數(shù)據(jù)泄密事件屢發(fā)生 大中企業(yè)如何防范

隨著企業(yè)信息化進(jìn)程的推進(jìn)，關(guān)于網(wǎng)絡(luò)內(nèi)容的安全，即數(shù)據(jù)的安全，日益成為企業(yè)信息化建設(shè)最重要的目標(biāo)。當(dāng)前中國大中型企業(yè)的數(shù)據(jù)安全防護(hù)還相當(dāng)薄弱，各種泄密事件屢屢發(fā)生，給企業(yè)造成沉重打擊。為了避免數(shù)據(jù)泄露，企業(yè)在加強(qiáng)企業(yè)信息安全管理，提高安全意識的同時，必須進(jìn)一步加強(qiáng)企業(yè)網(wǎng)絡(luò)信息安全基礎(chǔ)建設(shè)。用技術(shù)手段來確保信息安全，是必不可少的。

創(chuàng)新互聯(lián)主要從事網(wǎng)站制作、網(wǎng)站設(shè)計、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)鹿寨,十年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18982081108

然而，大中型企業(yè)要做到信息防泄露是比較困難的。大中型企業(yè)往往有數(shù)千臺電腦，幾臺甚至幾十臺大型服務(wù)器，還有數(shù)目不詳?shù)囊苿佑脖P、U盤，以及各個分公司、外埠出差人員的電腦接入內(nèi)網(wǎng)。信息分布存放在各個物理位置，不論是終端電腦、服務(wù)器、筆記本電腦、移動硬盤、U盤，還是數(shù)據(jù)庫，都各自保存著各種文檔和數(shù)據(jù)。任何一個環(huán)節(jié)出現(xiàn)紕漏，都會導(dǎo)致數(shù)據(jù)泄露事件的發(fā)生。

根據(jù)當(dāng)前主流的數(shù)據(jù)安全分域防護(hù)理論，專家建議，把整個企業(yè)網(wǎng)絡(luò)及其存儲設(shè)備，分為五大安全域，分別控制，統(tǒng)一防護(hù)，實現(xiàn)整體一致的數(shù)據(jù)泄露防護(hù)，是科學(xué)有效的數(shù)據(jù)安全管理辦法。

所謂數(shù)據(jù)防泄露分域安全理論，就是把連接到企業(yè)網(wǎng)絡(luò)的各種物理設(shè)備，劃分為：終端、端口、磁盤、服務(wù)器(包括數(shù)據(jù)庫)和移動存儲設(shè)備五大安全區(qū)域，針對不同的安全域采用對應(yīng)的產(chǎn)品進(jìn)行保護(hù)?？梢詡?cè)重于對終端進(jìn)行防護(hù)，也可以針對服務(wù)器和數(shù)據(jù)庫進(jìn)行重點(diǎn)防護(hù)。根據(jù)企業(yè)自身的信息安全現(xiàn)狀，可以有針對性地選擇防護(hù)重點(diǎn)。

一、 終端數(shù)據(jù)防泄露

提到終端安全，大家一定會想到賽門鐵克。這家總部位于美國的世界級信息安全公司的廣告口號就是：賽門鐵克就是終端安全。針對終端數(shù)據(jù)防泄露，賽門鐵克以收購Vontu而來的數(shù)據(jù)丟失防護(hù)(DLP，Data Loss Prevention)產(chǎn)品，在全球范圍包括美國、歐洲、南亞等多數(shù)國家取得了極大的商業(yè)成功。其DLP產(chǎn)品幾乎是毫無阻礙地獲得各個國家的認(rèn)同，并得到實施。然而，賽門鐵克在日本和中國這兩個對信息安全把控最嚴(yán)密的國家，卻遲遲得不到進(jìn)展。賽門鐵克DLP的硬傷主要在于三個方面：1、高昂的價格使其成為貴族用品;2、本地化比較差。由于英語系國家在語言和技術(shù)交流方面的通暢，所以接受DLP比較容易，但在中國，賽門鐵克還有更多本地化工作要做。3、中國政府對信息安全產(chǎn)品的政策，使得國外信息安全產(chǎn)品只能局限于外企進(jìn)行銷售。

不僅是賽門鐵克，還有趨勢科技、Websense、麥咖啡等廠家的DLP產(chǎn)品在中國也有同樣的狀況。

其實，在終端數(shù)據(jù)防泄露方面，中國人是值得自豪的。以北京億賽通為首的中國DLP廠商，從2001年就開始研發(fā)的加密軟件，足以確保終端數(shù)據(jù)防泄露。國內(nèi)信息安全廠商在政府的保護(hù)下，獲得發(fā)展機(jī)遇，這是一個基本事實。中國人以獨(dú)有的技術(shù)敏感和產(chǎn)品領(lǐng)悟力，推出的文件透明加密、權(quán)限管理、外發(fā)控制等軟件，以文檔透明加密為核心，輔以權(quán)限控制，外發(fā)管理、日志審計等功能，能從源頭上確保數(shù)據(jù)安全。

