數(shù)據(jù)安全似乎已經(jīng)成了2011年信息安全的主要命題之一。作為全球領(lǐng)先的內(nèi)容安全廠商，Websense在其2010年安全威脅報(bào)告就已經(jīng)指出："2010年發(fā)生的主要攻擊都有共同的目標(biāo)：竊取數(shù)據(jù)"，其中還包括轟動(dòng)一時(shí)的"極光（Aurora）和超級(jí)工廠病毒（Stuxnet)等。

而1月份爆發(fā)的"雷諾間諜案"則又為企業(yè)需警惕員工泄露內(nèi)部核心數(shù)據(jù)敲響了一記警鐘。據(jù)法國(guó)方面的新聞報(bào)道稱，雷諾兩名高管涉嫌盜竊和倒賣關(guān)乎雷諾未來(lái)發(fā)展的電動(dòng)車資料。同時(shí)還有知情人爆出，雷諾與其合作伙伴為電動(dòng)汽車項(xiàng)目投入了40億歐元，此事將可能危及雷諾汽車未來(lái)的發(fā)展和數(shù)千人的就業(yè)。而同時(shí)，法國(guó)政府還是雷諾汽車15%股份的持有者，這一事實(shí)讓此次泄漏事件的最終損失變得愈加難以估計(jì)。在此，我們且不論此次泄露事件爆出的背后是否有著更多的商業(yè)競(jìng)爭(zhēng)和政治因素，但其直指了一旦企業(yè)的核心數(shù)據(jù)泄漏將為企業(yè)帶來(lái)危險(xiǎn)的后果。

眾所周知，數(shù)據(jù)泄露一般經(jīng)由三中途徑造成，一是內(nèi)部員工惡意竊取數(shù)據(jù)，二是內(nèi)部員工無(wú)意間將數(shù)據(jù)外泄，三是外部威脅（如有組織的黑客犯罪集團(tuán)及惡意軟件等）。但在今天，無(wú)論是網(wǎng)絡(luò)犯罪者，或者企業(yè)員工都清楚地意識(shí)到企業(yè)中的某些數(shù)據(jù)就是一種有形的價(jià)值資產(chǎn)，獲取企業(yè)的敏感數(shù)據(jù)就等同于獲得了現(xiàn)金。在這種直接利益引發(fā)的誘惑，我們不難預(yù)測(cè)在2011年甚至更遠(yuǎn)的將來(lái)，數(shù)據(jù)泄漏問(wèn)題只會(huì)越演越烈。

如果威脅已經(jīng)無(wú)法避免，那么企業(yè)應(yīng)如何面對(duì)各種途徑造成數(shù)據(jù)泄露問(wèn)題呢？隨著企業(yè)逐漸對(duì)數(shù)據(jù)安全重視，市場(chǎng)中各種類型的數(shù)據(jù)安全產(chǎn)品和解決方案也在各自為營(yíng)，企業(yè)安全相關(guān)工作人員需要準(zhǔn)確判斷自身數(shù)據(jù)安全需求，并正確認(rèn)識(shí)數(shù)據(jù)安全解決方案的特點(diǎn)，才能為企業(yè)做出最佳的數(shù)據(jù)安全產(chǎn)品選擇，和最符合成本利益投資。對(duì)于數(shù)據(jù)安全我們需要了解：

安全是相對(duì)的，安全風(fēng)險(xiǎn)永遠(yuǎn)不可能等于0

用戶有時(shí)候?qū)?shù)據(jù)安全的應(yīng)用希望能夠追求盡善盡美，傾向于把所以認(rèn)知到的數(shù)據(jù)安全問(wèn)題項(xiàng)都羅列出來(lái)，并希望這些數(shù)據(jù)安全問(wèn)題能全部解決。但安全和威脅一直都是博弈存在的，此長(zhǎng)彼消。作為安全廠商和企業(yè)我們共同的目標(biāo)是要做到讓數(shù)據(jù)安風(fēng)險(xiǎn)趨于0，而不是過(guò)于追求大而全的單款方案。在選擇數(shù)據(jù)安全產(chǎn)品時(shí)，企業(yè)進(jìn)行更多理性判斷，諸如，什么情況下適合用怎樣數(shù)據(jù)安全技術(shù)來(lái)對(duì)此類問(wèn)題進(jìn)行控制，而什么情況下我們需要借助數(shù)據(jù)安全工具將企業(yè)數(shù)據(jù)泄漏風(fēng)險(xiǎn)到最低，當(dāng)然這個(gè)最低是業(yè)企業(yè)所能接受的，這樣企業(yè)才能正確衡量投入多少資本進(jìn)行安全防護(hù)是合理的，從而收到高的安全投資回報(bào)。

