隨著信息化進(jìn)程發(fā)展，各種信息化技術(shù)和系統(tǒng)的廣泛應(yīng)用，數(shù)據(jù)的數(shù)量成幾何級(jí)增長，現(xiàn)階段信息安全的重心，不再局限于系統(tǒng)本身的安全，而應(yīng)該更多地關(guān)注數(shù)據(jù)的安全。數(shù)據(jù)安全不是一個(gè)新鮮的話題。從早期的防止DDOS攻擊、木馬、病毒、蠕蟲入侵，從防火墻、入侵檢測(cè)設(shè)備、網(wǎng)關(guān)等硬件設(shè)備的使用，到現(xiàn)在的加密軟件的廣泛使用，整個(gè)信息化過程中都伴隨著數(shù)據(jù)安全的問題。在信息化水平已經(jīng)很高的今天，有哪些技術(shù)手段可以防止數(shù)據(jù)流失呢？筆者經(jīng)過大量市場(chǎng)調(diào)查研究，提供以下七種武器，足以保證您的數(shù)據(jù)安全。

　　第一種武器：透明加密軟件

　　這里指的加密軟件，不是網(wǎng)絡(luò)上可以隨意下載的那種免費(fèi)的個(gè)人級(jí)加密軟件。我們通?？梢栽诟鞣N軟件下載網(wǎng)站，下載諸如文件夾加密超級(jí)大師、加密王之類的加密軟件，這些軟件只是“偽加密”，很容易被菜鳥級(jí)的計(jì)算機(jī)用戶解除，而且經(jīng)常發(fā)生文件被破壞無法恢復(fù)，非常不安全。

　　企業(yè)用戶里的研發(fā)部門、設(shè)計(jì)部門等核心部門，每天產(chǎn)生大量的源代碼、平面設(shè)計(jì)圖、電路設(shè)計(jì)圖、3D圖、或者是音頻視頻文件，這些文件需要在產(chǎn)生、使用、存儲(chǔ)和流轉(zhuǎn)過程中進(jìn)行加密處理。這就需要使用企業(yè)級(jí)“透明加密軟件”。這種軟件在國內(nèi)已經(jīng)相當(dāng)成熟，以Smartsec軟件等為代表。

　　Smartsec是針對(duì)內(nèi)部信息泄密，對(duì)數(shù)據(jù)進(jìn)行強(qiáng)制加密/解密的軟件產(chǎn)品。該系統(tǒng)在不改變用戶使用習(xí)慣、計(jì)算機(jī)文件格式和應(yīng)用程序的情況下，采取“驅(qū)動(dòng)級(jí)透明動(dòng)態(tài)加解密技術(shù)”，對(duì)指定類型的文件進(jìn)行實(shí)時(shí)、強(qiáng)制、透明的加解密。即在正常使用時(shí)，計(jì)算機(jī)內(nèi)存中的文件是以受保護(hù)的明文形式存放，但硬盤上保存的數(shù)據(jù)卻是加密狀態(tài)。如果沒有合法的使用身份、訪問權(quán)限、正確的安全通道，所有加密文件都是以密文狀態(tài)保存。所有通過非法途徑獲得的數(shù)據(jù)，都以亂碼文件形式表現(xiàn)。

　　第二種武器：文檔權(quán)限管理軟件

　　對(duì)于個(gè)人級(jí)的用戶，可以利用Windows Rights Management Services(權(quán)限管理服務(wù),簡(jiǎn)稱 RMS)，以及Office版本中的信息權(quán)限管理(Information Rights Management，IRM)來防止用戶利用轉(zhuǎn)發(fā)、復(fù)制等手段濫用你發(fā)給他們的電子郵件消息和Office文檔（主要是Word、 Excel、 PowerPoint）。國外企業(yè)通常所用的DRM（Data　Rights Management）手段大抵如此。對(duì)企業(yè)級(jí)的用戶來說，這種權(quán)限管理是相當(dāng)業(yè)余的，而且最大的問題是，這種權(quán)限管理是沒有對(duì)數(shù)據(jù)本身進(jìn)行高強(qiáng)度的加密。采用這樣的權(quán)限管理，做不到真正細(xì)粒度的權(quán)限劃分，是一種非常粗放的管理手段，數(shù)據(jù)泄露是不可避免的。

