數(shù)據(jù)保護(hù)解決方案的部署和實(shí)施，在很大程度上能夠解決企業(yè)敏感數(shù)據(jù)泄露的問(wèn)題。要知道隨著企業(yè)規(guī)模的不同，成百上千的電腦和移動(dòng)存儲(chǔ)設(shè)備，在數(shù)據(jù)流動(dòng)中發(fā)生泄漏的可能性是極大的。作為企業(yè)的CIO，要根據(jù)企業(yè)對(duì)信息安全的需求，制定數(shù)據(jù)安全策略。

這些策略主要包括：保護(hù)敏感的信息避免被未經(jīng)授權(quán)的用戶訪問(wèn)或共享；不僅控制數(shù)據(jù)訪問(wèn)也控制如何使用和分發(fā)數(shù)據(jù)的能力，提供立體的全方位的數(shù)據(jù)保護(hù)；規(guī)定數(shù)據(jù)生命周期，對(duì)于過(guò)期的數(shù)據(jù)采取相應(yīng)的安全措施，防止垃圾數(shù)據(jù)滯留或被非法獲??；企業(yè)中要合理地對(duì)移動(dòng)介質(zhì)中的敏感文件采取保護(hù)策略，數(shù)據(jù)必須被加密，防止存儲(chǔ)介質(zhì)丟失后造成的數(shù)據(jù)泄露；企業(yè)中的電腦和服務(wù)器中的數(shù)據(jù)，應(yīng)該提供物理層面的縱深保護(hù)，防止數(shù)據(jù)的泄密。

數(shù)據(jù)保護(hù)解決方案及其具體應(yīng)用

數(shù)據(jù)保護(hù)解決方案之RMS（RightsManagementService）方案

RMS的主要特點(diǎn)：權(quán)限伴隨文檔，規(guī)定信息使用的權(quán)限和條件，并且權(quán)限信息加密。它的應(yīng)用領(lǐng)域，保護(hù)企業(yè)環(huán)境下的電子郵件通信，防止用戶非法轉(zhuǎn)發(fā)；強(qiáng)制實(shí)施文檔權(quán)限，未經(jīng)授權(quán)，該文檔就不能修改、復(fù)制，不能打印、分發(fā)，即使拷貝出去，也不能打開(kāi)。RMS還可以按用戶區(qū)分權(quán)限，防止未授權(quán)的查看，加密受保護(hù)的內(nèi)容，提供內(nèi)容過(guò)期，按信息內(nèi)容、用途控制為閱讀、轉(zhuǎn)發(fā)、保存、修改或打印、將保護(hù)擴(kuò)展到初始發(fā)布位置以外的地方。使用RMS的目的在于，輔助行政和法律措施實(shí)施安全策略，防止失誤操作造成的信息泄露。

RMS必須有應(yīng)用程序的支持，部署RMS服務(wù)器，然后與啟用RMS的應(yīng)用程序協(xié)作以避免數(shù)據(jù)未經(jīng)授權(quán)的使用?？梢钥刂莆臋n的打開(kāi)、讀取、修改權(quán)限。office文檔應(yīng)該是企業(yè)中主要的信息載體，通過(guò)RMMS可以對(duì)文檔的打開(kāi)、閱讀、修改、分發(fā)及其日期進(jìn)行限定，杜絕數(shù)據(jù)因非法獲取而泄露。比如在企業(yè)中分發(fā)文檔時(shí)候，對(duì)文檔進(jìn)行控制，它的特點(diǎn)是權(quán)限隨著文檔走，對(duì)其的整個(gè)生命周期進(jìn)行管理。不管把文檔分發(fā)到任何地方去，文檔的權(quán)限始終和文檔捆綁在一起。另外，RMS對(duì)于文檔權(quán)限的定義信息是加密的，這樣即使文檔被竊取，也無(wú)法打開(kāi)。郵件的轉(zhuǎn)發(fā)也是企業(yè)中信息流動(dòng)的一個(gè)重要方面，RMS可以控制郵件的各種權(quán)限，比如可以預(yù)防文檔被非法或者無(wú)意轉(zhuǎn)發(fā)出去，造成數(shù)據(jù)的泄露。通RMS權(quán)限設(shè)置word文檔就不能被轉(zhuǎn)發(fā)，修改等。

當(dāng)然RMS也有缺陷，不能提供主動(dòng)抵擋攻擊者對(duì)系統(tǒng)的攻擊，也無(wú)法抵御模擬攻擊，如使用數(shù)碼相機(jī)或第三方屏幕拷貝、記憶傳播等。

數(shù)據(jù)保護(hù)解決方案之EFS(EncryptingFileSystem)方案

EFS提供NTFS分區(qū)中文件級(jí)別的加密技術(shù)，基于公鑰策略，使用公鑰/私鑰密鑰對(duì)文檔進(jìn)行加密。這種加密對(duì)用戶是透明的，它是用公鑰加密，用私鑰解密，安全性極高。另外在Vista和2008中的EFS得到了增強(qiáng)。使用智能卡上直接存儲(chǔ)的加密密鑰進(jìn)行EFS加密，基于向?qū)⑴f智能卡中的文件遷移到新智能卡中，啟用EFS時(shí)加密系統(tǒng)頁(yè)面文件，增加了新的“組策略”選項(xiàng)。Vista和2008中的EFS可以加密系統(tǒng)的頁(yè)面文件，這樣防止系統(tǒng)被脫機(jī)攻擊，造成EFS加密被破解。還可以選擇EFS密鑰的長(zhǎng)度強(qiáng)制加密“我的文件夾”。