數(shù)據(jù)安全問(wèn)題其實(shí)也是一種風(fēng)險(xiǎn)管理的問(wèn)題，我們應(yīng)該先解決最為嚴(yán)重的數(shù)據(jù)泄露風(fēng)險(xiǎn)，對(duì)于無(wú)法回避的數(shù)據(jù)泄露風(fēng)險(xiǎn)應(yīng)該采用規(guī)章制度或者其他轉(zhuǎn)嫁方法來(lái)解決。

數(shù)據(jù)安全不單單為一個(gè)部門，而是為企業(yè)運(yùn)營(yíng)解決問(wèn)題

為企業(yè)解決數(shù)據(jù)安全問(wèn)題，最理想的做法是從企業(yè)業(yè)務(wù)風(fēng)險(xiǎn)大小出發(fā)，告之企業(yè)一旦數(shù)據(jù)泄露對(duì)其業(yè)務(wù)影響有多大，這種影響絕不是只對(duì)其 IT層面。如果企業(yè)的圖紙和源代碼等核心數(shù)據(jù)泄露，整體企業(yè)都必須為其承擔(dān)風(fēng)險(xiǎn)，而風(fēng)險(xiǎn)程度對(duì)于每個(gè)企業(yè)是各不相同的。例如某廠商的一款芯片的相關(guān)核心技術(shù)提前泄漏，由于一款芯片的生命周期是18個(gè)月，那么泄漏一款芯片對(duì)企業(yè)就不僅僅是半年到一年的影響，而意味著未來(lái)18個(gè)月企業(yè)都很難翻身。這對(duì)企業(yè)來(lái)說(shuō)不是簡(jiǎn)單的幾十萬(wàn)的損失，而是幾百萬(wàn)甚至更多的無(wú)法預(yù)估的損失。所以要把數(shù)據(jù)泄露放在企業(yè)運(yùn)營(yíng)層面看待，它不僅僅保護(hù)企業(yè)內(nèi)部的一些流程，不是對(duì)企業(yè)IT架構(gòu)有多重要，而是對(duì)企業(yè)有多重要。數(shù)據(jù)安全不單單為一個(gè)部門，而是為企業(yè)運(yùn)營(yíng)解決問(wèn)題。

數(shù)據(jù)泄漏防護(hù)（DLP）解決方案遠(yuǎn)遠(yuǎn)大于訪問(wèn)控制或加解密

數(shù)據(jù)泄漏防護(hù)（DLP）解決方案是目前最為成熟和國(guó)外最主流的數(shù)據(jù)安全保護(hù)方案，它可以有效識(shí)別各種機(jī)密數(shù)據(jù)的內(nèi)容，從而應(yīng)對(duì)各種數(shù)據(jù)變形后的泄密事件。但目前國(guó)內(nèi)推出的DLP解決方案大部分依托于訪問(wèn)控制，加解密的保護(hù)。但在國(guó)外比較成熟的DLP產(chǎn)品會(huì)更多關(guān)注數(shù)據(jù)的內(nèi)容到底是什么，它會(huì)用更多的技術(shù)去分析企業(yè)正在泄露的數(shù)據(jù)是工資單、圖紙還是源代碼。而不是不管是源文件還是代碼，統(tǒng)統(tǒng)在策略中定制的只要是機(jī)密，就加密。

加密和DLP其實(shí)是兩個(gè)概念。一款成熟的DLP產(chǎn)品需要做到能夠真正識(shí)別企業(yè)機(jī)密數(shù)據(jù)的內(nèi)容，正確的認(rèn)識(shí)企業(yè)的業(yè)務(wù)流程（誰(shuí)可以把何種企業(yè)數(shù)據(jù)發(fā)送到哪里？）以梳理出合理的業(yè)務(wù)流程保證敏感數(shù)據(jù)正確的流動(dòng)，此外，還需針對(duì)主要的HTTP/s、 SMTP和USB等不同的業(yè)務(wù)渠道進(jìn)行保護(hù)，并可以施以統(tǒng)一的策略管理和部署。

