加強防護讓內網遠離數據泄露

最近，不少單位內網數據泄漏事件頻繁發生，它們預示著單位內網在數據泄露防護方面的嚴重不足。在不惜重金全力應對外網攻擊而筑起單位外網安全的高墻時，我們有沒有想過單位內網一個微不足道的漏洞也能造成整個網絡安全防線的崩潰？攘外必先安內，不然的話一個小疏忽、小漏洞就能讓單位所有的安全防護付諸東流。與病毒木馬、黑客間諜等明確的攻擊相比，內網中的數據泄露攻擊更有針對性，其危害性也更大。有鑒于此，我們需要對內網安全加強防護，讓內網遠離數據泄露。

重要數據是如何被泄露的

目前，病毒木馬、黑客間諜總是在不停制造安全麻煩，同時充分利用各種熱門應用和新型技術，而且他們在攻擊效率方面也是越來越重視，他們的攻擊目標也是越來越有針對性，那就是盜取單位內網中的重要數據。不過，黑客間諜攻擊技術即便如此強大，為數據安全帶來潛在威脅的卻不是黑客間諜，對許多內網數據泄露事件進行認真研究后，或許能看到這樣一個明顯的現象，那就是絕大多數內網數據泄露事件應該歸咎于單位員工的自身疏忽，他們當中可能也有極少一部分為了經濟利益而向其他需求方甚至單位的競爭對手提供數據；但不可否認的是，多數人還是由于安全觀念不強或操作不小心，將帶有重要內網數據的E-mail錯誤發送出了單位內網，也有可能是發送給了不恰當的用戶，這種不安全或不小心的舉動，最終被黑客間諜利用，從而引發內網數據泄露事件的發生。

對于很多員工來說，他們壓根就沒有認識到自己的一次錯誤發送或不小心點擊操作，可能會給單位帶來多大的潛在危害和經濟損失。而且在目前網絡應用越來越普及的時代，各種Web訪問以及電子郵件發送已經成為員工每天學習或工作時必不或卻的操作，員工基于這些應用或工具進行日常辦公，或者完成一些重要的業務流程，正變得越來越普遍，在這個過程中由于自身安全要求不嚴或操作粗心大意導致的數據泄露事件，也正變得越來越頻繁。

加強加密防護

為了保護數據安全，我們需要采取措施加強內網安全，讓內網遠離數據泄露。所謂防護數據泄露，主要是采用一定的技術措施，來嚴格防范企業內網中特定信息資產或重要數據，以違反安全規定的形式悄悄流出單位的一種策略；目前，數據泄露防護主要采用文檔加密技術，結合內部文檔操作控制機制、嚴格管理機制、安全審計機制，來對任何狀態下的信息資產或重要數據進行有效防范。由于信息或數據的生命周期涉及創建、移動、存儲、使用、刪除等環節（如圖1所示），信息或數據的傳遞周期包括端口、網絡、終端、移動存儲介質等方面，這兩個周期中包含到的各個細節都要采取措施進行安全防護，才能避免發生數據泄露現象；在內網中部署加密技術，最直接的是避免了信息資產或重要數據被不經意地、無意識地泄露出去，它解決了重要數據自身的保密性問題，加密之后即使發生了數據泄露現象，單位也用不著緊張，因為其他人是無法看到加密了的數據內容；可是，如果過分迷戀加密技術，對信息或數據各個周期中的每個細節進行全程加密，不但是不現實的，而且即使能實現的話，也會嚴重影響內網系統的運行效率。

通常加密與效率無法同時兼得，單位用戶需要想方設法在加密和效率之間獲取一種平衡。由于加密會在某種程度上影響系統運行效率，那些對運行效率要求較高的系統顯然是不適合部署加密產品的，只有對一些高度涉密的特定系統或者對核心部門的數據進行加密才能獲得效果。那么對于一個單位來說，哪些部門屬于核心部門呢？正常來說，一個單位的組織架構中，核心部門應該是類似銷售、設計、財務這些部門，而在加密安全體系中，我們認為凡是接觸到重要數據的部門，都應當被稱為核心部門；每個單位的業務流程不同，產生的重要數據也就不同，那么參與數據流轉的部門也會有所不同，此時對數據加密的范圍自然也就不同了；而且，隨著單位工作業務的不斷調整，單位自身的重要數據也處于動態調整中，那么數據加密范圍也要跟著調整。單位究竟應該在多大范圍部署加密技術，這要根據實際情況來決定，因為單位系統中的大部分數據可能都是普通數據，涉及到機密的重要數據往往只是一小部分，這些重要數據可能集中在某一個核心部門，也有可能分散在各個不同的普通部門中，這就要求單位在部署加密技術時，必要要以重要數據為中心，注重技術方案的可擴展性和可變性。此外，無論單位的加密范圍如何變化，重要數據如何調整，有一樣是一直不變的，那就是部署加密技術以后，需要及時進行安全審計；單位要經常對信息加密體系進行檢查，以此來正確評價安全效能。

