數(shù)據(jù)泄露防護(hù)（DLP）分域安全簡(jiǎn)述

    目前，數(shù)據(jù)防泄露是信息安全的熱點(diǎn)問(wèn)題。隨著網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展、Internet應(yīng)用的日益廣泛，信息安全問(wèn)題變得尤為突出。建立完善的數(shù)據(jù)泄露防護(hù)體系、保護(hù)核心資源，已迫在眉睫。鑒于目前內(nèi)部局域網(wǎng)的現(xiàn)狀，可以針對(duì)數(shù)據(jù)存儲(chǔ)層和數(shù)據(jù)傳輸層進(jìn)行加密，結(jié)合文檔和數(shù)據(jù)生命周期，對(duì)內(nèi)部網(wǎng)絡(luò)分為終端、端口、磁盤(pán)、服務(wù)器、局域網(wǎng)四大區(qū)域，并針對(duì)數(shù)據(jù)庫(kù)、移動(dòng)存儲(chǔ)設(shè)備、筆記本電腦等特例，統(tǒng)一架構(gòu)，分別防護(hù)，實(shí)現(xiàn)分域安全。

    一、數(shù)據(jù)泄露的主要威脅　

    電子文檔多以明文方式存儲(chǔ)在計(jì)算機(jī)硬盤(pán)中，分發(fā)出去的文檔無(wú)法控制，極大的增加了管理的復(fù)雜程度。影響文檔安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結(jié)起來(lái)，按照對(duì)電子信息的使用密級(jí)程度和傳播方式的不同，我們將信息泄密的途徑簡(jiǎn)單歸納為如下幾方面：

    1.由電磁波輻射泄漏泄密(傳導(dǎo)輻射 、設(shè)備輻射等)

    這類泄密風(fēng)險(xiǎn)主要是針對(duì)國(guó)家重要機(jī)構(gòu)、重要科研機(jī)構(gòu)或其他保密級(jí)別非常高的企、事業(yè)單位或政府、軍工、科研場(chǎng)所等，由于這類機(jī)構(gòu)具備非常嚴(yán)密的硬保密措施，只需要通過(guò)健全的管理制度和物理屏蔽手段就可以實(shí)現(xiàn)有效的信息保護(hù)。

    2.網(wǎng)絡(luò)化造成的泄密(網(wǎng)絡(luò)攔截、黑客攻擊、病毒木馬等)

    網(wǎng)絡(luò)化造成的泄密成為了目前企業(yè)重點(diǎn)關(guān)注的問(wèn)題，常用的防護(hù)手段為嚴(yán)格的管理制度加訪問(wèn)控制技術(shù)，特殊的環(huán)境中采用網(wǎng)絡(luò)信息加密技術(shù)來(lái)實(shí)現(xiàn)對(duì)信息的保護(hù)。訪問(wèn)控制技術(shù)能一定程度的控制信息的使用和傳播范圍，但是，當(dāng)控制的安全性和業(yè)務(wù)的高效性發(fā)生沖突時(shí)，信息明文存放的安全隱患就會(huì)暴露出來(lái)，泄密在所難免。

    3.存儲(chǔ)介質(zhì)泄密(維修、報(bào)廢、丟失等)

    便攜機(jī)器、存儲(chǔ)介質(zhì)的丟失、報(bào)廢、維修、遭竊等常見(jiàn)的事件，同樣會(huì)給企業(yè)帶來(lái)極大的損失，在監(jiān)管力量無(wú)法到達(dá)的場(chǎng)合，泄密無(wú)法避免。

    4.內(nèi)部工作人員泄密(違反規(guī)章制度泄密、無(wú)意識(shí)泄密、故意泄密等)

    目前由于內(nèi)部人員行為所導(dǎo)致的泄密事故占總泄密事故的70%以上，內(nèi)部人員的主動(dòng)泄密是目前各企業(yè)普遍關(guān)注的問(wèn)題，通過(guò)管理制度規(guī)范、訪問(wèn)控制約束再加上一定的審計(jì)手段威懾等防護(hù)措施，能很大程度的降低內(nèi)部泄密風(fēng)險(xiǎn)，但是，對(duì)于終端由個(gè)人靈活掌控的今天，這種防護(hù)手段依然存在很大的缺陷，終端信息一旦脫離企業(yè)內(nèi)部環(huán)境，泄密依然存在。

