拿什么保護數據安全

企業防范泄露措施

數據泄露事件常常讓人防不勝防，意外操作或者非法攻擊都有可能成為信息數據泄露的渠道，進而導致企業發生嚴重的直接經濟損失，同時也會在社會公眾形象、客戶合作關系、品牌價值等多方面造成損害。所以，企業必須要依照自身實際情況，采取針對性的措施，做到有的放矢，徹底防范數據泄露事件發生。

1.合理部署解決方案

無論是殺毒工具、入侵檢測、防火墻等傳統安全系統，還是新興的網絡行為管理等系統，都已經通過事實證明，它們是不能防止數據泄露的。無論怎樣嚴密監控企業網絡端口，因為對數據本身沒有進行安全處理，這就給數據泄密留下了很大的安全隱患，再高明的網絡安全防范技術，都不能阻止企業內部人員各種有意、無意的泄密行為。那么，究竟該采取什么措施保護企業的重要數據不發生泄露呢？一種全新的保護方案就應運而生了，這就是數據泄露防護解決（DLP）方案。這種方案是通過一定的管理手段或技術，防范企業數據以各種形式泄露出去，從而實現更大范圍的安全防護效果。

當然，要想在企業內網環境中合理部署好數據防泄露方案，也不是一件很簡單的事情，因為在進行這種部署操作時，一定要認真考慮好該方案與已有安全方案的相互協作和共存問題，保證合理部署的防泄露方案不會影響其他安全措施。首先要從實際出發設計好總體策略。該策略要求企業先弄清楚哪些數據屬于重點保護的內容，根據重要程度劃出保護等級，確保防泄露方案在部署過程中有主有次，條理清晰；該策略必須制定好數據防泄露方案的實施效果評估指標，日后通過這些指標來界定方案的部署效果；該策略必須要評估出防泄露方案實施后，可能對企業的業務流程、員工的工作習慣和工作方式帶來了哪些影響，以便確定對員工進行針對性培訓，從而讓員工不折不扣地遵守各種操作要求。其次要細化部署任務。為數據防泄露方案的部署實施配備工作人員，為每位人員設計好角色，并將工作任務細化到人，所有工作人員都是數據防泄露方案的設計、規劃、實施以及執行主體。第三，按需選用數據防泄露產品。在企業內網環境中，根據特定位置的不同要求，有針對性選購基于網絡的防泄露產品或基于主機的防泄露產品，確保每個產品高效安全工作。第四，規范數據防泄露方案的具體處理流程。為了讓方案部署更加清晰明了，必須要明確方案以何種方式、何種步驟來進行，必須要明確什么位置由什么人來負責，更要明確設備、人員、物資怎么協作交流。第五，檢測數據防泄露方案整體部署效果。根據數據防泄露產品類型的不同，選擇不同的檢測的細粒度和檢測方式，來判斷相關產品在監控和控制企業核心數據方面的效果，檢測過程盡量要做到越嚴格越好，越細致越好。

值得注意的是，企業數據防泄露方案的部署不是一次性行為，它應該對應企業數據的產生、存儲、使用、修改、流轉和銷毀等整個生命周期，在初次成功部署以后，還需要工作人員去管理和維護。所以，工作人員還要定期檢驗數據防泄露方案的執行效果，并依照檢測結果來動態調整有關策略，確保該方案能達到更大范圍的安全防護效果。

2.善用加密簽名技術

數據泄露防護解決方案的部署與實施，難度大、要求高，中小企業使用該措施來預防數據泄露往往不太可行。目前，很多中小企業普遍認為數據加密技術，是預防數據泄露的最可靠、最有效的技術之一。正常來說，數據加密技術分為兩種類型，一種是對文件和文件夾的加密保護，另外一種是對全盤數據進行加密。其中，前面一種加密類型可以保護特定文件和文件夾中的數據安全，它比較適合防護少量機密數據的泄露；而后面一種加密類型可以對整個磁盤中的數據進行保護，對于防止企業數據對外泄露十分有效。因為這兩種類型的加密技術能解決不同的問題，很多企業往往會同時使用這兩種技術。