　　對(duì)企業(yè)級(jí)用戶來說，對(duì)文檔的權(quán)限管理需要采用專業(yè)的權(quán)限管理系統(tǒng)。以億賽通文檔權(quán)限管理系統(tǒng)為例，這是針對(duì)企業(yè)用戶可控、授權(quán)的電子文檔安全共享管理系統(tǒng)。該系統(tǒng)采用“驅(qū)動(dòng)級(jí)透明動(dòng)態(tài)加解密技術(shù)”和實(shí)時(shí)權(quán)限回收技術(shù)，對(duì)通用類型的電子文檔進(jìn)行加密保護(hù)，且能對(duì)加密文檔進(jìn)行細(xì)分化的權(quán)限設(shè)置，確保機(jī)密信息在授權(quán)的應(yīng)用環(huán)境中、指定時(shí)間內(nèi)、進(jìn)行指定操作，不同使用者對(duì)“同一文檔”擁有“不同權(quán)限”。 通過對(duì)文檔內(nèi)容級(jí)的安全保護(hù)，實(shí)現(xiàn)機(jī)密信息分密級(jí)且分權(quán)限的內(nèi)部安全共享機(jī)制。

　　第三種武器：文檔外發(fā)管理系統(tǒng)

　　對(duì)那些經(jīng)常需要把文檔發(fā)送給合作伙伴或者是出差人員的企業(yè)來說，如果把文檔發(fā)給外部單位之后，就放任不管，必然有造成重大機(jī)密泄露的風(fēng)險(xiǎn)。為了防范文檔外發(fā)之后造成泄密的風(fēng)險(xiǎn)，采用文檔外發(fā)管理系統(tǒng)是目前最有效的手段，

目前這種文檔外發(fā)管理軟件產(chǎn)品比較多。億賽通文檔外發(fā)管理系統(tǒng)是比較出色的一種。億賽通文檔外發(fā)管理系統(tǒng)是針對(duì)客戶的重要信息或核心資料外發(fā)安全需求設(shè)計(jì)的一款外發(fā)安全管理解決方案。當(dāng)客戶要將重要文檔外發(fā)給客戶的出差人員、合作伙伴或客戶時(shí)，應(yīng)用文檔外發(fā)管理程序打包生成外發(fā)文件發(fā)出。當(dāng)外發(fā)文件打開時(shí)，需通過用戶身份認(rèn)證，方可閱讀文件。同時(shí)，外發(fā)文件可以限定接收者的閱讀次數(shù)和使用時(shí)間等細(xì)粒度權(quán)限，從而有效防止了客戶重要信息被非法擴(kuò)散。

　　第四種武器：磁盤全盤加密系統(tǒng)

　　在出差、旅行途中，我們的筆記本丟失，或者筆記本電腦在運(yùn)輸中、在家里或者停放的汽車?yán)锉槐I，或者筆記本電腦在維修……這些情況下，如何保護(hù)筆記本電腦上的數(shù)據(jù)安全？

磁盤全盤加密系統(tǒng)對(duì)磁盤或分區(qū)上的數(shù)據(jù)進(jìn)行動(dòng)態(tài)加密和解密操作。在電腦關(guān)機(jī)的狀態(tài)下，硬盤中存儲(chǔ)的數(shù)據(jù)均被做了加密處理，沒有用戶本人輸入密鑰，他人無法獲得硬盤上的加密數(shù)據(jù)，從而防止筆記本電腦數(shù)據(jù)泄露。這種系統(tǒng)已經(jīng)相當(dāng)成熟，在國內(nèi)外普遍使用。如下表：

　　對(duì)中國國內(nèi)用戶來說，最理想的選擇是采用DiskSec磁盤全盤加密系統(tǒng)。

　　第五種武器：移動(dòng)設(shè)備管理系統(tǒng)