    5.外部竊密

    國(guó)家機(jī)密、軍事機(jī)密往往被國(guó)外間諜覬覦，商業(yè)機(jī)密具備巨大的商業(yè)價(jià)值，往往被競(jìng)爭(zhēng)對(duì)手關(guān)注。自古以來(lái)對(duì)機(jī)密信息的保護(hù)，都不可避免以防止競(jìng)爭(zhēng)對(duì)手竊密作為首要目標(biāo)。

    二、數(shù)據(jù)泄露防護(hù)的實(shí)現(xiàn)方式

    當(dāng)前，數(shù)據(jù)泄露防護(hù)以動(dòng)態(tài)加解密技術(shù)為核心，分為文檔級(jí)動(dòng)態(tài)加解密和磁盤(pán)級(jí)動(dòng)態(tài)加解密兩種方式。

    1. 文檔級(jí)動(dòng)態(tài)加解密技術(shù)　　

    在不同的操作系中(如WINDOWS、LINUX、UNIX等)，應(yīng)用程序在訪問(wèn)存儲(chǔ)設(shè)備數(shù)據(jù)時(shí)，一般都通過(guò)操作系統(tǒng)提供的API 調(diào)用文件系統(tǒng)，然后文件系統(tǒng)通過(guò)存儲(chǔ)介質(zhì)的驅(qū)動(dòng)程序訪問(wèn)具體的存儲(chǔ)介質(zhì)。在數(shù)據(jù)從存儲(chǔ)介質(zhì)到應(yīng)用程序所經(jīng)過(guò)的每個(gè)路徑中，均可對(duì)訪問(wèn)的數(shù)據(jù)實(shí)施加密/解密操作，可以研制出功能非常強(qiáng)大的文檔安全產(chǎn)品。有些文件系統(tǒng)自身就支持文件的動(dòng)態(tài)加解密，如Windows系統(tǒng)中的NTFS文件系統(tǒng)，其本身就提供了EFS(Encryption File System)支持，但作為一種通用的系統(tǒng)，難以做到滿足各種用戶個(gè)性化的要求，如自動(dòng)加密某些類型文件等。由于文件系統(tǒng)提供的動(dòng)態(tài)加密技術(shù)難以滿足用戶的個(gè)性化需求，第三方的動(dòng)態(tài)加解密產(chǎn)品可以看作是文件系統(tǒng)的一個(gè)功能擴(kuò)展，能夠根據(jù)需要進(jìn)行掛接或卸載，從而能夠滿足用戶的各種需求。

    2.磁盤(pán)級(jí)動(dòng)態(tài)加解密技術(shù)

    對(duì)于信息安全要求比較高的用戶來(lái)說(shuō)，基于磁盤(pán)級(jí)的動(dòng)態(tài)加解密技術(shù)才能滿足要求。在系統(tǒng)啟動(dòng)時(shí)，動(dòng)態(tài)加解密系統(tǒng)實(shí)時(shí)解密硬盤(pán)的數(shù)據(jù)，系統(tǒng)讀取什么數(shù)據(jù)，就直接在內(nèi)存中解密數(shù)據(jù)，然后將解密后的數(shù)據(jù)提交給操作系統(tǒng)即可，對(duì)系統(tǒng)性能的影響僅與采用的加解密算法的速度有關(guān)，對(duì)系統(tǒng)性能的影響也非常有限，這類產(chǎn)品對(duì)系統(tǒng)性能總體的影響一般不超過(guò)10%(取目前市場(chǎng)上同類產(chǎn)品性能指標(biāo)的最大值)。

