隨著企業信息化的推進,網絡內容的安全,即數據的安全,日益成為企業信息化建設最重要的目標。目前,我國大中型企業的數據安全保護還相當薄弱,各種泄密事件頻發,對企業造成了沈重打擊。為了避免數據泄露,企業必須在加強企業信息安全管理、提高安全意識的同時,進壹步加強企業網絡信息安全的基礎設施建設。使用技術手段確保信息安全至關重要。但是大中型企業很難防止信息泄露。大中型企業往往有數千臺電腦,幾臺甚至幾十臺大型服務器,還有數量不明的移動硬盤和u盤,以及連接到內網的分公司和外地出差人員的電腦。信息分布在各個物理位置,無論是終端計算機、服務器、筆記本電腦、移動硬盤、u盤,還是數據庫,都保存著各種文檔和數據。任何壹個環節的失誤都會導致數據泄露。根據目前主流的數據安全保護理論,專家建議將整個企業網絡及其存儲設備劃分為五個安全域,分別控制,統壹保護,實現整體壹致的數據泄露防護,是壹種科學有效的數據安全管理方法。所謂數據防泄露域安全理論,就是將連接到企業網絡的各類物理設備劃分為終端、端口、磁盤、服務器(包括數據庫)、移動存儲設備五個安全區域,並采用相應的產品對不同的安全區域進行保護。可以重點保護終端,也可以重點保護服務器和數據庫。根據企業自身的信息安全狀況,有針對性地選擇保護重點。壹、終端數據泄露防範說到終端安全,大家肯定會想到賽門鐵克。這家總部位於美國的世界級信息安全公司的廣告口號是:賽門鐵克是終端安全。為了防止終端數據的泄露,賽門鐵克從Vontu收購的數據丟失防護(DLP)產品在全球大部分國家取得了巨大的商業成功,包括美國、歐洲和南亞。其DLP產品幾乎毫無障礙地得到了各國的認可,並得以實施。然而,賽門鐵克在日本和中國這兩個對信息安全控制最嚴格的國家進展緩慢。賽門鐵克DLP的硬傷主要在於三個方面:1,高昂的價格使其成為貴族產品;2.本地化很差。因為英語國家在語言和技術上溝通順暢,更容易接受DLP,但是在中國,賽門鐵克有更多的本地化工作要做。3.中國政府關於信息安全產品的政策使得外國信息安全產品只能由外國公司銷售。不僅僅是賽門鐵克,趨勢科技、Websense、Maccoffee等廠商的DLP產品在國內也有同樣的情況。其實中國人是以終端數據防泄露為榮的。以北京易賽通為首的中國DLP廠商,從2001開始研發加密軟件,足以保證終端數據不被泄露。國內信息安全廠商在政府的保護下獲得發展機會是壹個基本事實。憑借獨特的技術敏感度和產品理解,中民投推出了文檔透明加密、權限管理、外發控制等軟件,以文檔透明加密為核心,輔以權限控制、外發管理、日誌審計等功能,可以從源頭上保證數據安全。無論是數千家宇龍通信和鄭泰科技,數萬甚至數十萬的比亞迪集團、CIMC集團、中國移動集團,還是數十萬家全球跨國公司,都采用了易賽通終端數據防泄露系統。針對終端信息安全,可以使用SmartSec、DRM、CDG和ODM。此外,國內也有其他加密軟件,但在產品性能上,略遜壹籌。二、磁盤防數據泄露磁盤是存儲數據的物理設備。通過控制磁盤,可以防止數據泄漏。目前世界上最先進的防止磁盤數據泄露的技術是全磁盤加密。對於全磁盤加密(FDE)軟件,請參考“全磁盤加密(FDE)軟件性能的秘密”和“全磁盤加密(FDE)軟件概述”。通過加密整個磁盤來保護數據安全,是國際主流信息安全廠商推出的技術。國外企業用戶通常采用最著名的Pointsec和Safeboot。Checkpoint斥資5.8億美元收購了面向終端和移動設備的數據安全產品Pointsec,該產品之前實際上已經在全球範圍內應用。Safeboot被Coffee Company收購,集成到Coffee Company的數據防泄漏(DLP)系統中。由於中國政府對企業信息安全的保護,中國的企業不能使用國外的加密軟件產品。根據國家法律規定,所有涉及商用密碼的軟件產品必須由具有國家商用密碼指定生產單位和國家商用密碼銷售許可單位資質的企業生產和銷售。