企業(yè)數(shù)據(jù)保護的兩把利刃
企業(yè)數(shù)據(jù)保護的話題自從企業(yè)如融了互聯(lián)網(wǎng)應用之后就一直在提,互聯(lián)網(wǎng)安全技術(shù)黑客技術(shù)就如同光明和黑暗一般,硝煙一直沒有散去。互聯(lián)網(wǎng)安全技術(shù)的提高,使得企業(yè)對于企業(yè)數(shù)據(jù)保護得意識有所加深,保護自身的數(shù)據(jù)安全成為了每個網(wǎng)絡管理員的必修課。
企業(yè)數(shù)據(jù)保護:文檔安全網(wǎng)關(guān)
通常,重要文檔都存放在服務器上,采用集中管理的方式進行文檔管理,那要防止客戶端通過內(nèi)網(wǎng)連接到服務器上下載機密文檔,有什么辦法可以解決這個問題嗎?
目前有許多廠商都已推出網(wǎng)絡存取控制(NAC—Network Access Control)機制,從網(wǎng)關(guān)器下手,避免員工利用軟件規(guī)避由內(nèi)穿透企業(yè)防火墻的,此種以過濾的方法,都有一個共通的不足之處,那就是必須透過特征來判斷連結(jié)的流量是否有異,但是偏偏自由門、Tor等代理軟件,種類過多,又更新快速,在防堵內(nèi)部員工使用此類軟件穿透防火墻時,總是有未逮之處,例如如果封包內(nèi)容加密,或是新版本的代理軟件出現(xiàn),都很有可能無法偵測出。 而EIM產(chǎn)品雖然能夠控管員工的上網(wǎng)行為,設(shè)立政策分類管理,并且有效的阻斷聯(lián)機,但當員工使用代理軟件試圖穿透其防范時,此類產(chǎn)品也會有特征更新的問題。整體來說,使用此類產(chǎn)品來防范員工穿透防火墻,還是有一定的減輕效果,但無法像從終端著手來得全面。
還有用戶采用微軟的AD群組原則管理。AD的群組原則控管確實能達到很大的功效。將終端計算機的管理權(quán)限收回,然后再進而設(shè)定相對應的管理政策。透過群組原則可以將終端計算機安裝軟件的權(quán)限關(guān)閉,就無法透過代理軟件試圖穿透防火墻,自然只能遵循企業(yè)的政策連網(wǎng)。但是這樣的做法對于使用者來說會造成很大的不便,并不是所有的企業(yè)都能適用。
以上兩種方法雖然有其可取之處,但是對于用戶來講,仍然是不安全的。最理想的解決辦法,是采用文檔安全網(wǎng)關(guān)。以億賽通文檔安全網(wǎng)關(guān)NetSec 為例,NetSec由硬件和軟件兩大部分組成,其中硬件采用高性能的網(wǎng)絡服務器,軟件為億賽通研發(fā)的文檔安全網(wǎng)關(guān)軟件。文檔安全網(wǎng)關(guān)軟件由“網(wǎng)絡加速”、 “訪問控制”、“訪問日志”和“動態(tài)加解密”四大模塊組成。NetSec對所有上傳到服務器的文檔自動進行解密,對所有從服務器下載的文檔自動進行加密。通過對文檔進出服務器進行強制管理,能徹底保護服務器上的文檔安全。
企業(yè)數(shù)據(jù)保護:數(shù)據(jù)泄露防護(DLP)體系
對于大型企業(yè),或者是政府、醫(yī)院、學校等公共機構(gòu),內(nèi)部網(wǎng)絡產(chǎn)生的海量數(shù)據(jù),采用單一的解決辦法,已經(jīng)無法保證安全。針對目前越演越烈的數(shù)據(jù)泄露,已經(jīng)有完整的DLP解決方案。目前國外主流的DLP廠商Reconnex,(被McAfee收購),另外還有Verdasys、Vericept、 Websense、RSA(被EMC收購)和 Symantec等。國內(nèi)著名的DLP廠商有北京億賽通。
采用DLP解決方案,通常要考慮從以下幾個方面著手:
首先,要考慮單位內(nèi)部的網(wǎng)絡連接狀況。如果內(nèi)網(wǎng)與外網(wǎng)連接,則關(guān)注網(wǎng)絡訪問權(quán)限的設(shè)定、端口的設(shè)置等,采用基于網(wǎng)絡的DLP解決方案,如果內(nèi)網(wǎng)外網(wǎng)完全隔離,則選擇基于主機的DLP解決方案,重點放在對終端數(shù)據(jù)產(chǎn)生、傳輸、轉(zhuǎn)移、存儲等操作進行監(jiān)控、阻止的策略來進行數(shù)據(jù)泄露防護。
其次,對內(nèi)部的核心數(shù)據(jù)進行分類,可采用等級保護的方法,對此類數(shù)據(jù)實現(xiàn)加密并有訪問權(quán)限的策略設(shè)定。諸如源代碼、產(chǎn)品設(shè)計圖、財務信息、客戶資料等核心數(shù)據(jù)和其他數(shù)據(jù)就應該定義為高等級保護,該類數(shù)據(jù)丟失的風險也為最高。
第三,明確設(shè)置策略和工作流程。采用等級保護之后,單位需要設(shè)計出相應的數(shù)據(jù)管理流程來對這些核心機密數(shù)據(jù)的動向、使用和訪問行為進行嚴密監(jiān)控。在數(shù)據(jù)被非法使用時候,可在第一時間內(nèi)對異常行為做出反應,并有詳細的日志審計制度,避免數(shù)據(jù)的泄露。
最后,采用制度加技術(shù)的雙重保險,保護數(shù)據(jù)安全。通過安全意識教育,強化員工的風險意識,實際操作培訓等使員工自覺遵守相關(guān)的策略。只有管理與技術(shù)相結(jié)合,才能做到真正的企業(yè)數(shù)據(jù)保護。
【編輯推薦】