不論是數(shù)千點(diǎn)的宇龍通信、正泰科技，數(shù)萬點(diǎn)甚至十萬點(diǎn)的比亞迪集團(tuán)、中集集團(tuán)、中國移動集團(tuán)，還是數(shù)十萬點(diǎn)的全球性跨國公司，都已經(jīng)采用億賽通終端數(shù)據(jù)防泄露系統(tǒng)。

針對終端信息安全，可以采用文檔透明加密系統(tǒng)SmartSec、文檔權(quán)限管理系統(tǒng)DRM文檔安全管理系統(tǒng)CDG和文檔外發(fā)控制系統(tǒng)ODM。除此之外，國內(nèi)也有其他加密軟件可采用，但從產(chǎn)品性能來看，稍遜一籌。

二、 磁盤數(shù)據(jù)防泄露

磁盤是存儲數(shù)據(jù)的物理設(shè)備。針對磁盤進(jìn)行管控，就可以防止數(shù)據(jù)泄露。當(dāng)前，防止磁盤數(shù)據(jù)泄露，全球最領(lǐng)先的技術(shù)是全磁盤加密(Full Disk Encryption)。關(guān)于全磁盤加密(FDE)軟件，可參閱《全磁盤加密(FDE)軟件性能大揭秘》和《全磁盤加密(FDE)軟件概述》。

通過對磁盤全盤加密來保護(hù)數(shù)據(jù)安全，是國際上主流信息安全廠商推出的技術(shù)。國外企業(yè)級用戶通常會采用最著名的Pointsec和Safeboot。Checkpoint公司花費(fèi)5.8億美元收購Protect Data公司所獲得了終端和移動設(shè)備數(shù)據(jù)安全產(chǎn)品Pointsec，其實在此之前已在全球得到應(yīng)用。Safeboot被麥咖啡公司收購，集成到麥咖啡的數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)中。

由于中國政府對企業(yè)信息安全的保護(hù)，中國企業(yè)不能使用國外加密軟件產(chǎn)品。國家法律規(guī)定，凡涉及到商用密碼的軟件產(chǎn)品，都必須由具備國家商用密碼生產(chǎn)定點(diǎn)單位資格和國家商用密碼銷售許可單位資格的企業(yè)生產(chǎn)和銷售。而且，還必須具備國家保密局、軍隊和公安部的相關(guān)銷售資質(zhì)才可以在國內(nèi)銷售。因此，國外FDE軟件在中國不能得到廣泛應(yīng)用。

可喜的是，中國軟件企業(yè)在FDE軟件方面并不落后于國外軟件廠商。北京億賽通于2008年推出的DiskSec軟件具備強(qiáng)大的功能，有單機(jī)版和企業(yè)版可以選用。從性能上看，比國外同類型的企業(yè)級FDE軟件要高。DiskSec不僅是一款能保護(hù)PC、筆記本電腦、移動存儲設(shè)備的多功能FDE軟件，可以用于企業(yè)級的終端保護(hù)，還可與電腦生產(chǎn)廠家聯(lián)合推出全加密硬盤電腦，具備強(qiáng)大的適用性。目前DiskSec在中國空軍全軍得到應(yīng)用，部署規(guī)模為10萬臺筆記本終端。除此之外，在金融、電信、電力、制造業(yè)等多個行業(yè)都已經(jīng)有大量PC和筆記本電腦部署DiskSec。

三、 端口數(shù)據(jù)泄露防護(hù)

通過端口管控，來防止數(shù)據(jù)泄露，似乎中軟公司的防水墻已經(jīng)為公眾所熟知。從技術(shù)上講，防水墻本身的門檻比較低，開發(fā)難度不大。已經(jīng)有多種品牌的端口防護(hù)軟件面世，也得到了比較廣泛的應(yīng)用。不論是物理端口，還是網(wǎng)絡(luò)端口，基本上都能得到保護(hù)。但是，從理論上說，只要數(shù)據(jù)進(jìn)行了加密，就不再需要外圍的端口防護(hù)。既已進(jìn)行了加密，又對端口進(jìn)行防護(hù)，貌似有重復(fù)建設(shè)之疑。但是企業(yè)可以采用多重防護(hù)來保護(hù)數(shù)據(jù)，這是可以采用的辦法。