    三、數(shù)據(jù)泄露防護(hù)分域控制方案

    在數(shù)據(jù)泄露防護(hù)方面，可以從不同角度來(lái)保證安全。單一針對(duì)某個(gè)局部的防護(hù)技術(shù)可能導(dǎo)致系統(tǒng)安全的盲目性，這種盲目是對(duì)系統(tǒng)的某個(gè)或某些方面的區(qū)域采取了安全措施而對(duì)其它方面有所忽視。因而，針對(duì)數(shù)據(jù)安全，我們采用分域控制方案，將整個(gè)網(wǎng)絡(luò)分為終端、端口、磁盤(pán)、內(nèi)部網(wǎng)絡(luò)四種域，進(jìn)而對(duì)各域的安全采取不同的技術(shù)措施。

    1.終端

    終端是指在接入內(nèi)部網(wǎng)絡(luò)的各個(gè)操作終端。為了保證安全，可以從四個(gè)方面采取措施：

    1).針對(duì)研發(fā)類、技術(shù)類局域網(wǎng)終端，可以采用文檔透明加密系統(tǒng)加以控制。

    2).針對(duì)研發(fā)設(shè)計(jì)類之外的局域網(wǎng)終端，可以采用文檔權(quán)限管理系統(tǒng)加以控制。

    3).從局域網(wǎng)發(fā)往外部網(wǎng)路的文檔，可以采用文檔外發(fā)控制系統(tǒng)加以控制。

    4).針對(duì)整個(gè)局域網(wǎng)內(nèi)部文檔和數(shù)據(jù)安全，可以采用文檔安全管理系統(tǒng)加以控制。

    2.端口

    局域網(wǎng)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)端口，局域網(wǎng)各個(gè)終端的移動(dòng)設(shè)備接入端口，以及各個(gè)終端的信息發(fā)送端口，可以采用兩種方式加以控制：

    1)端口控制

    對(duì)移動(dòng)儲(chǔ)存設(shè)備、軟盤(pán)驅(qū)動(dòng)器、光盤(pán)驅(qū)動(dòng)器、本地打印機(jī)、數(shù)碼圖形儀、調(diào)制解調(diào)器、串行通訊口、并行通訊口、1394、紅外通訊口、wifi無(wú)線網(wǎng)卡、無(wú)線藍(lán)牙等進(jìn)行啟用和禁用/禁止手機(jī)同步等。

    應(yīng)用端口控制技術(shù)，可以使所有從端口輸出的文檔和數(shù)據(jù)自動(dòng)加密，防止明文出口。

    2)移動(dòng)設(shè)備接入控制

    通過(guò)對(duì)外部移動(dòng)設(shè)備接入訪問(wèn)控制，防止非法接入。

    3.磁盤(pán)

    所有的文檔和數(shù)據(jù)都必須保存在存儲(chǔ)介質(zhì)上。存儲(chǔ)介質(zhì)主要包括PC機(jī)硬盤(pán)、工作站硬盤(pán)、筆記本電腦硬盤(pán)，移動(dòng)存儲(chǔ)設(shè)備（主要是U盤(pán)和移動(dòng)硬盤(pán)）。對(duì)這些存儲(chǔ)設(shè)備的磁盤(pán)和扇區(qū)進(jìn)行控制，主要可以采用磁盤(pán)全盤(pán)加密技術(shù)和磁盤(pán)分區(qū)加密（虛擬磁盤(pán)加密）技術(shù)。

    1)磁盤(pán)全盤(pán)加密

    磁盤(pán)全盤(pán)加密技術(shù)（FDE）是目前已經(jīng)非常成熟的一項(xiàng)技術(shù)，能對(duì)磁盤(pán)上所有數(shù)據(jù)（進(jìn)行動(dòng)態(tài)加解密。包括操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)文件都可以被加密。通常這個(gè)加密解決方案在系統(tǒng)啟動(dòng)時(shí)就進(jìn)行加密驗(yàn)證，一個(gè)沒(méi)有授權(quán)的用戶，如果不提供正確的密碼，就不可能繞過(guò)數(shù)據(jù)加密機(jī)制獲取系統(tǒng)中的任何信息。

    2)磁盤(pán)分區(qū)加密

    磁盤(pán)分區(qū)加密，顧名思義，就是對(duì)磁盤(pán)的某一個(gè)分區(qū)（扇區(qū)）進(jìn)行加密。目前比較流行的虛擬磁盤(pán)加密就是對(duì)分區(qū)進(jìn)行磁盤(pán)級(jí)加密的技術(shù)。這種技術(shù)在國(guó)內(nèi)比較多，一般用于個(gè)人級(jí)的免費(fèi)產(chǎn)品。

