近年來，泄密案件日益成為企業(yè)管理者的夢魘。各種數(shù)據(jù)泄露事件越演越烈，不僅給企業(yè)帶來嚴(yán)重的直接經(jīng)濟(jì)損失，而且在品牌價值、投資人關(guān)系、社會公眾形象等多方面造成損害。因此，企業(yè)在加強(qiáng)信息安全管理的基礎(chǔ)上，必須采用先進(jìn)的數(shù)據(jù)泄露防護(hù)（DLP）體系防止泄密。

一、泄密是如何發(fā)生的？

泄密的情況是多種多樣的，不該將所有的泄密都混為一談。分析泄密的產(chǎn)生原因是很有必要的，這對于如何防止泄密有直接的關(guān)系。

在國外，由于粗心大意而誤使機(jī)密泄露的情況往往比較多。在中國，首先要考慮的是來自內(nèi)部人員的問題。憤青們也許會認(rèn)為筆者是在惡意詆毀國內(nèi)人士的素質(zhì)，但其實不是。泄密并不是一個道德問題，而是實實在在的利益問題。由于法律監(jiān)管效果不足，社會信用體系的缺失，使得內(nèi)部泄密者很容易逃脫法律的制裁，所以很多內(nèi)部人員出于牟利的動機(jī)，私自盜竊企業(yè)核心機(jī)密兜售與其他企業(yè)，甚至是競爭對手。在離職的時候，員工也往往將企業(yè)的核心機(jī)密拷貝帶走，以作為下一步工作的重要基礎(chǔ)。因此國內(nèi)企業(yè)要防范的重點是內(nèi)部泄密。

從總體上看，基本上可以分為來自內(nèi)部和外部兩大類。泄密的原因有內(nèi)部泄密、內(nèi)部失密和外部竊密。細(xì)分起來，應(yīng)該有以下七種情況：

1.內(nèi)部人員離職拷貝帶走資料泄密

這類情況發(fā)生概率最高。據(jù)調(diào)查，中國企業(yè)員工離職拷貝資料達(dá)到70%以上。在離職的時候，研發(fā)人員帶走研發(fā)成果，銷售人員帶走企業(yè)客戶資料，甚至是財務(wù)人員也會把企業(yè)的核心財務(wù)信息拷貝帶走。

2.內(nèi)部人員無意泄密和惡意泄密

企業(yè)內(nèi)部人員在上網(wǎng)時候不小心中了病毒或木馬，電腦上存儲的重要資料被流失的情況也非常多。由于病毒和木馬泛濫，使得企業(yè)泄密的風(fēng)險越來越大。而部分不良員工明知是企業(yè)機(jī)密信息，還通過QQ、MSN、郵件、博客或者是其他網(wǎng)絡(luò)形式，把信息發(fā)到企業(yè)外部，這種有針對性的泄密行為，導(dǎo)致的危害也相當(dāng)嚴(yán)重。

3.外部競爭對手竊密

競爭對手采用收買方式，買通企業(yè)內(nèi)部人員，讓內(nèi)部人員把重要信息發(fā)送競爭方，從而竊取機(jī)密的情況也非常多。這種方式直接損害了企業(yè)的核心資產(chǎn)，給企業(yè)帶來致命的打擊。

4.黑客和間諜竊密

目前國際國內(nèi)許多黑客和間諜，通過層出不窮的技術(shù)手段，竊取國內(nèi)各種重要信息，已經(jīng)成為中國信息安全的巨大威脅。雖然許多企業(yè)都部署了防火墻、殺毒軟件、入侵檢測等系統(tǒng)，但是對于高智商的犯罪人員來說，這些防御措施往往形同虛設(shè)。

5.內(nèi)部文檔權(quán)限失控失密

在單位內(nèi)部，往往機(jī)密信息會分為秘密、機(jī)密和絕密等不同的涉密等級。一般來說，根據(jù)人員在單位中的地位和部門的不同，其所接觸和知悉的信息也是不同。然而，當(dāng)前多數(shù)單位的涉密信息的權(quán)限劃分是相當(dāng)粗放的，導(dǎo)致不具備相應(yīng)密級的人員獲知了高密級信息。

