|
目前����,數(shù)據(jù)防泄露是信息安全的熱點問題。隨著網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展���、Internet應(yīng)用的日益廣泛����,信息安全問題變得尤為突出����。建立完善的數(shù)據(jù)泄露防護體系�����、保護核心資源�����,已迫在眉睫����。鑒于目前內(nèi)部局域網(wǎng)的現(xiàn)狀,可以針對數(shù)據(jù)存儲層和數(shù)據(jù)傳輸層進行加密��,結(jié)合文檔和數(shù)據(jù)生命周期����,對內(nèi)部網(wǎng)絡(luò)分為終端����、端口�����、磁盤�����、服務(wù)器��、局域網(wǎng)四大區(qū)域����,并針對數(shù)據(jù)庫、移動存儲設(shè)備�����、筆記本電腦等特例�,統(tǒng)一架構(gòu),分別防護��,實現(xiàn)分域安全。
一��、數(shù)據(jù)泄露的主要威脅
電子文檔多以明文方式存儲在計算機硬盤中�����,分發(fā)出去的文檔無法控制��,極大的增加了管理的復(fù)雜程度��。影響文檔安全的因素很多��,既有自然因素�����,也有人為因素�����,其中人為因素危害較大�����,歸結(jié)起來��,按照對電子信息的使用密級程度和傳播方式的不同��,我們將信息泄密的途徑簡單歸納為如下幾方面:
1.由電磁波輻射泄漏泄密(傳導(dǎo)輻射 ��、設(shè)備輻射等)
這類泄密風(fēng)險主要是針對國家重要機構(gòu)����、重要科研機構(gòu)或其他保密級別非常高的企、事業(yè)單位或政府�����、軍工�、科研場所等,由于這類機構(gòu)具備非常嚴(yán)密的硬保密措施�,只需要通過健全的管理制度和物理屏蔽手段就可以實現(xiàn)有效的信息保護。
2.網(wǎng)絡(luò)化造成的泄密(網(wǎng)絡(luò)攔截�、黑客攻擊、病毒木馬等)
網(wǎng)絡(luò)化造成的泄密成為了目前企業(yè)重點關(guān)注的問題���,常用的防護手段為嚴(yán)格的管理制度加訪問控制技術(shù)���,特殊的環(huán)境中采用網(wǎng)絡(luò)信息加密技術(shù)來實現(xiàn)對信息的保護。訪問控制技術(shù)能一定程度的控制信息的使用和傳播范圍����,但是���,當(dāng)控制的安全性和業(yè)務(wù)的高效性發(fā)生沖突時,信息明文存放的安全隱患就會暴露出來��,泄密在所難免���。
3.存儲介質(zhì)泄密(維修�����、報廢���、丟失等)
便攜機器�、存儲介質(zhì)的丟失、報廢���、維修�、遭竊等常見的事件��,同樣會給企業(yè)帶來極大的損失�����,在監(jiān)管力量無法到達的場合,泄密無法避免�。
4.內(nèi)部工作人員泄密(違反規(guī)章制度泄密、無意識泄密�����、故意泄密等)
目前由于內(nèi)部人員行為所導(dǎo)致的泄密事故占總泄密事故的70%以上��,內(nèi)部人員的主動泄密是目前各企業(yè)普遍關(guān)注的問題���,通過管理制度規(guī)范�、訪問控制約束再加上一定的審計手段威懾等防護措施�����,能很大程度的降低內(nèi)部泄密風(fēng)險�����,但是���,對于終端由個人靈活掌控的今天��,這種防護手段依然存在很大的缺陷���,終端信息一旦脫離企業(yè)內(nèi)部環(huán)境�,泄密依然存在��。
5.外部竊密
國家機密�、軍事機密往往被國外間諜覬覦,商業(yè)機密具備巨大的商業(yè)價值�����,往往被競爭對手關(guān)注���。自古以來對機密信息的保護��,都不可避免以防止競爭對手竊密作為首要目標(biāo)����。
二��、數(shù)據(jù)泄露防護的實現(xiàn)方式
當(dāng)前��,數(shù)據(jù)泄露防護以動態(tài)加解密技術(shù)為核心�����,分為文檔級動態(tài)加解密和磁盤級動態(tài)加解密兩種方式�。
1. 文檔級動態(tài)加解密技術(shù)