    相應(yīng)的產(chǎn)品有文檔保險(xiǎn)柜DocSec。

     4.服務(wù)器

    同樣是應(yīng)用文檔級(jí)加密的數(shù)據(jù)泄露防護(hù)體系，針對(duì)服務(wù)器防護(hù)已有專門(mén)的產(chǎn)品。通常，用戶的服務(wù)器有資源服務(wù)器（文檔服務(wù)器等）和應(yīng)用服務(wù)器（PDM、OA、ERP等服務(wù)器），對(duì)這些服務(wù)器，可以采用網(wǎng)關(guān)級(jí)產(chǎn)品來(lái)進(jìn)行保護(hù)。部署實(shí)施文檔級(jí)安全網(wǎng)關(guān)之后，所有上傳到服務(wù)器上的文檔和數(shù)據(jù)都自動(dòng)解密為明文，所有從服務(wù)器上下載的文檔和數(shù)據(jù)都自動(dòng)加密為密文。

    目前市面上唯一的一款專業(yè)文檔安全網(wǎng)關(guān)系統(tǒng)（DNetSec），由北京億賽通開(kāi)發(fā)研制。

    5.內(nèi)部網(wǎng)絡(luò)

    內(nèi)部網(wǎng)絡(luò)主要由各個(gè)終端和連接各個(gè)終端的網(wǎng)絡(luò)組成。通過(guò)對(duì)各個(gè)終端硬盤(pán)和終端端口的加密管控，足以對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行全面控制，形成有效的內(nèi)部網(wǎng)絡(luò)防護(hù)體系。這種解決方案，其實(shí)是把磁盤(pán)全盤(pán)加密技術(shù)與網(wǎng)絡(luò)端口防護(hù)技術(shù)相結(jié)合，形成整體一致的防護(hù)系統(tǒng)。相應(yīng)的產(chǎn)品有磁盤(pán)全盤(pán)加密防護(hù)系統(tǒng)(TerminalSec)。

    四、數(shù)據(jù)泄露防護(hù)分域控制方案特例

    基于動(dòng)態(tài)加解密技術(shù)的數(shù)據(jù)泄露防護(hù)體系用途非常廣泛，并可以針對(duì)各個(gè)網(wǎng)絡(luò)域定制開(kāi)發(fā)出相對(duì)應(yīng)的產(chǎn)品。以下是數(shù)據(jù)泄露防護(hù)分域控制方案針對(duì)網(wǎng)絡(luò)域的幾種典型例子。 

    1.移動(dòng)存儲(chǔ)設(shè)備

    目前應(yīng)用得最多的的移動(dòng)存儲(chǔ)設(shè)備是U盤(pán)和移動(dòng)硬盤(pán)。針對(duì)這兩種移動(dòng)存儲(chǔ)設(shè)備，目前通常采用的是磁盤(pán)分區(qū)加密技術(shù)，對(duì)磁盤(pán)分區(qū)或者扇區(qū)進(jìn)行加密控制，所有從內(nèi)部網(wǎng)絡(luò)流轉(zhuǎn)到移動(dòng)存儲(chǔ)設(shè)備的文檔和數(shù)據(jù)都會(huì)自動(dòng)加密保護(hù)。市面上有成熟的產(chǎn)品如安全U盤(pán)（UDiskSec）和安全移動(dòng)硬盤(pán)(EDiskSec)可以選擇。

    2.數(shù)據(jù)庫(kù)