而且必須要有國家保密局、軍隊、公安部的相關銷售資質,才能在國內銷售。因此,國外的FDE軟件不能在中國廣泛使用。幸運的是,中國軟件企業在FDE軟件方面並不落後於外國軟件制造商。北京易賽通2008年推出的DiskSec軟件功能強大,有單機版和企業版可供選擇。從性能上看,它高於國外同類型企業FDE軟件。DiskSec不僅是壹款可以保護PC、筆記本電腦、移動存儲設備的多功能FDE軟件,還可以用於企業級終端保護。還可以與電腦廠商聯合推出全加密硬盤電腦,適用性強。目前,DiskSec已經在中國空軍得到應用,部署規模達到65438+萬臺筆記本終端。此外,大量PC和筆記本電腦在金融、電信、電力、制造業等多個行業部署了DiskSec。三、端口數據泄露保護通過端口控制來防止數據泄露,看來中軟的防水墻已經被大眾熟知了。從技術上來說,防水墻本身門檻比較低,開發難度不大。許多品牌的端口保護軟件已經發布並廣泛使用。無論是物理端口還是網絡端口,基本都能得到保護。但理論上只要加密數據,就不需要外圍端口保護。加密和端口保護都進行了,似乎有重復建設的嫌疑。然而,企業可以采用多重保護來保護數據,這是壹種可行的方法。目前市場上主流的端口防護軟件有很多,其中中軟防水墻和北京易賽通設備安全管理系統DeviceSec是主流。後者之所以能成為主流,是因為DeviceSec可以結合加密軟件,形成整體的防護體系。相比較而言,DeviceSec結合加密功能比單壹端口防護軟件防水墻更安全。四、服務器(數據庫)數據泄露防範大中型企業數據安全最重要的地方應該是保護服務器和數據庫。目前,文件服務器數據的安全性主要通過身份認證和權限控制來保證。對於應用服務器的數據安全,相應的技術手段相當薄弱。數據庫的數據安全保護比較復雜,主要有三種手段:1,基於文件的數據庫加密技術;2.基於記錄的數據庫加密技術:3.子密鑰數據庫加密。但是這三種方法都會給數據庫的性能帶來很大的影響。針對數據庫防泄密,必須采用更先進的技術手段。對於服務器和數據庫,誕生了世界上最先進的技術和產品。FileNetSec是北京易賽通於2008年底推出的文檔安全網關系統,已經在國內多家大型企業部署實施。廣發證券、宇龍通信、中信證券等企業都采用FileNetSec對核心數據進行加密保護。五、移動存儲設備防泄密移動存儲設備主要指移動硬盤、u盤、PC存儲卡、MP3、MP4、數碼相機、數碼攝像機、手機、光盤、軟盤等。隨著移動存儲設備的廣泛使用,移動存儲設備導致泄密的情況越來越普遍。目前移動設備泄密的解決方案主要有兩種:壹種是控制電腦和內網的各種端口,統壹移動設備訪問端口的認證,綁定硬件限制移動存儲設備的使用;二是通過設置密碼/口令來識別移動存儲設備,對移動存儲設備中的數據進行加密。所謂媒體管理,通常是指對移動存儲設備的管理。目前市場上有很多關於移動存儲設備管理的軟件系統,如北京易賽通、國脈、北信源、博睿勤等。在軍工、政府等部門,對媒體管理有嚴格的規定,往往是省級主管部門強制下屬單位部署媒體管理系統。但是壹般的媒體管理系統有壹個致命的缺陷,就是只能管理移動設備。僅僅控制移動存儲設備的安全域是不夠的。根據企業的信息安全需求,需要控制不同的安全域,以實現整體壹致的保護體系和全面的數據防泄漏。因此,在選擇媒體管理系統時,我們應該考慮與企業其他安全領域的集成。在這方面,北京易賽通走在了前面,媒體管理是易賽通數據泄露保護(DLP)體系中不可或缺的壹部分。它不僅可以完全保護移動設備的安全,還可以與其他安全系統形成壹個完整的保護體系。總結:《孫子兵法》說:不謀全局者,不謀壹域。雖然內網系統分為五個安全域,但要實現子域安全和全面防護的統壹,必須在考慮、架構和部署上統壹。為了實現數據防泄漏,大中型企業應充分考慮每個安全域的特點和具體要求,精心安排,實現整體數據防泄漏(DLP)。
上一篇:從惠農區怎麽去西北影視城?下一篇:江蘇省地質調查研究院