在不同的操作系中(如WINDOWS、LINUX���、UNIX等)���,應(yīng)用程序在訪問存儲設(shè)備數(shù)據(jù)時,一般都通過操作系統(tǒng)提供的API 調(diào)用文件系統(tǒng)��,然后文件系統(tǒng)通過存儲介質(zhì)的驅(qū)動程序訪問具體的存儲介質(zhì)�。在數(shù)據(jù)從存儲介質(zhì)到應(yīng)用程序所經(jīng)過的每個路徑中,均可對訪問的數(shù)據(jù)實施加密/解密操作�����,可以研制出功能非常強大的文檔安全產(chǎn)品�����。有些文件系統(tǒng)自身就支持文件的動態(tài)加解密���,如Windows系統(tǒng)中的NTFS文件系統(tǒng)�,其本身就提供了EFS(Encryption File System)支持,但作為一種通用的系統(tǒng)�����,難以做到滿足各種用戶個性化的要求���,如自動加密某些類型文件等�����。由于文件系統(tǒng)提供的動態(tài)加密技術(shù)難以滿足用戶的個性化需求�,第三方的動態(tài)加解密產(chǎn)品可以看作是文件系統(tǒng)的一個功能擴展��,能夠根據(jù)需要進行掛接或卸載���,從而能夠滿足用戶的各種需求�����。
2.磁盤級動態(tài)加解密技術(shù)
對于信息安全要求比較高的用戶來說��,基于磁盤級的動態(tài)加解密技術(shù)才能滿足要求。在系統(tǒng)啟動時,動態(tài)加解密系統(tǒng)實時解密硬盤的數(shù)據(jù)�����,系統(tǒng)讀取什么數(shù)據(jù)���,就直接在內(nèi)存中解密數(shù)據(jù)���,然后將解密后的數(shù)據(jù)提交給操作系統(tǒng)即可,對系統(tǒng)性能的影響僅與采用的加解密算法的速度有關(guān)��,對系統(tǒng)性能的影響也非常有限�����,這類產(chǎn)品對系統(tǒng)性能總體的影響一般不超過10%(取目前市場上同類產(chǎn)品性能指標(biāo)的最大值)����。
三、數(shù)據(jù)泄露防護分域控制方案
在數(shù)據(jù)泄露防護方面���,可以從不同角度來保證安全���。單一針對某個局部的防護技術(shù)可能導(dǎo)致系統(tǒng)安全的盲目性�,這種盲目是對系統(tǒng)的某個或某些方面的區(qū)域采取了安全措施而對其它方面有所忽視����。因而,針對數(shù)據(jù)安全��,我們采用分域控制方案���,將整個網(wǎng)絡(luò)分為終端�、端口���、磁盤�����、內(nèi)部網(wǎng)絡(luò)四種域�����,進而對各域的安全采取不同的技術(shù)措施�����。
1.終端
終端是指在接入內(nèi)部網(wǎng)絡(luò)的各個操作終端�����。為了保證安全���,可以從四個方面采取措施:
1).針對研發(fā)類、技術(shù)類局域網(wǎng)終端���,可以采用文檔透明加密系統(tǒng)加以控制����。
2).針對研發(fā)設(shè)計類之外的局域網(wǎng)終端���,可以采用文檔權(quán)限管理系統(tǒng)加以控制����。
3).從局域網(wǎng)發(fā)往外部網(wǎng)路的文檔����,可以采用文檔外發(fā)控制系統(tǒng)加以控制。
4).針對整個局域網(wǎng)內(nèi)部文檔和數(shù)據(jù)安全�,可以采用文檔安全管理系統(tǒng)加以控制。
2.端口
局域網(wǎng)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)端口�����,局域網(wǎng)各個終端的移動設(shè)備接入端口,以及各個終端的信息發(fā)送端口��,可以采用兩種方式加以控制:
1)端口控制
對移動儲存設(shè)備��、軟盤驅(qū)動器����、光盤驅(qū)動器、本地打印機���、數(shù)碼圖形儀���、調(diào)制解調(diào)器、串行通訊口�、并行通訊口、1394�����、紅外通訊口�、wifi無線網(wǎng)卡、無線藍牙等進行啟用和禁用/禁止手機同步等。