　　在單位內(nèi)部，如果任由U盤、移動(dòng)硬盤、軟盤或者光盤等移動(dòng)設(shè)備隨意使用，很可能造成病毒感染和泛濫；移動(dòng)存儲(chǔ)設(shè)備一旦無意丟失，存儲(chǔ)在里面的大量敏感數(shù)據(jù)很可能造成泄密；內(nèi)部人員可能用移動(dòng)設(shè)備將單位內(nèi)部核心資料拷貝帶走，造成單位核心數(shù)據(jù)暴露在競(jìng)爭(zhēng)對(duì)手面……移動(dòng)設(shè)備是數(shù)據(jù)安全最大的威脅之一，如何防范移動(dòng)存儲(chǔ)介質(zhì)可能導(dǎo)致的危險(xiǎn)？

　　針對(duì)移動(dòng)設(shè)備的安全，應(yīng)采用移動(dòng)設(shè)備管理系統(tǒng)來保障。市面上類似的產(chǎn)品很多，在選擇此類產(chǎn)品時(shí)，應(yīng)該關(guān)注以下功能：1、注冊(cè)機(jī)制。未經(jīng)注冊(cè)的移動(dòng)存儲(chǔ)介質(zhì)不能在受管理的計(jì)算機(jī)系統(tǒng)中使用； 2、移動(dòng)存儲(chǔ)介質(zhì)控制方法要多樣化。對(duì)注冊(cè)策略和信息，對(duì)未注冊(cè)的移動(dòng)存儲(chǔ)介質(zhì)等等；3、控制共享范圍，4、要有審計(jì)記錄，包括注冊(cè)信息、使用信息和文件操作信息，并提供豐富的審計(jì)報(bào)告。

　　第六種武器：文檔安全網(wǎng)關(guān)

　　通常，重要文檔都存放在服務(wù)器上，采用集中管理的方式進(jìn)行文檔管理，那要防止客戶端通過內(nèi)網(wǎng)連接到服務(wù)器上下載機(jī)密文檔，有什么辦法可以解決這個(gè)問題嗎？

　　目前有許多廠商都已推出網(wǎng)絡(luò)存取控制（NAC—Network Access Control）機(jī)制，從網(wǎng)關(guān)器下手，避免員工利用軟件規(guī)避由內(nèi)穿透企業(yè)防火墻的，此種以過濾的方法，都有一個(gè)共通的不足之處，那就是必須透過特征來判斷連結(jié)的流量是否有異，但是偏偏自由門、Tor等代理軟件，種類過多，又更新快速，在防堵內(nèi)部員工使用此類軟件穿透防火墻時(shí)，總是有未逮之處，例如如果封包內(nèi)容加密，或是新版本的代理軟件出現(xiàn)，都很有可能無法偵測(cè)出。 而EIM產(chǎn)品雖然能夠控管員工的上網(wǎng)行為，設(shè)立政策分類管理，并且有效的阻斷聯(lián)機(jī)，但當(dāng)員工使用代理軟件試圖穿透其防范時(shí)，此類產(chǎn)品也會(huì)有特征更新的問題。整體來說，使用此類產(chǎn)品來防范員工穿透防火墻，還是有一定的減輕效果，但無法像從終端著手來得全面。

　　還有用戶采用微軟的AD群組原則管理。AD的群組原則控管確實(shí)能達(dá)到很大的功效。將終端計(jì)算機(jī)的管理權(quán)限收回，然后再進(jìn)而設(shè)定相對(duì)應(yīng)的管理政策。透過群組原則可以將終端計(jì)算機(jī)安裝軟件的權(quán)限關(guān)閉，就無法透過代理軟件試圖穿透防火墻，自然只能遵循企業(yè)的政策連網(wǎng)。但是這樣的做法對(duì)于使用者來說會(huì)造成很大的不便，并不是所有的企業(yè)都能適用。