當(dāng)前在市面上主流的端口防護(hù)軟件比較多，其中以中軟防水墻和北京億賽通設(shè)備安全管理系統(tǒng)DeviceSec為主流。后者之所以能躋身為主流，是因為DeviceSec能結(jié)合加密軟件形成整體防護(hù)體系。相比較而言，DeviceSec結(jié)合加密功能，安全程度要高于單一的端口防護(hù)軟件防水墻，

四、 服務(wù)器(數(shù)據(jù)庫)數(shù)據(jù)防泄露

大中型企業(yè)的數(shù)據(jù)安全最重要的地方，應(yīng)該是保護(hù)服務(wù)器和數(shù)據(jù)庫。針對文件服務(wù)器數(shù)據(jù)，目前主要還是通過身份認(rèn)證和權(quán)限控制這兩種訪問控制手段來確保安全。而針對應(yīng)用服務(wù)器數(shù)據(jù)安全，相應(yīng)的技術(shù)手段是相當(dāng)孱弱的。

數(shù)據(jù)庫的數(shù)據(jù)安全保護(hù)則更為復(fù)雜，有三種主要的手段：　1、基于文件的數(shù)據(jù)庫加密技術(shù);2、基于記錄的數(shù)據(jù)庫加密技術(shù);3、子密鑰數(shù)據(jù)庫加密。但是這三種手段都會給數(shù)據(jù)庫的性能帶來極大的影響。針對數(shù)據(jù)庫防泄露，必須采用更為先進(jìn)的技術(shù)手段。

針對服務(wù)器和數(shù)據(jù)庫，全球最為領(lǐng)先的技術(shù)和產(chǎn)品已經(jīng)誕生。北京億賽通于2008年底推出的文檔安全網(wǎng)關(guān)系統(tǒng)FileNetSec，已經(jīng)在國內(nèi)諸多大型企業(yè)部署實施。廣發(fā)證券、宇龍通信、中信證券等企業(yè)紛紛采用FileNetSec來對核心數(shù)據(jù)進(jìn)行加密保護(hù)。

五、 移動存儲設(shè)備防泄密

移動存儲設(shè)備主要指移動硬盤、U盤、PC儲存卡、MP3、MP4、數(shù)碼照相機(jī)、數(shù)碼攝像機(jī)、手機(jī)、光盤和軟盤等。隨著移動存儲設(shè)備的廣泛使用，移動存儲設(shè)備導(dǎo)致泄密的現(xiàn)象越來越普遍。目前針對移動設(shè)備泄密的解決辦法主要有兩方面：一是對計算機(jī)及內(nèi)部網(wǎng)絡(luò)各種端口進(jìn)行管控，對接入端口的移動設(shè)備進(jìn)行統(tǒng)一認(rèn)證，硬件綁定等方式，限制移動存儲設(shè)備的使用;二是對移動存儲設(shè)備本身設(shè)置口令/密碼進(jìn)行身份識別，并且對移動存儲設(shè)備內(nèi)的數(shù)據(jù)進(jìn)行加密。通常所謂的介質(zhì)管理，就是指移動存儲設(shè)備管理。

目前在市場上關(guān)于移動存儲設(shè)備管理的軟件系統(tǒng)有很多，比如北京億賽通、國邁、北信源、博瑞勤等。在軍工、政府等部門，關(guān)于介質(zhì)管理是有嚴(yán)格規(guī)定的，往往都是由各省級主管部門下文，強(qiáng)制各下屬單位部署介質(zhì)管理系統(tǒng)。

但是，一般的介質(zhì)管理系統(tǒng)有一個致命的缺陷，就是只能對移動設(shè)備進(jìn)行管理。只對移動存儲設(shè)備這一個安全域進(jìn)行管控，是遠(yuǎn)遠(yuǎn)不夠的。根據(jù)企業(yè)的信息安全需求，需要對各個不同的安全域都進(jìn)行管控，才能實現(xiàn)整體一致的防護(hù)體系，實現(xiàn)全面的數(shù)據(jù)防泄露。因此，選擇介質(zhì)管理系統(tǒng)，要考慮與企業(yè)其他安全域兼容一體。在這方面，北京億賽通走在了前面，介質(zhì)管理是億賽通數(shù)據(jù)泄露防護(hù)(DLP)體系中不可缺少的一環(huán)。不僅能完全保護(hù)移動設(shè)備安全，還能與其他安全系統(tǒng)形成一套完整的防護(hù)體系。