應(yīng)用端口控制技術(shù)����,可以使所有從端口輸出的文檔和數(shù)據(jù)自動加密,防止明文出口����。
2)移動設(shè)備接入控制
通過對外部移動設(shè)備接入訪問控制,防止非法接入�。
3.磁盤
所有的文檔和數(shù)據(jù)都必須保存在存儲介質(zhì)上����。存儲介質(zhì)主要包括PC機硬盤、工作站硬盤�、筆記本電腦硬盤,移動存儲設(shè)備(主要是U盤和移動硬盤)���。對這些存儲設(shè)備的磁盤和扇區(qū)進行控制����,主要可以采用磁盤全盤加密技術(shù)和磁盤分區(qū)加密(虛擬磁盤加密)技術(shù)����。
1)磁盤全盤加密
磁盤全盤加密技術(shù)(FDE)是目前已經(jīng)非常成熟的一項技術(shù),能對磁盤上所有數(shù)據(jù)(進行動態(tài)加解密。包括操作系統(tǒng)�、應(yīng)用程序和數(shù)據(jù)文件都可以被加密。通常這個加密解決方案在系統(tǒng)啟動時就進行加密驗證����,一個沒有授權(quán)的用戶,如果不提供正確的密碼�,就不可能繞過數(shù)據(jù)加密機制獲取系統(tǒng)中的任何信息。
2)磁盤分區(qū)加密
磁盤分區(qū)加密���,顧名思義�,就是對磁盤的某一個分區(qū)(扇區(qū))進行加密���。目前比較流行的虛擬磁盤加密就是對分區(qū)進行磁盤級加密的技術(shù)�����。這種技術(shù)在國內(nèi)比較多�����,一般用于個人級的免費產(chǎn)品�。
相應(yīng)的產(chǎn)品有文檔保險柜DocSec��。
4.服務(wù)器
同樣是應(yīng)用文檔級加密的數(shù)據(jù)泄露防護體系,針對服務(wù)器防護已有專門的產(chǎn)品�。通常,用戶的服務(wù)器有資源服務(wù)器(文檔服務(wù)器等)和應(yīng)用服務(wù)器(PDM�����、OA���、ERP等服務(wù)器)���,對這些服務(wù)器,可以采用網(wǎng)關(guān)級產(chǎn)品來進行保護���。部署實施文檔級安全網(wǎng)關(guān)之后,所有上傳到服務(wù)器上的文檔和數(shù)據(jù)都自動解密為明文����,所有從服務(wù)器上下載的文檔和數(shù)據(jù)都自動加密為密文。
目前市面上唯一的一款專業(yè)文檔安全網(wǎng)關(guān)系統(tǒng)(DNetSec)�����,由北京億賽通開發(fā)研制�����。
5.內(nèi)部網(wǎng)絡(luò)
內(nèi)部網(wǎng)絡(luò)主要由各個終端和連接各個終端的網(wǎng)絡(luò)組成。通過對各個終端硬盤和終端端口的加密管控�����,足以對內(nèi)部網(wǎng)絡(luò)進行全面控制�,形成有效的內(nèi)部網(wǎng)絡(luò)防護體系。這種解決方案�,其實是把磁盤全盤加密技術(shù)與網(wǎng)絡(luò)端口防護技術(shù)相結(jié)合,形成整體一致的防護系統(tǒng)��。相應(yīng)的產(chǎn)品有磁盤全盤加密防護系統(tǒng)(TerminalSec)�。
四、數(shù)據(jù)泄露防護分域控制方案特例
基于動態(tài)加解密技術(shù)的數(shù)據(jù)泄露防護體系用途非常廣泛����,并可以針對各個網(wǎng)絡(luò)域定制開發(fā)出相對應(yīng)的產(chǎn)品。以下是數(shù)據(jù)泄露防護分域控制方案針對網(wǎng)絡(luò)域的幾種典型例子�����。
1.移動存儲設(shè)備
目前應(yīng)用得最多的的移動存儲設(shè)備是U盤和移動硬盤�。針對這兩種移動存儲設(shè)備,目前通常采用的是磁盤分區(qū)加密技術(shù)�,對磁盤分區(qū)或者扇區(qū)進行加密控制���,所有從內(nèi)部網(wǎng)絡(luò)流轉(zhuǎn)到移動存儲設(shè)備的文檔和數(shù)據(jù)都會自動加密保護。市面上有成熟的產(chǎn)品如安全U盤(UDiskSec)和安全移動硬盤(EDiskSec)可以選擇����。
