百密不能一疏数据安全防护需要面面俱到.doc

百密不能一疏 数据安全防护需要面面俱到 喜欢北欧或者希腊神话故事的人，肯定对“阿喀琉斯之踵”的谚语有所耳闻。 “阿喀琉斯之踵”的谚语告诫我们，即使是再强大的英雄，也有致命的软肋或死穴。而在由各种安全设备搭建的防线上，如果不能转变固守的安全策略，看似固若金汤的网络，必然在各种应用过程中出现新的弱点，而这恰恰是黑客探测或是社交攻击的入口。正因如此，我国金融、通信、能源、交通、政府等关键领域的行业用户都应该行动起来，调整自身的网络安全治理策略，关注应用层可能出现的“安全短板”。 而这种情况，换做中国的谚语就是“百密一疏”，想要做到信息、数据安全防护滴水不漏，从本源开始，编织出一套密不透风的安全网是关键。下面就让信息安全领域的专家山丽网安告诉您用何种技术才是编织这张网的最佳手段，同时这张网该如何编织吧。 角度和层面不同 数据安全防护居然“不堪一击” 曾经有一位技术并不高超的黑客，利用专长侵入了国内某通信公司充值中心数据库，修改窃取充值卡数据密码并向他人进行销售，造成数以百万计的资金损失。在信息安全领域，这个案例值得人深思：在长达半年的时间里面，耗资千万、由防火墙、IDS、防病毒系统构成的网络安全架构竟然一条报警信息都没有发出! 从上面的例子我们可以发现一个问题，对于运营商这样的用户，他们的安全措施无疑应该是比较完善的，不过我们也应看到，这些传统的安全防护手段主要是 面向于网络层面，而没有在具体的应用层实施监控，用户和应用资源之间，以及整个访问过程和行为都是不受控制的。根据Gartner的研究数据表明，当前 75%的攻击行为已经由网络层转移到了应用层，当黑客在应用层发动攻击时，或是内部人员非法存取数字资源时，网络防火墙和入侵检测产品发挥的作用往往极其有限。 对此，一些信息安全专家表示：“对于一些特定行业用户的安全需求来说，这些传统的安全手段无法控制‘人’的操作行为，只能依靠应用系 统自身携带的安全功能。但许多程序开发人员缺乏安全专业技能，虽然利用了身份认证及粗粒度的权限控制措施，却没有考虑到访问过程和访问行为的安全。因此， 依赖传统安全设备，或是应用系统自带功能，都不能满足用户对业务应用系统防护的高安全等级要求，更难以符合信息安全等级保护的政策要求。” 追本溯源 从本源开始编织数据安全的防护网 然而，在网络中排除“阿喀琉斯之踵”将是一件十分困难的事情。管理员是不是需要为每套新上线的业务系统都单独配备安全保护呢?或是对已经长期服役的 业务系统来一次代码“大换血”呢?当然，如果你有足够的时间和资金，则可以启动这个浩大的工程。 所以为了减少人力和不必要的资金投入，我们必须从更深层、更本源的地方入手，由此开始编织出的安全防护网才是最面面俱到的。而现今对于本源防护最好的手段就是数据加密，同时为了编织出能满足各种防护需求和安全环境的“防护网”，采用多模加密技术是最好的选择。 多模加密技术采用对称算法和非对称算法相结合的技术，在确保了数据本源防护质量的同时，其多模的特性能让用户自主地选择加密模式，从而能灵活应对各种加密需求和安全环境，同时这一特性也是企业自主编制安全防护网的先决条件。而作为这项技术使用的典型代表，山丽防水墙的多模加密模块还采用了基于系统的透明加密技术，从而进一步提高了加密防护的便利性和完整性（加密与格式无关）。 加密之所以能成为企业安全防护网“面面俱到”的防护之法，主要是加密防护的特殊性所决定的。因为被加密防护的数据和信息，即使最终遭遇了泄漏和窃取，只要算法不被破译，加密防护的效果依然存在。而随着现代加密算法的不断进步，破译已不是那么一件简单之事了。 企业的数据安全防护，想要做到“百密无一疏”，采用的手段十分重要。而面对现今多样的防护需求和纷繁的安全威胁，或许采用灵活且具有针对性的加密软件进行防护才是最好的选择！