随着企业信息化进程推进有关网络内容安全即数据安全日益成为企业信息化建设最重要目标当前中国大中型企业数据安全防护还相当薄弱各种泄密事件屡屡发生给企业造成沉重打击为了避免数据泄露企业在加强企业信息安全管理提高安全意识同时必须进步加强企业网络信息安全基础建设用技术手段来确保信息安全是必不可少

    然而大中型企业要做到信息防泄露是比较困难大中型企业往往有数千台电脑几台甚至几十台大型服务器还有数目不详移动硬盘、U盘以及各个分公司、外埠出差人员电脑接入内网信息分布存放在各个物理位置不论是终端电脑、服务器、笔记本电脑、移动硬盘、U盘还是数据库都各自保存着各种文档和数据任何个环节出现纰漏都会导致数据泄露事件发生

    如何确保大中型企业数据安全？

    根据当前主流数据安全分域防护理论专家建议把整个企业网络及其存储设备分为 5大安全域分别控制统防护实现整体致数据泄露防护是科学有效数据安全管理办法

    所谓数据防泄露分域安全理论就是把连接到企业网络各种物理设备划分为:终端、端口、磁盘、服务器(包括数据库)和移动存储设备 5大安全区域针对区别安全域采用对应产品进行保护可以侧重于对终端进行防护也可以针对服务器和数据库进行重点防护根据企业自身信息安全现状可以有针对性地选择防护重点

    、 终端数据防泄露

    提到终端安全大家定会想到赛门铁克这家总部位于美国世界级信息安全公司广告口号就是:赛门铁克就是终端安全针对终端数据防泄露赛门铁克以收购Vontu而来数据丢失防护(DLPData Loss Prevention)产品在全球范围包括美国、欧洲、南亚等多数国家取得了极大商业成功其DLP产品几乎是毫无阻碍地获得各个国家认同并得到实施然而赛门铁克在日本和中国这两个对信息安全把控最严密国家却迟迟得不到进展赛门铁克DLP硬伤主要在于 3个方面:1、高昂价格使其成为贵族用品;2、本地化比较差由于英语系国家在语言和技术交流方面通畅所以接受DLP比较容易但在中国赛门铁克还有更多本地化工作要做3、中国政府对信息安全产品政策使得国外信息安全产品只能局限于外企进行销售

    不仅是赛门铁克还有趋势科技、Websense、麦咖啡等厂家DLP产品在中国也有同样状况

    其实在终端数据防泄露方面中国人是值得自豪以北京亿赛通为首中国DLP厂商从2001年就开始研发加密软件Software足以确保终端数据防泄露国内信息安全厂商在政府保护下获得发展机遇这是个基本事实中国人以独有技术敏感和产品领悟力推出文件透明加密、权限管理、外发控制等软件Software以文档透明加密为核心辅以权限控制外发管理、日志审计等功能能从源头上确保数据安全

    不论是数千点宇龙通信、正泰科技数万点甚至十万点比亚迪集团、中集集团、中国移动集团还是数十万点全球性跨国公司都已经采用亿赛通终端数据防泄露系统

    针对终端信息安全可以采用文档透明加密系统SmartSec、文档权限管理系统DRM文档安全管理系统CDG和文档外发控制系统ODM除此的外国内也有其他加密软件Software可采用但从产品性能来看稍逊筹

    2、 磁盘数据防泄露

    磁盘是存储数据物理设备针对磁盘进行管控就可以防止数据泄露当前防止磁盘数据泄露全球最领先技术是全磁盘加密(Full Disk Encryption)有关全磁盘加密(FDE)软件Software可参阅全磁盘加密(FDE)软件Software性能大揭秘和全磁盘加密(FDE)软件Software概述

    通过对磁盘全盘加密来保护数据安全是国际上主流信息安全厂商推出技术国外企业级用户通常会采用最著名Posec和SafebootCheckpo公司花费5.8亿美元收购Protect Data公司所获得了终端和移动设备数据安全产品Posec其实在此的前已在全球得到应用Safeboot被麦咖啡公司收购集成到麦咖啡数据泄露防护(DLP)系统中