6.存儲設(shè)備丟失和維修失密

移動存儲設(shè)備例如筆記本電腦、移動硬盤、手機(jī)存儲卡、數(shù)碼照相/攝錄機(jī)等，一旦遺失、維修或者報廢后，其存儲數(shù)據(jù)往往暴露無遺。隨著移動存儲設(shè)備的廣泛使用，家庭辦公興起，出差人員的大量事務(wù)處理等等都會不可避免地使用移動存儲設(shè)備。因此，移動存儲設(shè)備丟失和維修導(dǎo)致泄密也是當(dāng)前泄密事件發(fā)生的主要原因之一。

7.對外信息發(fā)布失控失密

在兩個或者多個合作單位之間，由于信息交互的頻繁發(fā)生，涉密信息也可能泄露，導(dǎo)致合作方不具備權(quán)限的人員獲得涉密信息。甚至是涉密信息流至處于競爭關(guān)系的第三方。因此，對于往外部發(fā)送的涉密信息，必須加以管控，防止外發(fā)信息失控而導(dǎo)致失密。

二、防止數(shù)據(jù)泄露的基本思路

根據(jù)以上分析，企業(yè)可以根據(jù)自身情況，有針對性地采取措施，做到有的放矢，徹底防至于泄密事件發(fā)生。因此，防止數(shù)據(jù)泄露主要考慮以下三個重要方面：

1.從源頭上確保數(shù)據(jù)安全，對核心數(shù)據(jù)加密

通過加密來確保數(shù)據(jù)安全，已經(jīng)成為多數(shù)信息安全專家的共識。不論是防火墻、殺毒軟件、入侵檢測這“老三樣”信息安全系統(tǒng)，還是新興的上網(wǎng)行為管理、防水墻等系統(tǒng)，都已經(jīng)在實踐中證明是無法防止泄密的。不論企業(yè)網(wǎng)絡(luò)的各種端口管控如何嚴(yán)密，由于數(shù)據(jù)本身并沒有做安全處理，都給留下了極大的泄密隱患。再高明的上網(wǎng)行為控制，都無法阻止內(nèi)部人員直接把硬盤卸下來，掛到另外的電腦上去拷貝數(shù)據(jù)。

采用加密手段，對數(shù)據(jù)進(jìn)行加密保護(hù)，已經(jīng)成為業(yè)界主要的做法。北京億賽通是中國最早從事加密軟件研發(fā)的信息安全企業(yè)，從2003年開始已經(jīng)在國內(nèi)首倡加密保護(hù)數(shù)據(jù)安全的理念。在億賽通的帶領(lǐng)下，中國涌現(xiàn)出一大批加密軟件企業(yè)。加密保護(hù)數(shù)據(jù)安全這一理念也得到國際跨國公司如賽門鐵克、麥咖啡和趨勢科技等公司的認(rèn)同。這些跨國公司也逐漸開始用加密技術(shù)，或者收購加密軟件公司，來彌補(bǔ)DLP產(chǎn)品的根本性缺陷。

2.從數(shù)據(jù)產(chǎn)生、存儲、使用、修改、流轉(zhuǎn)和銷毀的全生命周期防止泄密

雖然我們確定要對數(shù)據(jù)進(jìn)行加密，但是如何對數(shù)據(jù)進(jìn)行加密卻是一個巨大的問題。而且，由于要不斷地被使用和修改，必須采用不影響工作效率的加密技術(shù)，確保信息安全與工作效率之間的均衡。

由于企業(yè)數(shù)據(jù)環(huán)境復(fù)雜，數(shù)據(jù)不僅僅保存在數(shù)據(jù)庫，還流轉(zhuǎn)和存儲在網(wǎng)絡(luò)平臺、應(yīng)用系統(tǒng)、移動存儲設(shè)備和終端等等物理環(huán)境。企業(yè)信息系統(tǒng)在運行過程中，數(shù)據(jù)一般都會在服務(wù)器、終端、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)等物理環(huán)境上產(chǎn)生、存儲、使用、修改、流轉(zhuǎn)和銷毀。而不同的物理環(huán)境中，數(shù)據(jù)的狀態(tài)也是不同的。因此，因此采用加密手段，要分別針對不同的信息環(huán)境來進(jìn)行。

