近期一系列企業(yè)數(shù)據(jù)受到黑客重創(chuàng)，并成為頭條新聞，引發(fā)人們深思。痛定思痛之后，如何保護企業(yè)重要數(shù)據(jù)，有沒有一個行之有效的方法，將是人們需要重點思考與行動的方向。

數(shù)據(jù)安全的重要性

數(shù)據(jù)泄漏的代價驚人，尤其是當這些數(shù)據(jù)泄漏關(guān)系到我們身邊的每個人。2009年，美國加利福利亞大學的研究人員攔截了一個正在活動從事犯罪的僵尸網(wǎng)絡(luò)(botnet)。僅僅八天，這個僵尸網(wǎng)絡(luò)就竊取了70 G大小的財務(wù)數(shù)據(jù)，估計其價值達到830萬美元。2011年4月，索尼公司披露，網(wǎng)絡(luò)罪犯們盜竊了索尼 PlayStation Network 和索尼在線娛樂網(wǎng)（Sony Online Entertainment）的用戶賬戶信息，受害用戶超過1億；失竊的數(shù)據(jù)包括用戶信用卡和借記卡號碼。專家估計，該次泄露事件將為索尼和信用卡簽發(fā)方造成10到20億美元的損失。

以下是兩組數(shù)據(jù)：

1） 國際開放安全基金會 (Open Security Foundation) 的資料顯示，2010年一共報告了 451,000 起涉及敏感信息被盜竊、丟失或意外泄露的事件。從2005年到2009年，僅上市公司報告的、因犯罪性數(shù)據(jù)泄露造成的經(jīng)濟損失就達1390億美元。不論是犯罪性的還是意外發(fā)生的，  數(shù)據(jù)丟失已成為大問題，它每年造成了上百億美元的損失。

2） 各類網(wǎng)站和存儲設(shè)備構(gòu)成數(shù)據(jù)記錄失竊或意外泄露的主要部分，造成了巨大的經(jīng)濟損失。失竊或被濫用的信息占全部泄露的16%，而丟失的或失竊的備份磁帶及其它介質(zhì)占數(shù)據(jù)泄露損失記錄的3%。另外，網(wǎng)頁攻擊最普遍且造成的損失最大。這些攻擊造成94%的數(shù)據(jù)被盜用，平均每次失竊給受害組織造成 143,209 美元的損失。還有，它們主要來自 SQL 注入式攻擊。通過比較可以看出，惡意代碼所造成的平均損失為 124,083 美元，而內(nèi)部人員每次惡意盜竊造成的平均損失為 100,300 美元。

上述兩組數(shù)據(jù)均顯示，一旦發(fā)生數(shù)據(jù)泄露事件，將給企業(yè)帶來巨大的經(jīng)濟損失和難以彌補的災(zāi)難性損害。然而，在受訪統(tǒng)計的企業(yè)中，了解到“企業(yè)數(shù)據(jù)的安全性”并未得到真正意義上的重視，其中，采取了具體的措施來防備數(shù)據(jù)丟失的企業(yè)最多只占25%。更多組織沒有有效采取具體措施來防止數(shù)據(jù)丟失。同時大多數(shù)企業(yè)依然存在認為傳統(tǒng)網(wǎng)絡(luò)防火墻足以保護數(shù)據(jù)資產(chǎn)的誤區(qū)，。事實上，由于網(wǎng)絡(luò)防火墻無法對應(yīng)用程序、電子郵件以及其他應(yīng)用協(xié)議進行監(jiān)測，從而使其成為實施攻擊、竊取數(shù)據(jù)最有效的攻擊方向。另外，許多企業(yè)將網(wǎng)絡(luò)運營外包給第三方公司，錯誤地以為，服務(wù)合同中已包含了防止數(shù)據(jù)丟失的安全性措施。

數(shù)據(jù)泄漏的安全防護

數(shù)據(jù)泄漏防護 (DLP) 提供一系列正規(guī)的的數(shù)據(jù)防護手段，其基礎(chǔ)是識別敏感數(shù)據(jù)并保護其免于失竊或泄露。梭子魚專業(yè)研究團隊——梭子魚實驗室的資料顯示，從2010 年始，來自這方面威脅情況發(fā)生了重大變化。其中，來自電子郵件方面的安全威脅降低了一半，垃圾郵件總量從每月檢測到 的520 億封下降到每月 260 億封。而利用搜索引擎和社交網(wǎng)站的網(wǎng)絡(luò)攻擊來傳染用戶電腦的發(fā)生率增長了55%。以前用于傳播垃圾電子郵件的僵尸網(wǎng)站，被重新設(shè)置了功能，用來查找網(wǎng)絡(luò)應(yīng)用程序中的漏洞以及用于其它自動攻擊。

針對這一研究，梭子魚公司DLP 解決方案增強和綜合了防護性能，同時能積極智能識別導(dǎo)致數(shù)據(jù)泄露的攻擊并給予實時阻止。它們還監(jiān)視特定信息的出站通訊，例如信用卡號碼、社保號碼、電子郵件地址和其它類型的敏感數(shù)據(jù)，防止這些信息傳入網(wǎng)絡(luò)。提供安全的訪問數(shù)據(jù)的方式。