EFS的限制，如果用戶的私鑰丟失，則數(shù)據(jù)將永遠(yuǎn)丟失，私鑰很重要，千萬(wàn)不能丟失。EFS加密的強(qiáng)度非常高，私鑰丟失，文件無(wú)法打開(kāi)。因此要安全部署，防止惡意加密。比如，在企業(yè)中有這樣的員工，因?qū)ζ髽I(yè)不滿，在離開(kāi)前惡意加密了某些文件，然后把帳戶刪除，這樣就造成了數(shù)據(jù)的無(wú)法打開(kāi)。針對(duì)這種惡意的加密用以下兩個(gè)方法來(lái)解決：其一，修改注冊(cè)表，防止加密。其二，部署DRA（數(shù)據(jù)恢復(fù)代理）。

在企業(yè)中基于數(shù)據(jù)的安全性考慮，應(yīng)用EFS方案要遵循這幾點(diǎn)：部署盡可能少的DRA；至少有一個(gè)DRA；DRA使用后刪除私鑰；加密文件夾而不是單個(gè)文件。

EFS加密是基于操作系統(tǒng)的，如果系統(tǒng)在啟動(dòng)前已經(jīng)被攻破的話，那他就沒(méi)法實(shí)現(xiàn)自己的功能，因此在數(shù)據(jù)縱深保護(hù)中下面這個(gè)環(huán)節(jié)非常重要。

數(shù)據(jù)保護(hù)解決方案之BitLocker方案

Vista必定是未來(lái)系統(tǒng)的主流，在企業(yè)中部署Vista就能在很大程度上加固數(shù)據(jù)的安全，防止泄密。Vista提供的BitLocker技術(shù)是基于硬件的加密技術(shù)，它能為計(jì)算機(jī)提供脫機(jī)數(shù)據(jù)和操作系統(tǒng)保護(hù)，很好地解決了對(duì)EFS加密的脫機(jī)攻擊。另外BitLocker是一種全卷加密技術(shù)，能夠確保早期啟動(dòng)組件的完整性，能通過(guò)加密整個(gè)卷來(lái)幫助防止數(shù)據(jù)被盜或未經(jīng)授權(quán)查看。

BitLocker很好地解決了企業(yè)環(huán)境下的來(lái)自于硬件的泄密，它給予數(shù)據(jù)操作系統(tǒng)之下的安全屏障，啟動(dòng)時(shí)自動(dòng)提供解密密鑰，保護(hù)系統(tǒng)分區(qū)，保護(hù)用戶數(shù)據(jù)，保護(hù)注冊(cè)表，與操作系統(tǒng)無(wú)縫的集成，保護(hù)引導(dǎo)分區(qū)，杜絕離線攻擊，提供系統(tǒng)啟動(dòng)前基于數(shù)據(jù)的保護(hù)。
比如現(xiàn)代企業(yè)中每年都會(huì)淘汰一部分電腦，如果處理不當(dāng)，這部分電腦就成了信息的泄露源，利用BitLocker技術(shù)可以通過(guò)銷毀RootKey的方式快速地使電腦上的數(shù)據(jù)失效，防止了數(shù)據(jù)的泄露。系統(tǒng)啟動(dòng)故障，也容易造成數(shù)據(jù)的泄密，BitLocker可以確保啟動(dòng)過(guò)程的完整性。因?yàn)樵谙到y(tǒng)啟動(dòng)時(shí)驗(yàn)證各個(gè)啟動(dòng)組件的完整性，防止對(duì)啟動(dòng)組件的惡意修改；任何以其他途徑啟動(dòng)，都無(wú)法訪問(wèn)和修改被加密的系統(tǒng)卷；如果竊密者保護(hù)的卷做了改動(dòng)，會(huì)導(dǎo)致系統(tǒng)無(wú)法正常啟動(dòng)。桌面安全也是企業(yè)信息泄露的一個(gè)途徑，BitLocker在離線狀態(tài)下保證系統(tǒng)和數(shù)據(jù)的安全，加密整個(gè)Windows的安裝卷和其中所有用戶的數(shù)據(jù)，該卷在未正常啟動(dòng)的情況下不可讀。

總結(jié)：

在企業(yè)數(shù)據(jù)存儲(chǔ)和分發(fā)的流動(dòng)過(guò)程中，會(huì)面臨來(lái)自各方面的威脅。本文討論的RMS、EFS、BitLocker都是從技術(shù)的角度來(lái)保護(hù)數(shù)據(jù)的安全，防止泄密。要更好地保護(hù)企業(yè)的數(shù)據(jù)，只有技術(shù)和制度互相結(jié)合，才能發(fā)揮更大威力。

【編輯推薦】

1. 簡(jiǎn)單幾步確保數(shù)據(jù)庫(kù)安全
2. 你所忽視的MySQL數(shù)據(jù)庫(kù)安全問(wèn)題
3. 兩種策略選擇開(kāi)源安全產(chǎn)品
4. 數(shù)據(jù)泄露的七種主要途徑
5. 保護(hù)數(shù)據(jù)安全的三種武器