2.數(shù)據(jù)庫
使用數(shù)據(jù)庫安全保密中間件對數(shù)據(jù)庫進行加密是最簡便直接的方法。主要是通過三種加密方式來實現(xiàn):1.系統(tǒng)中加密����,在系統(tǒng)中無法辨認(rèn)數(shù)據(jù)庫文件中的數(shù)據(jù)關(guān)系,將數(shù)據(jù)先在內(nèi)存中進行加密�����,然后文件系統(tǒng)把每次加密后的內(nèi)存數(shù)據(jù)寫入到數(shù)據(jù)庫文件中去��,讀入時再逆方面進行解密��,2.DBMS內(nèi)核層(服務(wù)器端)加密:在DBMS內(nèi)核層實現(xiàn)加密需要對數(shù)據(jù)庫管理系統(tǒng)本身進行操作��。這種加密是指數(shù)據(jù)在物理存取之前完成加解密工作����。3.DBMS外層(客戶端)加密:在DBMS外層實現(xiàn)加密的好處是不會加重數(shù)據(jù)庫服務(wù)器的負(fù)載�����,并且可實現(xiàn)網(wǎng)上的傳輸,加密比較實際的做法是將數(shù)據(jù)庫加密系統(tǒng)做成DBMS的一個外層工具���,根據(jù)加密要求自動完成對數(shù)據(jù)庫數(shù)據(jù)的加解密處理��。
針對以上三種數(shù)據(jù)加密方式的不足�����,目前已經(jīng)有全新的數(shù)據(jù)庫加密保護技術(shù)���。通過磁盤全盤加密技術(shù)和端口防護技術(shù),對數(shù)據(jù)庫的載體(磁盤)進行全盤加密和數(shù)據(jù)流轉(zhuǎn)途徑(端口)進行控制��,從而實現(xiàn)數(shù)據(jù)庫加密保護���。這種方式還能解決數(shù)據(jù)庫加密方案最常見的問題——無法對數(shù)據(jù)庫管理員進行管控���。通過端口防護,即使數(shù)據(jù)庫管理員能得到明文����,但是因為端口已經(jīng)被管控���,所以數(shù)據(jù)依然不被外泄。
目前市場上成熟的產(chǎn)品有北京億賽通公司的數(shù)據(jù)庫加密防護系統(tǒng)(DataBaseSec)���。
3.筆記本電腦
筆記本電腦在運輸途中�����,比如在出租汽車���、地鐵、飛機上��,經(jīng)常會被遺失�����;在停放的汽車���、辦公桌、會議室甚至是家里�,也常發(fā)生筆記本電腦被外賊或者家賊盜取����;在筆記本電腦故障送修時�,硬盤上的數(shù)據(jù)就完全裸露在維修人員面前��。針對筆記本電腦數(shù)據(jù)保護�����,國際上通用的防護手段就是磁盤全盤加密技術(shù)�。
硬盤生產(chǎn)廠商例如希捷、西部數(shù)據(jù)和富士通等都支持全盤加密技術(shù)�����,將全盤加密技術(shù)直接集成到硬盤的相關(guān)芯片當(dāng)中�����,并且與可信計算機組(TCG)發(fā)布的加密標(biāo)準(zhǔn)相兼容��。在軟件系統(tǒng)方面���,賽門鐵克推出的Endpoint Encryption 6.0全盤版�,以及McAfee的Total Protection for Data����、PGP全盤加密和北京億賽通公司的DiskSec�����,都是不錯的選擇�。
五����、總結(jié)
信息系統(tǒng)安全需要從多方面加以考慮,需要研究整個內(nèi)部網(wǎng)絡(luò)的安全策略���,并在安全策略的指導(dǎo)下進行整體的安全建設(shè)�����。本文所介紹的是一個典型的分域安全控制方案��,針對不同的網(wǎng)絡(luò)區(qū)域采用不同的技術(shù)手段進行實現(xiàn)加密防護���。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強���!虛擬主機域名注冊頂級提供商�!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