當然，我們不要簡單以為部署了加密技術后，就能保證萬無一失，因為加密技術只能解決數據自身的保密性問題，而無法解決數據在傳遞、使用過程中的泄露風險；盡管加密技術可以有效提升單位信息系統中重要數據的安全性，不過該技術也會對系統的工作流程帶來影響，它會延緩數據流動效率，因此單位需要在安全方面和效率方面取得平衡。

加強權限防護

使用加密技術保護重要數據，就象為重要數據上了鎖，看上去安全效果很好，不過多數重要數據實際流轉在單位的整個業務流程，如果一股腦地對所有重要數據進行加密，不僅會影響數據流轉效率，服務器也不能承擔如此大的負荷，而且這種方案并不能防范授權員工或客戶泄露數據。事實上，多數單位內網中的安全防御系統都沒有應用于單位員工或客戶，這樣一來權限用戶泄露數據的行為就無法得到控制；為了阻止權限用戶對外泄露有價值的數據信息，很多單位最初試圖對權限用戶進行全面“封鎖”，禁止他們攜帶移動存儲介質到公司上班，禁止他們在網站論壇或自己博客中發布與工作有關的任何重要信息，甚至禁止他們在單位上班期間隨意訪問外網。然而，全面的“封鎖”不但沒有發揮出應有的效果，而且還激怒了不辭勞苦的員工，他們認為這樣的“封鎖”阻礙了他們獲取必要的數據信息來高效完成自己的本職工作。那么我們究竟該如何對這些權限用戶的數據泄露行為進行防護呢？要實現這個防護目的，需要在單位內網中部署信息權限管理平臺。

所謂信息權限管理，就是指對位于單位局域網防火墻外的數據對象部署嚴格的用戶訪問權限（如圖2所示），比方說，外出辦公的員工可以通過VPN連接訪問或修改單位內網中的重要數據，但不允許通過VPN連接下載或發送文件到自己的移動存儲介質。信息權限管理平臺的工作流程一般是這樣的：有權訪問單位內網中重要數據的員工或客戶必須先在信息權限管理平臺中注冊，一般是借助網絡連接通道進行注冊；在對用戶的身份進行驗證后，平臺會自動下載控制代碼到員工或客戶的桌面，日后他們每次讀取或訪問位于自己客戶機中的文件或內網中的新文件時，保存在客戶機中的控制代碼就能自動聯系信息權限管理平臺，對訪問行為進行再次驗證，之后從平臺中自動下載密鑰來對文件執行解密操作，同時對文件訪問行為提出明確控制，允許他們能做什么、不能做什么，例如究竟是寫入操作還是讀寫操作，是發送操作還是打印操作，是下載到移動存儲介質還是保存到本地硬盤等。

正常來說，要是我們想對重要數據或用戶權限進行精確控制時，那么就可以在單位局域網防火墻外部來部署信息權限管理平臺。在挑選信息權限管理平臺產品時，除了要保證產品符合數據泄露防護要求外，還要滿足單位員工或外部客戶的要求，具體地說表現在兩個方面：首先要保證產品能夠廣泛支持客戶端設備，以便讓員工或客戶在使用時感到方便和滿意，例如允許員工或客戶可以通過臺式電腦、筆記本電腦、智能手機來訪問重要數據，甚至使用iPhone來訪問數據；其次要確保平臺產品支持較多的應用程序和文件格式，例如，目前很多平臺產品都支持微軟Office文件和Adobe PDF文件。在選擇好平臺產品后，就需要對平臺產品進行正式部署了；當然在部署之前，我們最好應當先建立一個用來正確部署平臺產品的業務工作流程，這個流程應該明確按照什么方式、什么步驟來部署，什么人應該負責什么位置，同時還要對平臺產品的調試、管理、報告等相關方面進行規范，甚至對相互之間如何交流、協作進行規范。在完成平臺產品的具體部署任務后，還需要對整個信息權限管理平臺產品的效果進行檢測，檢測時可以從單位網絡外部嘗試下載或發送內網中的重要數據，來測試產品的具體控制效果。