加密解密探討：大中型企業如何防止數據泄露？

隨著企業信息化進程的推進，關於網絡內容的安全，即數據的安全，日益成為企業信息化建設最重要的目標。當前中國大中型企業的數據安全防護還相當薄弱，各種泄密事件屢屢發生，給企業造成沈重打擊。為了避免數據泄露，企業在加強企業信息安全管理，提高安全意識的同時，必須進壹步加強企業網絡信息安全基礎建設。用技術手段來確保信息安全，是必不可少的。然而，大中型企業要做到信息防泄露是比較困難的。大中型企業往往有數千臺電腦，幾臺甚至幾十臺大型服務器，還有數目不詳的移動硬盤、U盤，以及各個分公司、外埠出差人員的電腦接入內網。信息分布存放在各個物理位置，不論是終端電腦、服務器、筆記本電腦、移動硬盤、U盤，還是數據庫，都各自保存著各種文檔和數據。任何壹個環節出現紕漏，都會導致數據泄露事件的發生。根據當前主流的數據安全分域防護理論，專家建議，把整個企業網絡及其存儲設備，分為五大安全域，分別控制，統壹防護，實現整體壹致的數據泄露防護，是科學有效的數據安全管理辦法。所謂數據防泄露分域安全理論，就是把連接到企業網絡的各種物理設備，劃分為：終端、端口、磁盤、服務器(包括數據庫)和移動存儲設備五大安全區域，針對不同的安全域采用對應的產品進行保護。可以側重於對終端進行防護，也可以針對服務器和數據庫進行重點防護。根據企業自身的信息安全現狀，可以有針對性地選擇防護重點。壹、 終端數據防泄露提到終端安全，大家壹定會想到賽門鐵克。這家總部位於美國的世界級信息安全公司的廣告口號就是：賽門鐵克就是終端安全。針對終端數據防泄露，賽門鐵克以收購Vontu而來的數據丟失防護(DLP，Data Loss Prevention)產品，在全球範圍包括美國、歐洲、南亞等多數國家取得了極大的商業成功。其DLP產品幾乎是毫無阻礙地獲得各個國家的認同，並得到實施。然而，賽門鐵克在日本和中國這兩個對信息安全把控最嚴密的國家，卻遲遲得不到進展。賽門鐵克DLP的硬傷主要在於三個方面：1、高昂的價格使其成為貴族用品;2、本地化比較差。由於英語系國家在語言和技術交流方面的通暢，所以接受DLP比較容易，但在中國，賽門鐵克還有更多本地化工作要做。3、中國政府對信息安全產品的政策，使得國外信息安全產品只能局限於外企進行銷售。不僅是賽門鐵克，還有趨勢科技、Websense、麥咖啡等廠家的DLP產品在中國也有同樣的狀況。其實，在終端數據防泄露方面，中國人是值得自豪的。以北京億賽通為首的中國DLP廠商，從2001年就開始研發的加密軟件，足以確保終端數據防泄露。國內信息安全廠商在政府的保護下，獲得發展機遇，這是壹個基本事實。中國人以獨有的技術敏感和產品領悟力，推出的文件透明加密、權限管理、外發控制等軟件，以文檔透明加密為核心，輔以權限控制，外發管理、日誌審計等功能，能從源頭上確保數據安全。不論是數千點的宇龍通信、正泰科技，數萬點甚至十萬點的比亞迪集團、中集集團、中國移動集團，還是數十萬點的全球性跨國公司，都已經采用億賽通終端數據防泄露系統。針對終端信息安全，可以采用文檔透明加密系統SmartSec、文檔權限管理系統DRM文檔安全管理系統CDG和文檔外發控制系統ODM。除此之外，國內也有其他加密軟件可采用，但從產品性能來看，稍遜壹籌。二、 磁盤數據防泄露磁盤是存儲數據的物理設備。針對磁盤進行管控，就可以防止數據泄露。當前，防止磁盤數據泄露，全球最領先的技術是全磁盤加密(Full Disk Encryption)。關於全磁盤加密(FDE)軟件，可參閱《全磁盤加密(FDE)軟件性能大揭秘》和《全磁盤加密(FDE)軟件概述》。通過對磁盤全盤加密來保護數據安全，是國際上主流信息安全廠商推出的技術。國外企業級用戶通常會采用最著名的Pointsec和Safeboot。Checkpoint公司花費5.8億美元收購Protect Data公司所獲得了終端和移動設備數據安全產品Pointsec，其實在此之前已在全球得到應用。Safeboot被麥咖啡公司收購，集成到麥咖啡的數據泄露防護(DLP)系統中。由於中國政府對企業信息安全的保護，中國企業不能使用國外加密軟件產品。