企業(yè)數(shù)據(jù)保護(hù)的話題自從企業(yè)如融了互聯(lián)網(wǎng)應(yīng)用之后就一直在提，互聯(lián)網(wǎng)安全技術(shù)黑客技術(shù)就如同光明和黑暗一般，硝煙一直沒有散去?；ヂ?lián)網(wǎng)安全技術(shù)的提高，使得企業(yè)對(duì)于企業(yè)數(shù)據(jù)保護(hù)得意識(shí)有所加深，保護(hù)自身的數(shù)據(jù)安全成為了每個(gè)網(wǎng)絡(luò)管理員的必修課。

企業(yè)數(shù)據(jù)保護(hù)：文檔安全網(wǎng)關(guān)

通常，重要文檔都存放在服務(wù)器上，采用集中管理的方式進(jìn)行文檔管理，那要防止客戶端通過內(nèi)網(wǎng)連接到服務(wù)器上下載機(jī)密文檔，有什么辦法可以解決這個(gè)問題嗎?

目前有許多廠商都已推出網(wǎng)絡(luò)存取控制(NAC—Network Access Control)機(jī)制，從網(wǎng)關(guān)器下手，避免員工利用軟件規(guī)避由內(nèi)穿透企業(yè)防火墻的，此種以過濾的方法，都有一個(gè)共通的不足之處，那就是必須透過特征來判斷連結(jié)的流量是否有異，但是偏偏自由門、Tor等代理軟件，種類過多，又更新快速，在防堵內(nèi)部員工使用此類軟件穿透防火墻時(shí)，總是有未逮之處，例如如果封包內(nèi)容加密，或是新版本的代理軟件出現(xiàn)，都很有可能無法偵測(cè)出。 而EIM產(chǎn)品雖然能夠控管員工的上網(wǎng)行為，設(shè)立政策分類管理，并且有效的阻斷聯(lián)機(jī)，但當(dāng)員工使用代理軟件試圖穿透其防范時(shí)，此類產(chǎn)品也會(huì)有特征更新的問題。整體來說，使用此類產(chǎn)品來防范員工穿透防火墻，還是有一定的減輕效果，但無法像從終端著手來得全面。

還有用戶采用微軟的AD群組原則管理。AD的群組原則控管確實(shí)能達(dá)到很大的功效。將終端計(jì)算機(jī)的管理權(quán)限收回，然后再進(jìn)而設(shè)定相對(duì)應(yīng)的管理政策。透過群組原則可以將終端計(jì)算機(jī)安裝軟件的權(quán)限關(guān)閉，就無法透過代理軟件試圖穿透防火墻，自然只能遵循企業(yè)的政策連網(wǎng)。但是這樣的做法對(duì)于使用者來說會(huì)造成很大的不便，并不是所有的企業(yè)都能適用。

以上兩種方法雖然有其可取之處，但是對(duì)于用戶來講，仍然是不安全的。最理想的解決辦法，是采用文檔安全網(wǎng)關(guān)。以億賽通文檔安全網(wǎng)關(guān)NetSec 為例，NetSec由硬件和軟件兩大部分組成，其中硬件采用高性能的網(wǎng)絡(luò)服務(wù)器，軟件為億賽通研發(fā)的文檔安全網(wǎng)關(guān)軟件。文檔安全網(wǎng)關(guān)軟件由“網(wǎng)絡(luò)加速”、 “訪問控制”、“訪問日志”和“動(dòng)態(tài)加解密”四大模塊組成。NetSec對(duì)所有上傳到服務(wù)器的文檔自動(dòng)進(jìn)行解密，對(duì)所有從服務(wù)器下載的文檔自動(dòng)進(jìn)行加密。通過對(duì)文檔進(jìn)出服務(wù)器進(jìn)行強(qiáng)制管理，能徹底保護(hù)服務(wù)器上的文檔安全。

企業(yè)數(shù)據(jù)保護(hù)：數(shù)據(jù)泄露防護(hù)(DLP)體系

對(duì)于大型企業(yè)，或者是政府、醫(yī)院、學(xué)校等公共機(jī)構(gòu)，內(nèi)部網(wǎng)絡(luò)產(chǎn)生的海量數(shù)據(jù)，采用單一的解決辦法，已經(jīng)無法保證安全。針對(duì)目前越演越烈的數(shù)據(jù)泄露，已經(jīng)有完整的DLP解決方案。目前國(guó)外主流的DLP廠商Reconnex，(被McAfee收購)，另外還有Verdasys、Vericept、 Websense、RSA(被EMC收購)和 Symantec等。國(guó)內(nèi)著名的DLP廠商有北京億賽通。

采用DLP解決方案，通常要考慮從以下幾個(gè)方面著手：

首先，要考慮單位內(nèi)部的網(wǎng)絡(luò)連接狀況。如果內(nèi)網(wǎng)與外網(wǎng)連接，則關(guān)注網(wǎng)絡(luò)訪問權(quán)限的設(shè)定、端口的設(shè)置等，采用基于網(wǎng)絡(luò)的DLP解決方案，如果內(nèi)網(wǎng)外網(wǎng)完全隔離，則選擇基于主機(jī)的DLP解決方案，重點(diǎn)放在對(duì)終端數(shù)據(jù)產(chǎn)生、傳輸、轉(zhuǎn)移、存儲(chǔ)等操作進(jìn)行監(jiān)控、阻止的策略來進(jìn)行數(shù)據(jù)泄露防護(hù)。

其次，對(duì)內(nèi)部的核心數(shù)據(jù)進(jìn)行分類，可采用等級(jí)保護(hù)的方法，對(duì)此類數(shù)據(jù)實(shí)現(xiàn)加密并有訪問權(quán)限的策略設(shè)定。諸如源代碼、產(chǎn)品設(shè)計(jì)圖、財(cái)務(wù)信息、客戶資料等核心數(shù)據(jù)和其他數(shù)據(jù)就應(yīng)該定義為高等級(jí)保護(hù)，該類數(shù)據(jù)丟失的風(fēng)險(xiǎn)也為最高。

第三，明確設(shè)置策略和工作流程。采用等級(jí)保護(hù)之后，單位需要設(shè)計(jì)出相應(yīng)的數(shù)據(jù)管理流程來對(duì)這些核心機(jī)密數(shù)據(jù)的動(dòng)向、使用和訪問行為進(jìn)行嚴(yán)密監(jiān)控。在數(shù)據(jù)被非法使用時(shí)候，可在第一時(shí)間內(nèi)對(duì)異常行為做出反應(yīng)，并有詳細(xì)的日志審計(jì)制度，避免數(shù)據(jù)的泄露。

最后，采用制度加技術(shù)的雙重保險(xiǎn)，保護(hù)數(shù)據(jù)安全。通過安全意識(shí)教育，強(qiáng)化員工的風(fēng)險(xiǎn)意識(shí)，實(shí)際操作培訓(xùn)等使員工自覺遵守相關(guān)的策略。只有管理與技術(shù)相結(jié)合，才能做到真正的企業(yè)數(shù)據(jù)保護(hù)。
 

【編輯推薦】

1. Web安全漏洞之企業(yè)自查
2. Web應(yīng)用防火墻的主要特性
3. 兩種策略選擇開源安全產(chǎn)品
4. 數(shù)據(jù)泄露的七種主要途徑
5. 保護(hù)數(shù)據(jù)安全的三種武器