    由于中国政府对企业信息安全保护中国企业不能使用国外加密软件Software产品国家法律规定凡涉及到商用密码软件Software产品都必须由具备国家商用密码生产定点单位资格和国家商用密码销售许可单位资格企业生产和销售而且还必须具备国家保密局、军队和公安部相关销售资质才可以在国内销售因此国外FDE软件Software在中国不能得到广泛应用

    可喜是中国软件Software企业在FDE软件Software方面并不落后于国外软件Software厂商北京亿赛通于2008年推出DiskSec软件Software具备强大功能有单机版和企业版可以选用从性能上看比国外同类型企业级FDE软件Software要高DiskSec不仅是款能保护PC、笔记本电脑、移动存储设备多功能FDE软件Software可以用于企业级终端保护还可和电脑生产厂家联合推出全加密硬盘电脑具备强大适用性目前DiskSec在中国空军全军得到应用部署规模为10万台笔记本终端除此的外在金融、电信、电力、制造业等多个行业都已经有大量PC和笔记本电脑部署DiskSec

    3、 端口数据泄露防护

    通过端口管控来防止数据泄露似乎中软公司防水墙已经为公众所熟知从技术上讲防水墙本身门槛比较低开发难度不大已经有多种品牌端口防护软件Software面世也得到了比较广泛应用不论是物理端口还是网络端口基本上都能得到保护但是从理论上说只要数据进行了加密就不再需要外围端口防护既已进行了加密又对端口进行防护貌似有重复建设的疑但是企业可以采用多重防护来保护数据这是可以采用办法

    当前在市面上主流端口防护软件Software比较多其中以中软防水墙和北京亿赛通设备安全管理系统DeviceSec为主流后者的所以能跻身为主流是DeviceSec能结合加密软件Software形成整体防护体系相比较而言DeviceSec结合加密功能安全程度要高于单端口防护软件Software防水墙

    4、 服务器(数据库)数据防泄露

    大中型企业数据安全最重要地方应该是保护服务器和数据库针对文件服务器数据目前主要还是通过身份认证和权限控制这两种访问控制手段来确保安全而针对应用服务器数据安全相应技术手段是相当孱弱

    数据库数据安全保护则更为复杂有 3种主要手段:　1、基于文件数据库加密技术;2、基于记录数据库加密技术;3、子密钥数据库加密但是这 3种手段都会给数据库性能带来极大影响针对数据库防泄露必须采用更为先进技术手段

    针对服务器和数据库全球最为领先技术和产品已经诞生北京亿赛通于2008年底推出文档安全网关系统FileNetSec已经在国内诸多大型企业部署实施广发证券、宇龙通信、中信证券等企业纷纷采用FileNetSec来对核心数据进行加密保护

    5、 移动存储设备防泄密

    移动存储设备主要指移动硬盘、U盘、PC储存卡、MP3、MP4、数码照相机、数码摄像机、手机、光盘和软盘等随着移动存储设备广泛使用移动存储设备导致泄密现象越来越普遍目前针对移动设备泄密解决办法主要有两方面:是对计算机及内部网络各种端口进行管控对接入端口移动设备进行统认证硬件绑定等方式限制移动存储设备使用; 2是对移动存储设备本身设置口令/密码进行身份识别并且对移动存储设备内数据进行加密通常所谓介质管理就是指移动存储设备管理

    目前在市场上有关移动存储设备管理软件Software系统有很多比如北京亿赛通、国迈、北信源、博瑞勤等在军工、政府等部门有关介质管理是有严格规定往往都是由各省级主管部门下文强制各下属单位部署介质管理系统

    但是般介质管理系统有个致命缺陷就是只能对移动设备进行管理只对移动存储设备这个安全域进行管控是远远不够根据企业信息安全需求需要对各个区别安全域都进行管控才能实现整体致防护体系实现全面数据防泄露因此选择介质管理系统要考虑和企业其他安全域兼容体在这方面北京亿赛通走在了前面介质管理是亿赛通数据泄露防护(DLP)体系中不可缺少环不仅能完全保护移动设备安全还能和其他安全系统形成套完整防护体系

    整理总结:孙子兵法云:不谋全局者不足谋域虽然对内网系统划分为 5大安全域但是要做到分域安全和全面防护相统必须统考虑统架构统部署大中型企业要实现数据防泄露对各个安全域特点和具体需求都要充分考虑周密部署以实现整体数据泄露防护(DLP)