加强防护让内网远离数据泄露.doc

加强防护让内网远离数据泄露最近，不少单位内网数据泄漏事件频繁发生，它们预示着单位内网在数据泄露防护方面的严重不足。在不惜重金全力应对外网攻击而筑起单位外网安全的高墙时，我们有没有想过单位内网一个微不足道的漏洞也能造成整个网络安全防线的崩溃？攘外必先安内，不然的话一个小疏忽、小漏洞就能让单位所有的安全防护付诸东流。与病毒木马、黑客间谍等明确的攻击相比，内网中的数据泄露攻击更有针对性，其危害性也更大。有鉴于此，我们需要对内网安全加强防护，让内网远离数据泄露。 重要数据是如何被泄露的 目前，病毒木马、黑客间谍总是在不停制造安全麻烦，同时充分利用各种热门应用和新型技术，而且他们在攻击效率方面也是越来越重视，他们的攻击目标也是越来越有针对性，那就是盗取单位内网中的重要数据。不过，黑客间谍攻击技术即便如此强大，为数据安全带来潜在威胁的却不是黑客间谍，对许多内网数据泄露事件进行认真研究后，或许能看到这样一个明显的现象，那就是绝大多数内网数据泄露事件应该归咎于单位员工的自身疏忽，他们当中可能也有极少一部分为了经济利益而向其他需求方甚至单位的竞争对手提供数据；但不可否认的是，多数人还是由于安全观念不强或操作不小心，将带有重要内网数据的E-mail错误发送出了单位内网，也有可能是发送给了不恰当的用户，这种不安全或不小心的举动，最终被黑客间谍利用，从而引发内网数据泄露事件的发生。 对于很多员工来说，他们压根就没有认识到自己的一次错误发送或不小心点击操作，可能会给单位带来多大的潜在危害和经济损失。而且在目前网络应用越来越普及的时代，各种Web访问以及电子邮件发送已经成为员工每天学习或工作时必不或却的操作，员工基于这些应用或工具进行日常办公，或者完成一些重要的业务流程，正变得越来越普遍，在这个过程中由于自身安全要求不严或操作粗心大意导致的数据泄露事件，也正变得越来越频繁。 加强加密防护 为了保护数据安全，我们需要采取措施加强内网安全，让内网远离数据泄露。所谓防护数据泄露，主要是采用一定的技术措施，来严格防范企业内网中特定信息资产或重要数据，以违反安全规定的形式悄悄流出单位的一种策略；目前，数据泄露防护主要采用文档加密技术，结合内部文档操作控制机制、严格管理机制、安全审计机制，来对任何状态下的信息资产或重要数据进行有效防范。由于信息或数据的生命周期涉及创建、移动、存储、使用、删除等环节（如图1所示），信息或数据的传递周期包括端口、网络、终端、移动存储介质等方面，这两个周期中包含到的各个细节都要采取措施进行安全防护，才能避免发生数据泄露现象；在内网中部署加密技术，最直接的是避免了信息资产或重要数据被不经意地、无意识地泄露出去，它解决了重要数据自身的保密性问题，加密之后即使发生了数据泄露现象，单位也用不着紧张，因为其他人是无法看到加密了的数据内容；可是，如果过分迷恋加密技术，对信息或数据各个周期中的每个细节进行全程加密，不但是不现实的，而且即使能实现的话，也会严重影响内网系统的运行效率。 通常加密与效率无法同时兼得，单位用户需要想方设法在加密和效率之间获取一种平衡。由于加密会在某种程度上影响系统运行效率，那些对运行效率要求较高的系统显然是不适合部署加密产品的，只有对一些高度涉密的特定系统或者对核心部门的数据进行加密才能获得效果。那么对于一个单位来说，哪些部门属于核心部门呢？正常来说，一个单位的组织架构中，核心部门应该是类似销售、设计、财务这些部门，而在加密安全体系中，我们认为凡是接触到重要数据的部门，都应当被称为核心部门；每个单位的业务流程不同，产生的重要数据也就不同，那么参与数据流转的部门也会有所不同，此时对数据加密的范围自然也就不同了；而且，随着单位工作业务的不断调整，单位自身的重要数据也处于动态调整中，那么数据加密范围也要跟着调整。单位究竟应该在多大范围部署加密技术，这要根据实际情况来决定，因为单位系统中的大部分数据可能都是普通数据，涉及到机密的重要数据往往只是一小部分，这些重要数据可能集中在某一个核心部门，也有可能分散在各个不同的普通部门中，这就要求单位在部署加密技术时，必要要以重要数据为中心，注重技术方案的可扩展性和可变性。此外，无论单位的加密范围如何变化，重要数据如何调整，有一样是一直不变的，那就是部署加密技术以后，需要及时进行安全审计；单位要经常对信息加密体系进行检查，以此来正确评价安全效能。 当然，我们不要简单以为部署了加密技术后，就能保证万无一失，因为加密技术只能解决数据自身的保密性问题，而无法解决数据在传递、使用过程中的泄露风险；尽管加密技术可以有效提升单位信息系统中重要数据的安全性，不过该技术也会对系统的工作流程带来影响，它会延缓数据流动效率，因此单位需要在安全方面和效率方面取得平衡。 加