雖然知道使用加密技術可以限制對重要數據的訪問，阻止非授權訪問數據，保護機密數據不被惡意侵犯，但是怎樣對數據進行加密卻是一個不小的問題，因為企業數據會被頻繁地訪問和處理，加密數據必須要在不影響工作效率的前提下進行，確保在工作效率和數據安全之間取得平衡。而且企業數據所處位置十分復雜，它們不單單位于數據庫之中，還位于移動存儲設備、應用系統、網絡平臺和普通終端計算機等物理位置。而不同的物理位置，數據的表現狀態也是不一樣的，這就要求數據加密操作，要針對不同位置來分別進行。

除了采用加密技術外，也可以使用簽名技術，來保護重要數據的完整性和不可否認性。通過摘要算法計算重要數據的摘要，同時使用私有密鑰加密摘要，確保重要數據不被輕易泄露。

3.進行訪問權限控制

通過加密、簽名等技術保護機密數據，看上去防護效果很好，可簡單地對所有數據進行加密、簽名，不利于數據的高效流轉傳輸，系統平臺也無法承受這么大的負荷，而且這種措施并不能有效預防可信任用戶對外泄露數據。其實，很多企業的網絡安全防護系統沒有將內部人員作為防護對象，如此一來可信任用戶泄露數據的現象就不能得到控制。為了切斷可信任用戶對外泄露數據的通道，不少企業最初嘗試對可信任用戶進行全面管控，禁止將移動設備帶到內網環境，禁止在網絡上發布任何與工作有關的信息，禁止訪問外網內容等等。然而，這些管控措施不僅沒有達到很好的防泄露效果，還影響了用戶的工作效率。

為了解決上述難題，很多企業經常在內網環境中設置訪問權限，來對重要數據進行授權訪問控制，對于不同職能的用戶，指定不同的訪問權限，在用戶需要訪問重要數據前對其身份的合法性進行認證。例如，有的企業在內網環境中部署了權限管理系統，該系統要求可信任用戶一定要先在權限管理系統中注冊，以獲得合法的身份認證賬號，通過該賬號完成身份驗證后，系統能自動下載控制代碼到可信任用戶桌面，日后他們每次訪問數據文件時，自動下載的控制代碼將會通過網絡訪問數據權限管理系統，對可信任用戶的數據訪問行為進行再次身份認證，之后從對應平臺中自動下載密鑰來對特定數據執行解密操作，并對數據訪問行為提出嚴格限制，授權可信任用戶可以進行哪些操作，不能進行哪些操作等等。

4.強化員工防護培訓

數據安全是企業信息化建設的重要保障，安全觀念和意識一定要成為企業信息化建設中的一部分，企業和員工要共同承擔數據防泄露責任。這就要求企業定期組織各種形式的數據防泄露知識培訓，盡可能提升員工的數據防護意識，讓員工知道哪些數據能夠在線訪問或處理，哪些數據不能在線訪問或處理，哪些操作是可以做的，哪些操作是不可以做的，使員工對數據安全、自身利益與企業發展之間的關系有更加清晰的認識。

5.建設數據管理制度

對于重要數據的泄露事件，技術手段防護畢竟能力有限，可以說技術防三分，七分還是要靠規章制度來管理，畢竟不少企業的數據泄露大都緣起于企業內部的泄露，數據管理工作的不到位是企業面臨的主要問題之一。在建設數據管理制度時，至少要包含下面一些內容：首先要明確管理制度體系的組織結構和責任，機構的責任落實能確保數據管理制度的有效執行，同時形成監督機制；其次要明確界定機密數據范圍，這對平時的數據管理具有十分重要的指導意義，同時能有效避免日后遇到問題時相互扯皮的現象；第三對重要數據的訪問操作進行嚴格規范：根據機密數據的界定范圍，從技術層面和操作層面進行限制管理，例如針對移動智能終端出臺專門的管理辦法，要求在移動智能終端上只能使用特定客戶端程序連接企業網絡，成功完成身份認證后才能訪問數據，禁止在移動智能終端上存儲企業機密數據，禁止離線處理企業數據。此外，對臨時性數據訪問行為，也要進行嚴格規范，例如必須有審核批準，必須保證臨時性接入設備自身的安全，企業外部人員必須事先簽定數據防泄露合同，沒有經過授權的不得越權訪問數據等等。最后要有對違規訪問數據行為的處罰辦法，以便對違規用戶起到警示作用，同時做到處罰時有規可查。

