数据防泄漏技术研究.pdfVIP

数据防泄漏技术研究 安纵科技/金亮  1、 引言  随着信息化在我国的蓬勃发展，电子化的数据已经成为每个部门、每个企业、每个个人 的重要资产。数据的保密性、完整性和可用性关系到政府、重要行业和企业的生存力和竞争 力。因此，数据安全，作为信息安全领域中的重要组成部分，正越来越受到大家的关注。数 据安全，涵盖防丢失、防泄露及防滥用等多个层面。其中，数据防泄漏又是当前尤为突出的 热点问题。  电子邮件、即时通讯、可移动存储介质等计算机科学成果的广泛应用，在提升人们工作 效率的同时，也不可避免地扩展了数据泄漏的通道，尤其是用户的主动泄密行为更是防不胜 防。 面对这样的严峻形势，国内外安全厂商近年来纷纷推出自己的数据泄露防护解决方案。 这些解决方案的最终目的只有一个：确保数据安全，防止数据泄露。但是各类数据防泄漏方 案采用的技术各不相同，其应用模式和优缺点也有着明显的差异，本文将对这些技术方案略 作简单分析。  2、 当前数据泄漏防护研究现状  数据防泄漏本身并非什么新兴概念，面向数据的安全防护技术在多年前就已成为信息安 全领域所关注的重要课题。为了保证数据的保密性、完整性和可用性，信息安全业内先后提 出过多种技术方案，从不同的角度来解决数据防泄漏问题。其中使用较为广泛的主流技术以 控制类、加密类及过滤类技术为主要代表。  2.1 控制类技术 控制类技术的核心思想是权限概念的延伸，主要通过权限的设置，对计算机输入输出进 行集中控制和管理，并定期进行检查和事后审计，实现对关键数据的传输进行控制，防止未 经授权的数据外泄。在具体实现上主要采用软件控制、端口控制等手段对计算机的各种端口 和应用实施严格控制和强审计。该类技术通常不对数据的存储进行加密保护，而主要关注数 据在传输过程中的合法性，控制类技术的这一特点，使得单纯采用该技术的数据防护方案往 往无法解决如磁盘丢失、笔记本被盗等被动泄密风险。同时，因为数据传输的途径极为丰富， 单纯的“围追堵截”式的控制类技术难免百密一疏，所以，单纯采用控制类技术实现的数据 防泄露方案目前已经越来越少。  2.2 加密类技术 加密类技术是较为传统的数据防护技术，其主要理念是将数据的二进制存储转为密文，   1 能够简单有效地解决数据的存储安全问题。加密类技术在数据安全防护领域中的应用可细分 为：  文件级加密技术：文件级加密是目前国内使用最为广泛的数据安全解决方案，之所以被 广泛采用，主要是因为其具有技术简单、开发周期短和用户接受度高的特点。文件级加密技 术最新型的应用被称为“透明加解密”，其原理主要是通过建立应用程序的进程和相应文件 之间的关联来达到对特定文件数据加密的目的，通常采用内核级文件过滤驱动在操作系统底 层对文件进行处理，其加解密过程对用户透明。但是，由于该技术的实现机制所限，决定了 文件是否加密主要取决于应用程序和文件的关联关系，这导致安全系统与应用程序的具体实 现密切相关，对于用户环境的兼容性较差，甚至有可能出现数据被破坏的情况。  磁盘级加密技术：磁盘级加密技术通过在磁盘读写时对磁盘扇区进行加解密来实现，由 于避开了文件读写的处理，该技术避免了与应用程序相关的限制。采用该技术的数据防泄露 方案以 Windows Vista 中集成的 BitLocker 为代表。但是，单一的磁盘加密技术主要适用于被 动泄密防护需求，无法防止通过网络和其他途径的主动泄密行为，这一弱点极大地限制了磁 盘级加密技术在数据防泄漏方面的应用。  硬件级加密技术：该技术直接由数据的存储设备提供加密的特性，最具备代表性的是希 捷  “DriveTrust”技术，DriveTrust 利用硬盘与计算机系统中其他组件完全隔离的特点，提 供基于硬件安全功能的加密平台。在系统或硬盘丢失、被盗、被废弃或转售时，采用 “DriveTrust”技术的硬盘可以有效防止未经授权访问其中存储的数据。但是这类技术的弱 点与磁盘级加密技术相同，无法有效防止通过网络等途径的主动泄密行为。  网络级加密技术：该技术通常与其他加密技术结合使用，用于保障数据在网络传输时的 安全，根据实现层次可以分为：网络层的 IPSec VPN 、应用层的 SSL VPN 、专用 IP 数据包格 式变换等。由于此类技术无法对通过存储介质传递的数据进行保