總結(jié)：孫子兵法云：不謀全局者，不足謀一域。雖然對內(nèi)網(wǎng)系統(tǒng)劃分為五大安全域，但是，要做到分域安全和全面防護(hù)相統(tǒng)一，必須統(tǒng)一考慮，統(tǒng)一架構(gòu)，統(tǒng)一部署。大中型企業(yè)要實現(xiàn)數(shù)據(jù)防泄露，對各個安全域的特點(diǎn)和具體需求，都要充分考慮，周密部署，以實現(xiàn)整體數(shù)據(jù)泄露防護(hù)(DLP)。

如何選購企業(yè)級防火墻

對于公司網(wǎng)絡(luò)安全來說，防火墻起的是關(guān)鍵性的作用，只有它，才可以防止來自互聯(lián)網(wǎng)上永不停止的各種威脅。防火墻的選擇對遠(yuǎn)程終端連接到中心系統(tǒng)獲取必要資源或完成重要任務(wù)的影響也非常大。當(dāng)選擇基于硬件的防火墻時，應(yīng)當(dāng)考慮以下十個方面的因素，以確保企業(yè)實現(xiàn)投資、安全性和生產(chǎn)力的最大化

1、必須可以提供值得信賴的安全

在市面上，UTM的種類非常多。根據(jù)商業(yè)模式的不同，一些網(wǎng)絡(luò)安全設(shè)備可以提供大量的功能和全面的服務(wù)，但是需要公司承擔(dān)高昂的價格，而另一些則只包含了基本的服務(wù)，但采購的成本也很低。

2、具有良好的易用性

在安全方面，全球跨國企業(yè)需要多級控制管理，但即使是這些需要大量保護(hù)的企業(yè)也不應(yīng)該將設(shè)備配置方式限定在命令行模式下。很多防火墻都可以在提供高度安全性的同時，提供友好的圖形界面以方便管理。

這樣做的優(yōu)點(diǎn)有幾個方面。圖形用戶界面有助于防止安裝時間出現(xiàn)錯誤。在圖形用戶界面下，更容易地診斷和糾正故障。圖形用戶界面也更易于培訓(xùn)工作人員，并進(jìn)行調(diào)整、升級和更新。

在選擇基于硬件的防火墻時，考慮到易用性也會帶來很大的好處。一個平臺越容易進(jìn)行管理，就越容易找到可以進(jìn)行安裝、維護(hù)和故障處理等工作的專業(yè)人士。

3、必須包含VPN支持

防火墻存在的目的并不限于防止網(wǎng)絡(luò)黑客的攻擊和非法數(shù)據(jù)輸出。一個好的防火墻還應(yīng)該可以在為遠(yuǎn)程連接建立安全通道，并對其進(jìn)行監(jiān)測。在選擇基于硬件的防火墻時，應(yīng)該確保其支持同類設(shè)備的基于SSL-和IPSec-保護(hù)的VPN連接（以保護(hù)點(diǎn)至點(diǎn)或站點(diǎn)到站點(diǎn)VPN），讓員工可以實現(xiàn)安全連接。

網(wǎng)絡(luò)安全狗是個什么東西

所說的應(yīng)該是網(wǎng)站安全狗，網(wǎng)站安全狗是一款服務(wù)器安全防護(hù)軟件，是為IDC運(yùn)營商、虛擬主機(jī)服務(wù)商、企業(yè)主機(jī)、服務(wù)器管理者等用戶提供服務(wù)器安全防范的實用系統(tǒng)，是集網(wǎng)站內(nèi)容安全防護(hù)、網(wǎng)站資源保護(hù)及網(wǎng)站流量保護(hù)功能為一體的服務(wù)器工具。作為服務(wù)器安全專家，這套軟件已通過公安部信息安全產(chǎn)品檢測中心的檢測，并獲檢驗合格證書。網(wǎng)站安全狗保護(hù)超過一百萬個網(wǎng)站。

網(wǎng)站安全狗主要防范針對網(wǎng)頁自身漏洞而發(fā)起的惡意攻擊。作為服務(wù)器安全專家，這套軟件已通過檢測。網(wǎng)站安全狗是為IDC運(yùn)營商、虛擬主機(jī)服務(wù)商、企業(yè)主機(jī)、服務(wù)器管理者等用戶提供服務(wù)器安全防范的實用系統(tǒng)。

服務(wù)器如何有效防止DDoS攻擊

DDOS攻擊只能防御，沒辦法防止

被DDOS的原因一般是因為網(wǎng)站產(chǎn)品屬于比較敏感的內(nèi)容，或者就是有同行的“關(guān)照”

防御DDOS只有兩種方法：1.購買硬件防御

2.套用CDN隱藏真實服務(wù)器地址