個人防范泄露措施

1.徹底刪除存儲數據

為了防止數據泄露現象，我們常常需要將保存在硬盤或優盤中的重要數據徹底刪除掉。這種數據刪除操作看似簡單，其實，很多刪除操作并沒有改變數據存儲區域，數據內容依然保存在磁盤的特定位置中，不法分子借助外力工具還可以獲取隱私數據。

為了避免刪除后的數據被泄露出去，我們可以使用“R-Wipe&Clean”這款數據擦除軟件，將存儲介質中剩余空間內容擦除干凈。開啟“R-Wipe&Clean”工具的運行狀態，單擊主界面導航欄中的“Unused Space”選項，在對應選項設置區域，指定好存儲介質所在的分區符號，按下“Settings”按鈕，在其后彈出的設置對話框中，切換到“Disks and Files”標簽頁面，在這里設置好需要擦除的分區文件和剩余空間。之后，打開擦除算法下拉列表，選擇合適的擦除算法。一般來說，普通數據可以選用填充隨機數和清零的算法，因為它們的擦除速度比較快；如果數據相當重要，對安全性要求很高，那需要選用后面三種數據擦除方法，因為它們清除得相當徹底，只是擦除速度有點緩慢。完成有關配置操作后，單擊“Wipe Now”按鈕，就能實現磁盤數據的徹底清除操作了。

2.按需靈活加密數據

在公共場合下，如果擔心自己的重要數據被他人偷窺，不妨通過“大狼狗加密專家”這款外力工具，來按需靈活加密特定數據。該工具通過高強度PKI加密技術，支持文件夾加密、文件加密、磁盤保險箱（磁盤加密）、安全文件夾、指定解密人、制作自解密文件等多種工作方式，能夠高效地防護重要數據的泄露。

在對重要數據加密保護之前，先要申請注冊獲得合法登錄用戶名和密碼，并用合法賬號登錄進入加密系統。打開常規選項頁面，選中“隨Windows啟動”選項，讓“大狼狗加密專家”工具隨計算機可以自動啟動運行，確保重要數據隨時受到安全保護。這款工具利用磁盤保險箱方式來加密重要數據，該方式在存儲介質中劃出一塊獨立區域，保存在這個區域的重要數據會被自動加密，該區域對應的磁盤分區也會被自動隱藏，讓不法分子無法輕易找到。

第一次使用保險箱加密數據時，“大狼狗加密專家”工具會自動出現向導提示，根據提示手工創建好保險箱文件，設置好它的存儲路徑，建議該路徑不要直接指向系統分區，以防系統癱瘓現象發生。之后，逐一點擊“開始”、“程序”、“附件”、“Windows資源管理器”選項，打開系統資源管理器窗口，從中可以看到保險箱對應的磁盤分區，訪問該分區中的內容時，操作方法與普通分區訪問完全一樣。比方說，要將重要數據添加到保險箱時，只要先用雙擊鼠標方式進入磁盤保險箱，再通過剪切、復制方式，也可以直接通過拖拽鼠標方式，將特定數據文件轉移到保險箱的某個文件夾中。

將重要數據添加到保險箱后，必須記得及時關閉對應窗口，或者通過“大狼狗加密專家”工具自動關閉功能，強制計算機在空閑時間自動關閉保險箱窗口。而關閉的磁盤保險箱，會自動被隱藏起來，任何用戶在“我的電腦”窗口，或系統磁盤管理器窗口，都無法找到保險箱的“身影”，這樣存儲在其中的重要數據，自然就不容易被人竊取了。以后，用戶自己想訪問保險箱中的重要數據時，必須先用合法賬號登錄進入“大狼狗加密專家”加密系統，切換到保險箱選項頁面，按下“打開已有保險箱”按鈕，這時就可以從“我的電腦”或“計算機”窗口中，發現保險箱的“身影”，進入保險箱窗口就能正常訪問加密的重要數據了。

此外，我們也可以使用“大狼狗加密專家”工具的“數字信封”技術，來對單個文件或文件夾進行加密保護，甚至可以為重要數據設置一個或多個解密人，只有知道解密賬號的用戶才能訪問重要數據。這種加密操作很簡單，只要在系統資源管理器窗口中，選中待保護的重要數據文件，點擊快捷菜單中的“加密”或“解密”命令，選中授權用戶賬號，就能實現重要數據文件的加密或解密目的。