單純通過(guò)加密和訪問(wèn)限制來(lái)對(duì)數(shù)據(jù)安全防護(hù)是非常局限的。進(jìn)行加密之后文件從技術(shù)上講內(nèi)容被改變了，數(shù)據(jù)可能受到影響。此外，加密也可能會(huì)成為一種偽裝，因?yàn)榧用軟Q策是由人來(lái)制定的。所以如果企業(yè)沒(méi)有審計(jì)制度，就無(wú)法保證決策外的機(jī)密文件及其里面的內(nèi)容是否沒(méi)有被泄漏的。而這時(shí)，企業(yè)就會(huì)需要另尋專業(yè)的DLP技術(shù)來(lái)審計(jì)分析，外傳文件中是否含有源代碼等重要內(nèi)容，因?yàn)閷徲?jì)部門靠人工是很難發(fā)現(xiàn)文件中是否有組合源代碼的。并且，大范圍內(nèi)的加解密也會(huì)影響業(yè)務(wù)效率，尤其是對(duì)于上GB的文件來(lái)說(shuō)。但一款專業(yè)的DLP方案能判斷出真正是機(jī)密的內(nèi)容，從而阻止外傳，降低安全效率的損耗，縮小范圍，提升效率。

但是，通常DLP解決方案無(wú)法解決數(shù)據(jù)已經(jīng)泄漏到公司外部的情況，因此，企業(yè)可以采用加密、數(shù)字水印等技術(shù)來(lái)進(jìn)行補(bǔ)充保護(hù)。

Web是當(dāng)今數(shù)據(jù)泄露的主要通道

在Websense安全實(shí)驗(yàn)室針對(duì)2010年威脅的研究報(bào)告中就指出：52% 的數(shù)據(jù)泄露攻擊通過(guò)Web實(shí)現(xiàn)。因?yàn)楦鞣N現(xiàn)代混合攻擊都是通過(guò)將電子郵件威脅與Web攻擊組合來(lái)破解企業(yè)安全防護(hù)組建的軟肋。而另一方通過(guò)分析各種案例，我們不難發(fā)現(xiàn)由于員工的無(wú)意識(shí)或者疏忽造成的數(shù)據(jù)泄露事件最為頻繁。企業(yè)內(nèi)部員工可能因?yàn)闊o(wú)心之過(guò)，例如，在互聯(lián)網(wǎng)上通過(guò) Web 郵件網(wǎng)站將數(shù)據(jù)發(fā)送到自己的郵箱（如 gmail 和 hotmail），或是通過(guò)在線應(yīng)用程序甚至Web2.0社交網(wǎng)絡(luò)發(fā)帖等行為，無(wú)意識(shí)將機(jī)密數(shù)據(jù)送到圖謀不軌的人的手里。面向未來(lái)的數(shù)據(jù)安全解決方案需要能與保護(hù)Web的Web安全網(wǎng)關(guān)相集成，做到一方面可幫助企業(yè)將將業(yè)務(wù)擴(kuò)展到各Web 2.0網(wǎng)站，同時(shí)還能保護(hù)和防止惡意威脅并防范任何故意或意外導(dǎo)致數(shù)據(jù)及機(jī)密信息泄露。

總體來(lái)講，無(wú)論是靜態(tài)、動(dòng)態(tài)或使用中的數(shù)據(jù)，其價(jià)值都不容忽視。而一次數(shù)據(jù)泄露所帶來(lái)的損失可能比數(shù)據(jù)本身價(jià)值大得多。除了制定嚴(yán)格的數(shù)據(jù)保護(hù)法規(guī)和政策外，越來(lái)越多的政府開始著手實(shí)行對(duì)數(shù)據(jù)泄露方處以罰款的措施。 所以，從2011年企業(yè)起，企業(yè)應(yīng)該更加強(qiáng)調(diào)和重視數(shù)據(jù)安全的應(yīng)用。