國家法律規定，凡涉及到商用密碼的軟件產品，都必須由具備國家商用密碼生產定點單位資格和國家商用密碼銷售許可單位資格的企業生產和銷售。而且，還必須具備國家保密局、軍隊和公安部的相關銷售資質才可以在國內銷售。因此，國外FDE軟件在中國不能得到廣泛應用。可喜的是，中國軟件企業在FDE軟件方面並不落後於國外軟件廠商。北京億賽通於2008年推出的DiskSec軟件具備強大的功能，有單機版和企業版可以選用。從性能上看，比國外同類型的企業級FDE軟件要高。DiskSec不僅是壹款能保護PC、筆記本電腦、移動存儲設備的多功能FDE軟件，可以用於企業級的終端保護，還可與電腦生產廠家聯合推出全加密硬盤電腦，具備強大的適用性。目前DiskSec在中國空軍全軍得到應用，部署規模為10萬臺筆記本終端。除此之外，在金融、電信、電力、制造業等多個行業都已經有大量PC和筆記本電腦部署DiskSec。三、 端口數據泄露防護通過端口管控，來防止數據泄露，似乎中軟公司的防水墻已經為公眾所熟知。從技術上講，防水墻本身的門檻比較低，開發難度不大。已經有多種品牌的端口防護軟件面世，也得到了比較廣泛的應用。不論是物理端口，還是網絡端口，基本上都能得到保護。但是，從理論上說，只要數據進行了加密，就不再需要外圍的端口防護。既已進行了加密，又對端口進行防護，貌似有重復建設之疑。但是企業可以采用多重防護來保護數據，這是可以采用的辦法。當前在市面上主流的端口防護軟件比較多，其中以中軟防水墻和北京億賽通設備安全管理系統DeviceSec為主流。後者之所以能躋身為主流，是因為DeviceSec能結合加密軟件形成整體防護體系。相比較而言，DeviceSec結合加密功能，安全程度要高於單壹的端口防護軟件防水墻。四、 服務器(數據庫)數據防泄露大中型企業的數據安全最重要的地方，應該是保護服務器和數據庫。針對文件服務器數據，目前主要還是通過身份認證和權限控制這兩種訪問控制手段來確保安全。而針對應用服務器數據安全，相應的技術手段是相當孱弱的。數據庫的數據安全保護則更為復雜，有三種主要的手段：　1、基於文件的數據庫加密技術;2、基於記錄的數據庫加密技術;3、子密鑰數據庫加密。但是這三種手段都會給數據庫的性能帶來極大的影響。針對數據庫防泄露，必須采用更為先進的技術手段。針對服務器和數據庫，全球最為領先的技術和產品已經誕生。北京億賽通於2008年底推出的文檔安全網關系統FileNetSec，已經在國內諸多大型企業部署實施。廣發證券、宇龍通信、中信證券等企業紛紛采用FileNetSec來對核心數據進行加密保護。五、 移動存儲設備防泄密移動存儲設備主要指移動硬盤、U盤、PC儲存卡、MP3、MP4、數碼照相機、數碼攝像機、手機、光盤和軟盤等。隨著移動存儲設備的廣泛使用，移動存儲設備導致泄密的現象越來越普遍。目前針對移動設備泄密的解決辦法主要有兩方面：壹是對計算機及內部網絡各種端口進行管控，對接入端口的移動設備進行統壹認證，硬件綁定等方式，限制移動存儲設備的使用;二是對移動存儲設備本身設置口令/密碼進行身份識別，並且對移動存儲設備內的數據進行加密。通常所謂的介質管理，就是指移動存儲設備管理。目前在市場上關於移動存儲設備管理的軟件系統有很多，比如北京億賽通、國邁、北信源、博瑞勤等。在軍工、政府等部門，關於介質管理是有嚴格規定的，往往都是由各省級主管部門下文，強制各下屬單位部署介質管理系統。但是，壹般的介質管理系統有壹個致命的缺陷，就是只能對移動設備進行管理。只對移動存儲設備這壹個安全域進行管控，是遠遠不夠的。根據企業的信息安全需求，需要對各個不同的安全域都進行管控，才能實現整體壹致的防護體系，實現全面的數據防泄露。因此，選擇介質管理系統，要考慮與企業其他安全域兼容壹體。在這方面，北京億賽通走在了前面，介質管理是億賽通數據泄露防護(DLP)體系中不可缺少的壹環。不僅能完全保護移動設備安全，還能與其他安全系統形成壹套完整的防護體系。總結：孫子兵法雲：不謀全局者，不足謀壹域。雖然對內網系統劃分為五大安全域，但是，要做到分域安全和全面防護相統壹，必須統壹考慮，統壹架構，統壹部署。大中型企業要實現數據防泄露，對各個安全域的特點和具體需求，都要充分考慮，周密部署，以實現整體數據泄露防護(DLP)。