當前企業(yè)信息安全、商業(yè)機密保護是國內各行業(yè)網絡管理的熱點，在知識經濟時代，商業(yè)機密的安全管理至關重要。如何防止員工復制電腦文件到U盤攜帶出去，如何禁止員工通過QQ發(fā)送文件將商業(yè)機密發(fā)送出去，以及如何禁止郵件發(fā)送商業(yè)機密等，已經成為企業(yè)信息安全管理、數(shù)據防泄密管理的重要方面。而加強企業(yè)信息安全管控，不僅需要企業(yè)網絡管理人員甚至單位領導人員具備信息安全管理的意識，并且采取相應的管理舉措；而且還需要配合相應的技術管理手段，部署信息安全管理軟件、數(shù)據防泄漏軟件等，只有這樣才可以真正保護單位無形資產和商業(yè)機密的安全。

一、中國防泄密市場需求龐大；據估計，2010年全球數(shù)據泄露防護市場總額將達到；從行業(yè)分布來看，政府、軍隊和軍工單位、金融機構、；

二、泄密的原因和途徑具備多樣性特點；從實際情況來看，數(shù)據泄露的原因主要有三種：

1、竊密、；

2、國外黑客和間諜竊密：國際國內許多黑客和間諜，；

3、外部競爭對手竊密：企業(yè)與企業(yè)之間采用多種方式；

數(shù)據防泄露已經成為中國信息安全市場的新熱點。隨著信息化進程推進，信息安全建設的重點逐漸轉移到信息內容自身的安全方面。近年來，數(shù)據泄露造成國家、政府、企業(yè)的損失越來越大，數(shù)據泄露防護(DLP)日漸成為信息化建設的重點。

一、中國防泄密市場需求龐大

據估計，2010年全球數(shù)據泄露防護市場總額將達到20億美元，而在中國，至少可達到5億元RMB。旺盛的市場需求，對所有從事防泄密事業(yè)的企業(yè)來說，都是一個極好的消息。

從行業(yè)分布來看，政府、軍隊和軍工單位、金融機構、電信運營商在企業(yè)內控、防數(shù)據泄露方面將是2010年信息安全需求的重點。這一點，在許多跨國信息安全公司的內部報告中可以看到。

二、泄密的原因和途徑具備多樣性特點

從實際情況來看，數(shù)據泄露的原因主要有三種：竊密、泄密和失密。結合各種實際情況，數(shù)據泄露的主要途徑有以下七種：

1. 國外黑客和間諜竊密：國際國內許多黑客和間諜，通過層出不窮的技術手段，竊取國內各種重要信息，已經成為中國信息安全的巨大威脅。如果放任不管，必將造成無可估量的損失。

2. 外部競爭對手竊密：企業(yè)與企業(yè)之間采用多種方式竊取競爭對手機密信息，自古以來都是普遍發(fā)生的。如果中國企業(yè)不重視自身機密信息的保護，不僅會造成商業(yè)競爭的被動，直接損失造成經濟損失，甚至會導致整體行業(yè)的衰落與滅亡。

3. 內部人員離職拷貝帶走資料泄密：由于中國企業(yè)不重視知識產權保護，不重視機密信息安全，所以離職人員在離職前都會大量拷貝帶走核心資料。在這些人員再次就業(yè)之時，這些被拷貝帶走的商業(yè)信息，就成為競爭對手打擊和擠壓原單位的重要武器。

4. 內部人員無意泄密和惡意泄密：國家單位和企事業(yè)單位人員對于信息安全重要性的認識不足，會導致涉密人員在無意中泄密。而部分不良分子，出于對原就業(yè)單位的報復，肆意將機密信息公之于眾，甚至發(fā)布到網上任人瀏覽。

5. 內部文檔權限失控失密：在內部，往往機密信息會分為秘密、機密和絕密等不同的涉密等級。當前多數(shù)單位的涉密信息的權限劃分是相當粗放的，很難細分到相應的個人。因此，內部數(shù)據和文檔在權限管控方面的失控，會導致不具備權限的人員獲得涉密信息，或者是低權限的人員獲得高涉密信息。

6. 存儲設備丟失和維修失密：移動存儲設備例如筆記本電腦、移動硬盤、手機存儲卡、數(shù)碼照相/攝錄機等，一旦遺失、維修或者報廢后，其存儲數(shù)據往往暴露無遺。“艷照門事件”就是此類事件的典型。

7. 對外信息發(fā)布失控失密：在兩個或者多個合作單位之間，由于信息交互的頻繁發(fā)生，涉密信息也可能泄露，導致合作方不具備權限的人員獲得涉密信息。甚至是涉密信息流出到處于競爭關系的第三方。