　　以上兩種方法雖然有其可取之處，但是對(duì)于用戶來講，仍然是不安全的。最理想的解決辦法，是采用文檔安全網(wǎng)關(guān)。以億賽通文檔安全網(wǎng)關(guān)NetSec為例，NetSec由硬件和軟件兩大部分組成，其中硬件采用高性能的網(wǎng)絡(luò)服務(wù)器，軟件為億賽通研發(fā)的文檔安全網(wǎng)關(guān)軟件。文檔安全網(wǎng)關(guān)軟件由“網(wǎng)絡(luò)加速”、“訪問控制”、“訪問日志”和“動(dòng)態(tài)加解密”四大模塊組成。NetSec對(duì)所有上傳到服務(wù)器的文檔自動(dòng)進(jìn)行解密，對(duì)所有從服務(wù)器下載的文檔自動(dòng)進(jìn)行加密。通過對(duì)文檔進(jìn)出服務(wù)器進(jìn)行強(qiáng)制管理，能徹底保護(hù)服務(wù)器上的文檔安全。

　　第七種武器：數(shù)據(jù)泄露防護(hù)（DLP）體系

　　對(duì)于大型企業(yè)，或者是政府、醫(yī)院、學(xué)校等公共機(jī)構(gòu)，內(nèi)部網(wǎng)絡(luò)產(chǎn)生的海量數(shù)據(jù)，采用單一的解決辦法，已經(jīng)無法保證安全。針對(duì)目前越演越烈的數(shù)據(jù)泄露，已經(jīng)有完整的DLP解決方案。目前國外主流的DLP廠商Reconnex，（被McAfee收購），另外還有Verdasys、Vericept、 Websense、RSA（被EMC收購）和 Symantec等。國內(nèi)著名的DLP廠商有北京億賽通。

　　采用DLP解決方案，通常要考慮從以下幾個(gè)方面著手：

　　首先，要考慮單位內(nèi)部的網(wǎng)絡(luò)連接狀況。如果內(nèi)網(wǎng)與外網(wǎng)連接，則關(guān)注網(wǎng)絡(luò)訪問權(quán)限的設(shè)定、端口的設(shè)置等，采用基于網(wǎng)絡(luò)的DLP解決方案，如果內(nèi)網(wǎng)外網(wǎng)完全隔離，則選擇基于主機(jī)的DLP解決方案，重點(diǎn)放在對(duì)終端數(shù)據(jù)產(chǎn)生、傳輸、轉(zhuǎn)移、存儲(chǔ)等操作進(jìn)行監(jiān)控、阻止的策略來進(jìn)行數(shù)據(jù)泄露防護(hù)。

　　其次，對(duì)內(nèi)部的核心數(shù)據(jù)進(jìn)行分類，可采用等級(jí)保護(hù)的方法，對(duì)此類數(shù)據(jù)實(shí)現(xiàn)加密并有訪問權(quán)限的策略設(shè)定。諸如源代碼、產(chǎn)品設(shè)計(jì)圖、財(cái)務(wù)信息、客戶資料等核心數(shù)據(jù)和其他數(shù)據(jù)就應(yīng)該定義為高等級(jí)保護(hù)，該類數(shù)據(jù)丟失的風(fēng)險(xiǎn)也為最高。

　　第三，明確設(shè)置策略和工作流程。采用等級(jí)保護(hù)之后，單位需要設(shè)計(jì)出相應(yīng)的數(shù)據(jù)管理流程來對(duì)這些核心機(jī)密數(shù)據(jù)的動(dòng)向、使用和訪問行為進(jìn)行嚴(yán)密監(jiān)控。在數(shù)據(jù)被非法使用時(shí)候，可在第一時(shí)間內(nèi)對(duì)異常行為做出反應(yīng)，并有詳細(xì)的日志審計(jì)制度，避免數(shù)據(jù)的泄露。

　　最后，采用制度加技術(shù)的雙重保險(xiǎn)，保護(hù)數(shù)據(jù)安全。通過安全意識(shí)教育，強(qiáng)化員工的風(fēng)險(xiǎn)意識(shí)，實(shí)際操作培訓(xùn)等使員工自覺遵守相關(guān)的策略。只有管理與技術(shù)相結(jié)合，才能做到真正的數(shù)據(jù)安全