信息泄密是令企业老总和ICO们十分头痛的问题,数据被泄密的途径虽然很多,但是企业数据流动的主要形式是存储和分发,那如何从存储和分发的角度来保护数据在流动中的安全就显得尤为重要。
一、数据保护策略和技术
1、制定数据保护策略
作为企业的CIO,要根据企业对信息安全的需求,制定数据安全策略,这些策略主要包括:保护敏感的信息避免被未经授权的用户访问或共享;不仅控制数据访问也控制如何使用和分发数据的能力,提供立体的全方位的数据保护;规定数据生命周期,对于过期的数据采取相应的安全措施,防止垃圾数据滞留或被非法获取;企业中要合理地对移动介质中的敏感文件采取保护策略,数据必须被加密,防止存储介质丢失后造成的数据泄露;企业中的电脑和服务器中的数据,应该提供物理层面的纵深保护,防止数据的泄密。
2、数据的纵深保护
制定数据保护的策略后,就应该考虑如何在技术上进行部署,这种保护技术应该是纵深的、立体的:基于软件的加密,利用系统提供的或者第三方软件进行文件的加密;基于硬件的加密 ,从硬件的角度加固数据的安全性;启动前加密,数据的保护从操作系统启动时就开始,以防系统被劫持,造成数据的泄密;启动后加密 ,杜绝在进入系统后,信息被非法利用,造成泄露;应用程序级加密 ,比如利用Office的加密功能对数据进行加密处理;文件(文件夹)级加密,有针对性地对敏感文件进行系统级(EFS)的加密保护措施;全卷加密,就某个卷中的所有文件进行加密保护;按用户加密,文件的权限与用户相关,预防不被授权的用户非法利用数据,造成数据的泄密。
3、数据保护技术
基于以上数据保护的策略和纵深保护的要求,可以采取如下的解决方案:
RMS:基于策略和定义实现的文档内容保护,防止信息被越权、超地域范围使用。
EFS:用户文件的加密,防止非授权用户非法获得数据,造成数据的泄密。
BitLocker:基于硬件实现的物理加密措施,数据安全与物理硬件相关,防止数据外漏。
二、解决方案及其具体应用
1、RMS(Rights Management Service)方案
RMS必须有应用程序的支持,部署RMS服务器,然后与启用RMS的应用程序协作以避免数据未经授权的使用。可以控制文档的打开、读取、修改权限。office文档应该是企业中主要的信息载体,通过RMMS可以对文档的打开、阅读、修改、分发及其日期进行限定,杜绝数据因非法获取而泄露。比如在企业中分发文档时候,对文档进行控制,它的特点是权限随着文档走,对其的整个生命周期进行管理。不管把文档分发到任何地方去,文档的权限始终和文档捆绑在一起。另外,RMS对于文档权限的定义信息是加密的,这样即使文档被窃取,也无法打开。邮件的转发也是企业中信息流动的一个重要方面,RMS可以控制邮件的各种权限,比如可以预防文档被非法或者无意转发出去,造成数据的泄露。通RMS权限设置word文档就不能被转发,修改等。
当然RMS也有缺陷,不能提供主动抵挡攻击者对系统的攻击,也无法抵御模拟攻击,如使用数码相机或第三方屏幕拷贝、记忆传播等。
2、EFS(Encrypting File System)方案
EFS提供NTFS分区中文件级别的加密技术,基于公钥策略,使用公钥/私钥密钥对文档进行加密。这种加密对用户是透明的,它是用公钥加密,用私钥解密,安全性极高。另外在Vista和2008中的EFS得到了增强。使用智能卡上直接存储的加密密钥进行EFS加密,基于向导将旧智能卡中的文件迁移到新智能卡中,启用EFS 时加密系统页面文件,增加了新的“组策略”选项。Vista和2008中的EFS可以加密系统的页面文件,这样防止系统被脱机攻击,造成EFS加密被破解。还可以选择EFS密钥的长度强制加密“我的文件夹”。
EFS的限制,如果用户的私钥丢失,则数据将永远丢失,私钥很重要,千万不能丢失。EFS加密的强度非常高,私钥丢失,文件无法打开。因此要安全部署,防止恶意加密。比如,在企业中有这样的员工,因对企业不满,在离开前恶意加密了某些文件,然后把帐户删除,这样就造成了数据的无法打开。针对这种恶意的加密用以下两个方法来解决:其一,修改注册表,防止加密。其二,部署DRA(数据恢复代理)。