針對企業(yè)數(shù)據(jù)泄露防護，梭子魚認為，不僅僅是某一款設(shè)備能簡單解決的問題，它需要一個綜合系統(tǒng)性解決方案，從多維度解決問題，梭子魚針對上述，提供以下四個方面指南建議：

首先，從“網(wǎng)絡(luò)應(yīng)用”層面，規(guī)避數(shù)據(jù)泄露風險。梭子魚web應(yīng)用程序防火墻（WAF）提供網(wǎng)絡(luò)應(yīng)用層 DLP 解決方案，主要用于防止網(wǎng)絡(luò)數(shù)據(jù)泄露。網(wǎng)頁應(yīng)用程序引導(dǎo)數(shù)據(jù)量通過三層網(wǎng)絡(luò)防火墻，一段安全的應(yīng)用程序中能在最大程度上防止因用戶輸入而造成的數(shù)據(jù)泄露。然而，一個程序中有數(shù)千行代碼，而代碼漏洞往往非常細微，難以識別，所以單純依賴完善代碼來防止數(shù)據(jù)泄露，本身就存在風險。梭子魚WAF可對所有 Web 應(yīng)用程序的輸入項進行掃描，搜索可能存在的威脅，例如 SQL 注入、跨站點腳本攻擊 (XSS)、OS 命令注入、站點勘察、會話劫持、惡意探測/爬網(wǎng)程序、cookie/會話竄改以及路徑遍歷。梭子魚WAF可立即阻止檢測到的各類攻擊，同時掃描所有的出站數(shù)據(jù)信息，防止泄漏任何敏感數(shù)據(jù)— 這是最典型的 DLP 形式。另外，由于梭子魚WAF具有綜合的記錄和報告功能，因此攻擊一旦發(fā)生，將會保留一切證據(jù)供分析。

其次，從“電子郵件”層面，規(guī)避與切斷數(shù)據(jù)泄露途徑。梭子魚反垃圾郵件和病毒防火墻（BSF）可阻止外網(wǎng)傳入的、利用電子郵件為網(wǎng)絡(luò)切入點的惡意軟件和間諜軟件攻擊，同時還能掃描出站電子郵件和附件，以防止敏感數(shù)據(jù)遭遇惡意（故意）盜竊和意外泄露。梭子魚BSF還具有電子郵件加密服務(wù)，用戶可免費加密郵件，防止意外泄露敏感數(shù)據(jù)。

第三，針對“遠程用戶”層面，多維度防范數(shù)據(jù)泄露。梭子魚SSL VPN使遠程用戶能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)資源進行安全訪問。在外公干過程中或在不受保護的客戶機上操作的授權(quán)客戶，才可安全訪問和使用網(wǎng)絡(luò)應(yīng)用程序、文件和其它內(nèi)部資源，不會造成敏感數(shù)據(jù)的泄漏。

第四，隨著“云”的發(fā)展與逐步落地，需要更長遠的部署防數(shù)據(jù)泄露策略，確保數(shù)據(jù)安全。

梭子魚Web安全網(wǎng)關(guān)（BWF）和 梭子魚web安全云解決方案（BWSF） 是保護終端用戶，如臺式機，筆記本系統(tǒng)免于成為數(shù)據(jù)泄漏切入點的兩種技術(shù)。惡意軟件的設(shè)計目的是盜竊信息。但是，BWF作為一種工具，BWSF作為一種基于云計算的 SaaS，都能執(zhí)行雙向惡意程序掃描，免受網(wǎng)絡(luò)中其它受感染系統(tǒng)傳入的攻擊；同時，對出去的信息進行掃描，以防止因內(nèi)部系統(tǒng)受到感染或其它途徑造成的數(shù)據(jù)丟失。梭子魚間諜程序刪除工具是 BWF 的一部分，對系統(tǒng)進行分析，并隔離可疑項，刪除其上發(fā)現(xiàn)的所有間諜軟件。

結(jié)論

由于數(shù)據(jù)泄露的后果通常非常嚴重，加之網(wǎng)絡(luò)犯罪越來越趨于自動式掃描攻擊，建議各個企業(yè)將 DLP 防護設(shè)為最高優(yōu)先級，并給予重視，能夠更加系統(tǒng)與專業(yè)的處理 DLP的相關(guān)問題。梭子魚公司戰(zhàn)略性地將 DLP 特性與以下產(chǎn)品或服務(wù)相結(jié)合：數(shù)據(jù)傳輸過程DLP 的Web 應(yīng)用程序防火墻和病毒及垃圾郵件防火墻； 數(shù)據(jù)訪問過程DLP的梭子魚 SSL VPN、梭子魚Web 安全網(wǎng)關(guān)和梭子魚Web安全云服務(wù)；使企業(yè)能在整個網(wǎng)絡(luò)層中開發(fā)出一種無縫 式DLP 結(jié)構(gòu)。真正確保數(shù)據(jù)的安全性。