3.謹防共享泄露數據

在局域網工作環境中，共享訪問正變得越來越方便，也越來越簡單。不過，這種訪問方式也會在不經意間，泄露重要隱私數據。為了謹防共享方式對外泄露數據，我們可以強制進行身份驗證：使用“Win+R”快捷鍵，調出系統運行對話框，輸入“gpedit.msc”命令并回車，開啟系統組策略編輯器運行狀態。依次展開“本地計算機策略”、“計算機配置”、“Windows 設 置”、“安 全設置”、“本地策略”、“安全選項”分支，打開該分支下的“網絡訪問: 本地帳戶的共享和安全模型”組策略屬性框，選中“經典—對本地用戶進行身份驗證，不改變其本來身份”選項，確認后保存設置即可。

當然，也可以對重要共享數據設置合適訪問權限，以防非授權用戶隨意訪問。在為重要共享數據設置訪問權限時，首先以管理員權限登錄計算機系統，打開資源管理器窗口，選中特定數據文件夾，點擊右鍵菜單中的“屬性”命令，選擇“安全”選項卡，在選項設置頁面“組或用戶名”列表處，刪除所有無關賬號，再點擊“編輯”、“添加”按鈕，在用戶賬戶添加對話框中，添加導入合法的賬戶名稱。選中合法用戶賬號，在權限列表中，設置好合適的訪問權限，確認后保存設置操作。這樣，合法用戶日后就能對重要共享數據進行限制式訪問了，其他用戶則無權訪問。

4.限制使用移動設備

要想限制不法分子通過移動設備帶走自己的重要數據，不妨請“USB Block”這款工具，來為重要數據樹立隱形安全隔離屏障。下載安裝好“USB Block”工具后，先為其設置一個復雜的管理密碼，避免不法分子隨意關閉甚至卸載該工具。在進行這種設置時，點擊主程序界面中的“Control Center”按鈕，選中界面中的“Block USB Devices”選項，開啟USB設備加鎖功能。此時，當用戶將移動設備插入到計算機USB接口時，系統將不能顯示它們的分區符號。

當用戶自己日后想在本地使用移動設備時，只要先進入設備身份認證對話框，輸入之前設定的管理密碼即可。為了避免不法分子隨意關閉或卸載監控工具，我們不妨開啟“USB Block”程序的隱藏工作模式，讓不法分子不清楚自己正被監控管理。點擊主界面中 的“Program Options”按鈕，選中其后界面中的“Active Stealth Mode”選項，確認后就能讓目標工具處于隱藏工作狀態了。日后，通過默認的“Ctrl+Alt+Shift+D”操作熱鍵，就可以強制“USB Block”工具在顯示和隱藏工作模式之間不停切換了。當然，用戶也能根據平時的操作習慣，自行定義好啟用熱鍵。

寫在最后

近年來，伴隨著中國網絡規模的持續增長，應用的不斷豐富以及電子商務的逐步普及，互聯網安全的嚴峻形勢正日益凸顯，互聯網安全事件時有發生。同時，移動互聯網，三網融合，云計算，IPV6……不斷創新發展的技術都在為網絡安全提出新的挑戰。

在互聯網時代，個人信息被收集和使用無法避免，網民處于被動地位。要使用網絡服務，不得不將自己的私人信息與公共空間進行連接。這個過程中，用戶無法知道其個人信息確切的存放位置，對其個人信息的采集、存儲、使用、分享也無法有效控制。個人對網絡個人信息的管理和監督的作用非常有限，必須依賴具有強制力和技術水平的第三方手段。事實上，進入“云服務”時代，如何有效地保護好這些個人信息，防范信息泄露，在業內甚至仍是棘手的問題。事實上，用戶數據信息已成為網絡攻擊者和安全捍衛者之間激烈角逐的焦點。安全防衛必須運籌帷幄，配合超前的信息化發展規劃，積極應對用戶敏感信息泄密隱患。

信息化社會，保護企業和個人信息安全不止關乎企業和個人，或僅僅是一個技術難題，它應當是整個社會的責任。安全問題為什么難，就在于安全問題的本質是人與人之間的斗智斗勇問題，如果在一個廣闊的舞臺上，人與人之間的斗智斗勇永遠不會有結果?？偨Y一句話：安全是一種事業，不是一個解決方案。