    使用數(shù)據(jù)庫(kù)安全保密中間件對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密是最簡(jiǎn)便直接的方法。主要是通過(guò)三種加密方式來(lái)實(shí)現(xiàn)：1.系統(tǒng)中加密，在系統(tǒng)中無(wú)法辨認(rèn)數(shù)據(jù)庫(kù)文件中的數(shù)據(jù)關(guān)系，將數(shù)據(jù)先在內(nèi)存中進(jìn)行加密，然后文件系統(tǒng)把每次加密后的內(nèi)存數(shù)據(jù)寫(xiě)入到數(shù)據(jù)庫(kù)文件中去，讀入時(shí)再逆方面進(jìn)行解密，2.DBMS內(nèi)核層（服務(wù)器端）加密：在DBMS內(nèi)核層實(shí)現(xiàn)加密需要對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)本身進(jìn)行操作。這種加密是指數(shù)據(jù)在物理存取之前完成加解密工作。3.DBMS外層（客戶端）加密：在DBMS外層實(shí)現(xiàn)加密的好處是不會(huì)加重?cái)?shù)據(jù)庫(kù)服務(wù)器的負(fù)載，并且可實(shí)現(xiàn)網(wǎng)上的傳輸，加密比較實(shí)際的做法是將數(shù)據(jù)庫(kù)加密系統(tǒng)做成DBMS的一個(gè)外層工具，根據(jù)加密要求自動(dòng)完成對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的加解密處理。

    針對(duì)以上三種數(shù)據(jù)加密方式的不足，目前已經(jīng)有全新的數(shù)據(jù)庫(kù)加密保護(hù)技術(shù)。通過(guò)磁盤(pán)全盤(pán)加密技術(shù)和端口防護(hù)技術(shù)，對(duì)數(shù)據(jù)庫(kù)的載體（磁盤(pán)）進(jìn)行全盤(pán)加密和數(shù)據(jù)流轉(zhuǎn)途徑（端口）進(jìn)行控制，從而實(shí)現(xiàn)數(shù)據(jù)庫(kù)加密保護(hù)。這種方式還能解決數(shù)據(jù)庫(kù)加密方案最常見(jiàn)的問(wèn)題——無(wú)法對(duì)數(shù)據(jù)庫(kù)管理員進(jìn)行管控。通過(guò)端口防護(hù)，即使數(shù)據(jù)庫(kù)管理員能得到明文，但是因?yàn)槎丝谝呀?jīng)被管控，所以數(shù)據(jù)依然不被外泄。

    目前市場(chǎng)上成熟的產(chǎn)品有北京億賽通公司的數(shù)據(jù)庫(kù)加密防護(hù)系統(tǒng)（DataBaseSec）。

    3.筆記本電腦

    筆記本電腦在運(yùn)輸途中，比如在出租汽車(chē)、地鐵、飛機(jī)上，經(jīng)常會(huì)被遺失；在停放的汽車(chē)、辦公桌、會(huì)議室甚至是家里，也常發(fā)生筆記本電腦被外賊或者家賊盜��；在筆記本電腦故障送修時(shí)，硬盤(pán)上的數(shù)據(jù)就完全裸露在維修人員面前。針對(duì)筆記本電腦數(shù)據(jù)保護(hù)，國(guó)際上通用的防護(hù)手段就是磁盤(pán)全盤(pán)加密技術(shù)。

    硬盤(pán)生產(chǎn)廠商例如希捷、西部數(shù)據(jù)和富士通等都支持全盤(pán)加密技術(shù)，將全盤(pán)加密技術(shù)直接集成到硬盤(pán)的相關(guān)芯片當(dāng)中，并且與可信計(jì)算機(jī)組（TCG）發(fā)布的加密標(biāo)準(zhǔn)相兼容。在軟件系統(tǒng)方面，賽門(mén)鐵克推出的Endpoint Encryption 6.0全盤(pán)版，以及McAfee的Total Protection for Data、PGP全盤(pán)加密和北京億賽通公司的DiskSec，都是不錯(cuò)的選擇。

    五、總結(jié)

    信息系統(tǒng)安全需要從多方面加以考慮，需要研究整個(gè)內(nèi)部網(wǎng)絡(luò)的安全策略，并在安全策略的指導(dǎo)下進(jìn)行整體的安全建設(shè)。本文所介紹的是一個(gè)典型的分域安全控制方案，針對(duì)不同的網(wǎng)絡(luò)區(qū)域采用不同的技術(shù)手段進(jìn)行實(shí)現(xiàn)加密防護(hù)。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]