冊信息、使用信息和文件操作信息,并提供豐富的審計報告。
第六種武器:文檔安全網關
通常,重要文檔都存放(fàng)在服務器上,采用集中(zhōng)管理的方式進行文檔管理,那要防止客戶端通過内網連接到服務器上下(xià)載機密文檔,有什麽辦法可以解決這個問題嗎(ma)?
目前有許多廠商(shāng)都已推出網絡存取控制(NAC—Network Access Control)機制,從網關器下(xià)手,避免員(yuán)工(gōng)利用軟件規避由内穿透企業防火(huǒ)牆的,此種以過濾的方法,都有一(yī)個共通的不足之處,那就是必須透過特征來判斷連結的流量是否有異,但是偏偏自由門、Tor等代理軟件,種類過多,又(yòu)更新快速,在防堵内部員(yuán)工(gōng)使用此類軟件穿透防火(huǒ)牆時,總是有未逮之處,例如如果封包内容加密,或是新版本的代理軟件出現,都很有可能無法偵測出。 而EIM産品雖然能夠控管員(yuán)工(gōng)的上網行爲,設立政策分(fēn)類管理,并且有效的阻斷聯機,但當員(yuán)工(gōng)使用代理軟件試圖穿透其防範時,此類産品也會有特征更新的問題。整體(tǐ)來說,使用此類産品來防範員(yuán)工(gōng)穿透防火(huǒ)牆,還是有一(yī)定的減輕效果,但無法像從終端着手來得全面。
還有用戶采用微軟的AD群組原則管理。AD的群組原則控管确實能達到很大(dà)的功效。将終端計算機的管理權限收回,然後再進而設定相對應的管理政策。透過群組原則可以将終端計算機安裝軟件的權限關閉,就無法透過代理軟件試圖穿透防火(huǒ)牆,自然隻能遵循企業的政策連網。但是這樣的做法對于使用者來說會造成很大(dà)的不便,并不是所有的企業都能适用。
以上兩種方法雖然有其可取之處,但是對于用戶來講,仍然是不安全的。最理想的解決辦法,是采用文檔安全網關。
第七種武器:數據洩露防護(DLP)體(tǐ)系
對于大(dà)型企業,或者是政府、醫院、學校等公共機構,内部網絡産生(shēng)的海量數據,采用單一(yī)的解決辦法,已經無法保證安全。針對目前越演越烈的數據洩露,已經有完整的DLP解決方案。
采用DLP解決方案,通常要考慮從以下(xià)幾個方面着手:
首先,要考慮單位内部的網絡連接狀況。如果内網與外(wài)網連接,則關注網絡訪問權限的設定、端口的設置等,采用基于網絡的DLP解決方案,如果内網外(wài)網完全隔離(lí),則選擇基于主機的DLP解決方案,重點放(fàng)在對終端數據産生(shēng)、傳輸、轉移、存儲等操作進行監控、阻止的策略來進行數據洩露防護。
其次,對内部的核心數據進行分(fēn)類,可采用等級保護的方法,對此類數據實現加密并有訪問權限的策略設定。諸如源代碼、産品設計圖、财務信息、客戶資(zī)料等核心數據和其他數據就應該定義爲高等級保護,該類數據丢失的風險也爲最高。
第三,明确設置策略和工(gōng)作流程。采用等級保護之後,單位需要設計出相應的數據管理流程來對這些核心機密數據的動向、使用和訪問行爲進行嚴密監控。在數據被非法使用時候,可在第一(yī)時間内對異常行爲做出反應,并有詳細的日志(zhì)審計制度,避免數據的洩露。
最後,采用制度加技術的雙重保險,保護數據安全。通過安全意識教育,強化員(yuán)工(gōng)的風險意識,實際操作培訓等使員(yuán)工(gōng)自覺遵守相關的策略。隻有管理與技術相結合,才能做到真正的數據安全。