在企业中基于数据的安全性考虑,应用EFS方案要遵循这几点:部署尽可能少的DRA;至少有一个DRA;DRA使用后删除私钥;加密文件夹而不是单个文件。
EFS加密是基于操作系统的,如果系统在启动前已经被攻破的话,那他就没法实现自己的功能,因此在数据纵深保护中下面这个环节非常重要。
信息泄密是令企业老总和ICO们十分头痛的问题,数据被泄密的途径虽然很多,但是企业数据流动的主要形式是存储和分发,那如何从存储和分发的角度来保护数据在流动中的安全就显得尤为重要。
3、BitLocker方案
Vista必定是未来系统的主流,在企业中部署Vista就能在很大程度上加固数据的安全,防止泄密。Vista提供的BitLocker技术是基于硬件的加密技术,它能为计算机提供脱机数据和操作系统保护,很好地解决了对EFS加密的脱机攻击。另外BitLocker是一种全卷加密技术,能够确保早期启动组件的完整性,能通过加密整个卷来帮助防止数据被盗或未经授权查看。
BitLocker很好地解决了企业环境下的来自于硬件的泄密,它给予数据操作系统之下的安全屏障,启动时自动提供解密密钥,保护系统分区,保护用户数据,保护注册表,与操作系统无缝的集成,保护引导分区,杜绝离线攻击,提供系统启动前基于数据的保护。
比如现代企业中每年都会淘汰一部分电脑,如果处理不当,这部分电脑就成了信息的泄露源,利用BitLocker技术可以通过销毁RootKey的方式快速地使电脑上的数据失效,防止了数据的泄露。系统启动故障,也容易造成数据的泄密,BitLocker可以确保启动过程的完整性。因为在系统启动时验证各个启动组件的完整性,防止对启动组件的恶意修改;任何以其他途径启动,都无法访问和修改被加密的系统卷;如果窃密者保护的卷做了改动,会导致系统无法正常启动。桌面安全也是企业信息泄露的一个途径,BitLocker在离线状态下保证系统和数据的安全,加密整个Windows的安装卷和其中所有用户的数据,该卷在未正常启动的情况下不可读。
总结:在企业数据存储和分发的流动过程中,会面临来自各方面的威胁。本文讨论的RMS、EFS、BitLocker都是从技术的角度来保护数据的安全,防止泄密。要更好地保护企业的数据,只有技术和制度互相结合,才能发挥更大威力。
RMS的主要特点:权限伴随文档,规定信息使用的权限和条件,并且权限信息加密。它的应用领域,保护企业环境下的电子邮件通信,防止用户非法转发;强制实施文档权限,未经授权,该文档就不能修改、复制,不能打印、分发,即使拷贝出去,也不能打开。RMS还可以按用户区分权限,防止未授权的查看,加密受保护的内容,提供内容过期,按信息内容、用途控制为阅读、转发、保存、修改或打印、将保护扩展到初始发布位置以外的地方。使用RMS的目的在于,辅助行政和法律措施实施安全策略,防止失误操作造成的信息泄露。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
不一致的国际数据隐私法
中国新的网络安全法已经生效,这意味着全球范围内新增一个国际数据隐私法,这可能给跨国企业带来更多挑战。面对各种国际数据隐私法,跨国企业保持合规性并不容易……
-
专访志翔科技伍桑海:“懂业务才能做安全”
志翔的安全产品服务如今服务于从大型能源、银行部门到中小企业不等规模的用户。且对于安全方案,不同行业有不同的需求,在共性的方面志翔通过提供一个通用的方案满足用户在数据保护方面的需求。对于业务安全问题,会提供体制化的安全方案以贴合用户的业务……
-
第四代安全已来:志翔科技致力成为“无边界”安全领跑者
近年来安全行业发展十分迅速,其进入壁垒和天花板都非常高,安全创业公司最能代表行业前沿的技术趋势。发展至今,安全从以NetScreen为代表的防火墙时代先后经历可视化、虚拟化时代,进而迈向第四代“无边界”安全时代。志翔科技即是倡导“无边界”安全的创新公司之一……
-
McAfee全面数据丢失防护产品概述
去年9月,英特尔以9亿美元将其安全业务主要股权出售给私募股权公司TPG,该交易预计将于今年4月完成,之后Intel Security将更名为McAfee。与很多主流信息安全供应商一样,Intel Security提供数据丢失防护软件,帮助企业预防潜在的信息泄露……