3.對特別容易發(fā)生泄密的情形，要采用加強(qiáng)型防泄密措施

首先要提到的是服務(wù)器和數(shù)據(jù)庫。服務(wù)器和數(shù)據(jù)庫往往存儲企業(yè)最核心的信息，是必須加強(qiáng)保護(hù)的重點。綜合市場上各種數(shù)據(jù)庫和服務(wù)器加密的系統(tǒng)，筆者認(rèn)為宇龍通信、廣發(fā)證券和中信證券等公司采用的FileNetSec是目前最先進(jìn)的。FileNetSec對所有進(jìn)出于服務(wù)器（數(shù)據(jù)庫）的數(shù)據(jù)和文檔，進(jìn)行全面的動態(tài)加密保護(hù)，有效地避免了內(nèi)部和外部人員對服務(wù)器數(shù)據(jù)的竊取和泄露，產(chǎn)品功能和性能經(jīng)過了多權(quán)威機(jī)構(gòu)的高度贊評，在全球信息安全領(lǐng)域開創(chuàng)了一條嶄新的服務(wù)器數(shù)據(jù)保護(hù)之路。

筆記本電腦也往往是數(shù)據(jù)泄密的重災(zāi)區(qū)。已經(jīng)有不計其數(shù)的人因為筆記本電腦丟失、維修和報廢后導(dǎo)致的數(shù)據(jù)泄露，鬧得聲敗名裂。筆者綜合各種筆記本電腦數(shù)據(jù)保護(hù)措施，認(rèn)為DiskSec是中國市場上最好的一款產(chǎn)品。

移動存儲設(shè)備（U盤、移動硬盤、MP3/MP4、錄音筆、攝錄機(jī)、數(shù)碼相機(jī)、手機(jī)等）也往往是數(shù)據(jù)泄密的禍根。針對移動存儲設(shè)備的防范措施比較多，此處不贅述。

三、當(dāng)前最先進(jìn)的數(shù)據(jù)泄露防護(hù)（DLP）體系是什么？

綜上所述，企業(yè)要分清企業(yè)自身的情況，清楚地了解企業(yè)可能導(dǎo)致泄密的各種環(huán)節(jié)，有針對性地選擇防泄密的措施，從而采用對應(yīng)的防泄密解決方案。

北京億賽通根據(jù)多年的加密領(lǐng)域經(jīng)驗，創(chuàng)造性地提出“數(shù)據(jù)泄露防護(hù)（DLP）分域安全理論”，把企業(yè)環(huán)境分為終端、端口、磁盤、服務(wù)器和局域網(wǎng)五大安全域，并以筆記本電腦、移動存儲設(shè)備、數(shù)據(jù)庫為安全域特例，針對各個安全域及特例實施相應(yīng)安全策略，形成終端文檔加解密、端口管理、全磁盤加密、文檔安全網(wǎng)關(guān)、安全U盤、安全移動硬盤等一系列DLP產(chǎn)品，在確保網(wǎng)絡(luò)各個節(jié)點數(shù)據(jù)安全的基礎(chǔ)上，構(gòu)建整體一致的立體化DLP解決方案。

國內(nèi)有一部分企業(yè)在移動存儲設(shè)備的數(shù)據(jù)安全方面做得也很不錯，但是移動存儲設(shè)備只是企業(yè)數(shù)據(jù)存儲的一個環(huán)節(jié)，單保護(hù)移動存儲設(shè)備還是不夠的。

國外信息安全廠商雖然有龐大的DLP系統(tǒng)，但從實際應(yīng)用上看，對于防止內(nèi)部泄密基本上沒有效果，只是一個價格高昂的擺設(shè)。

【編輯推薦】

1. 大中型企業(yè)如何防止數(shù)據(jù)泄露？
2. 中國數(shù)據(jù)泄露防護(hù)（DLP）市場分析