三、當前五種主要的防泄密手段概述

1、內網管理軟件內網管理一般是指對單位內部網絡終端的綜合管理。內網管理軟件如“大勢至電腦文件防泄密系統(tǒng)”（下載地址：http://www.grabsun.com/monitorusb.html）主要通過禁止遠程屏幕拷貝、遠程屏幕監(jiān)控、全硬盤文件監(jiān)控和文件監(jiān)視、上網行為檢查和打印監(jiān)控等網絡監(jiān)控功能（可選組件）；具有禁用USB、禁用光驅、軟驅、管理非法外聯(lián)等阻斷管理功能；具有禁用QQ、禁用BT、禁用游戲、遠程修改IP、禁止修改IP、通過進程知識庫進行木馬分析和查殺、自動補丁分發(fā)的補丁管理、注冊表監(jiān)控、流量排名和流量報警阻斷等運行維護功能。如下圖所示：

內網管理軟件屬于早期的初級防泄密手段。從技術上講，內網管理不可能阻截所有的泄密通道，而且沒有對文檔和數(shù)據進行加密，所以其防泄密程度有限，難以做到真正的數(shù)據防泄露。因此，內網管理軟件從防泄密角度來看，基本不能滿足需求，這一點已經得到大多數(shù)人的認同。但是，內網管理軟件可以作為一種輔助手段。

2、文檔加密軟件

文件加密主要是指文檔加密軟件，目前在中國大概有300家左右的文檔加密軟件企業(yè)。文檔加密軟件是通過對內網終端的產生和存儲的文檔進行透明加密或者文檔使用權限管理，使終端得到控制，實現(xiàn)文檔安全管理。

例如“大勢至文檔加密軟件”（下載地址：http://www.grabsun.com/dnwjjm.html）目前在中國使用最為廣泛，在政府、軍隊、金融、通信、制造、設計院所等行業(yè)的終端數(shù)據安全保護方面，都有許多成功案例。從長遠來看，文檔加密軟件還會繼續(xù)得到使用。隨著技術的發(fā)展和用戶需求的延伸，不僅要求對內網終端進行管控，還需要從磁盤、端口、服務器、數(shù)據庫等多方面進行管理。單一的文檔加密軟件只能對終端進行加密控制，不是一個完整的解決方案，已經不能完全滿足用戶需求，而是逐漸成為一種標準工具。最早一款集內網行為管理、加密為一體的加密軟件，是由廈門天銳科技有限公司研發(fā)的綠盾信息安全管理軟件，已在2006年發(fā)布。

大勢至電腦文件加密軟件不僅可以對電腦磁盤文件進行加密，而且還可以對U盤文件進行加密，并且還可以深度隱藏電腦磁盤，防止隨意訪問磁盤文件的行為。此外，還可以限制加密文件打開后的訪問動作，可以實現(xiàn)只讓讀取加密文件而禁止復制加密文件、只讓修改加密文件而禁止刪除加密文件、只讓打開加密文件而禁止另存為本地磁盤，以及禁止拖動加密文件、禁止打印加密文件等，全面保護加密文件的安全。如下圖所示：

圖：加密電腦文件

圖：隱藏磁盤文件

3、硬件加密

硬件加密是通過專用加密芯片或獨立的處理芯片等實現(xiàn)密碼運算。將加密芯片、專有電子鑰匙、硬盤一一對應到一起時，加密芯片將把加密芯片信息、專有鑰匙信息、硬盤信息進行對應并做加密運算，同時寫入硬盤的主分區(qū)表。這時加密芯片、專有電子鑰匙、硬盤就綁定在一起，缺少任何一個都將無法使用。經過加密后硬盤如果脫離相應的加密芯片和電子鑰匙，在計算機上就無法識別分區(qū)，更無法得到任何數(shù)據。

硬件加密方式往往是對硬盤上的數(shù)據進行管控，使用范圍相當有限，不是主要的防泄密手段。硬件加密方式的優(yōu)點在于穩(wěn)定性比較高，但是適用面比較窄，而且價格比較高，因此長遠發(fā)展趨勢還不好預測。

4、國外數(shù)據泄露防護（DLP）

從2006年開始，基于防止外部入侵竊密和內部無意泄密的需求，國際信息安全巨頭包括RSA（EMC）、Websense等，陸續(xù)推出了DLP（數(shù)據泄露防護）產品。國外DLP的核心技術包括：內容識別分類、輸出內容監(jiān)控、敏感信息阻截、審計、移動設備管理。這些功能都是以防泄漏為主，其比較致命的缺陷之一是對內部有意帶走資料的行為無法防范。國外DLP產品技術相對成熟，但在防止內部泄密方面實有欠缺，而且價格高昂、本地化差，因此注定在中國水土不服。

5、國內數(shù)據泄露防護（DLP）

由于中國國情的特殊性，防泄密的重點是防止內部泄密，同時也要防外部竊密。因此，基于此類事件，廈門天銳科技有限公司于2006年發(fā)布了國內首款集加密、內外網管理為一體綠盾信息安全管理軟件。綠盾采用Windows內核的文件過濾驅動實現(xiàn)透明加解密。隨著Windows的開機而啟動，關機而停止，無法手工停止，保證了加解密的安全。文件在創(chuàng)建、編輯的時候強制自動加密，不影響用戶的使用習慣，即使被非法復制帶離公司，也無法正常打開。除了可以防止內部人員有意、無意的信息泄密外，還能夠有效的防止黑客、木馬等程序入侵后竊取文件導致的信息泄密。

最新評論