数据安全:信息防泄漏需要关注应用细节

现在不少企业都知道,真正的安全威胁往往来自于企业内部,然而,如何切实搞好企业内网安全,一定要关注用户在实际应用中的细节。

例如设备管理和跟踪的过程中,也经常会出现一些死角,导致偶有未被登录在案的计算机节点在网络中工作而却茫然不知。可以说,投入到信息安全的成本有很大一部分都因为这类问题而被浪费掉了,这导致的最直接结果就是没有更多的资源来真正提升内网安全防护的质量,从而形成了一个内网安全泥潭。

在看到罗列与此的这些问题时,安全管理员一定会有似曾相识的感觉。这个列表中的问题都相当常见而且流行,可以作为内网安全的优先关注点,也可以作为在选择内网安全工具和技术解决方案时的映射目标,最重要的是我们需要正确地认识使用哪些技术可以有效地处理这些问题。

再比如对于数据安全来说,根据数据所对应的安全等级进行适当的加密保护是最基本的手段之一。就那些相对公开化的业务应用来说,基于公钥加密和证书认证等手段的体系是相对比较成熟和流行的,而PKI则是其中最典型的代表。一般常用的CA体系架构相对简便,也具有绝大多数用户所需的功能。

从存储数据的各个计算机节点来说,现在有大量免费的加密工具和数据擦除工具可用。不过其提供的保密级别往往较低,而且在操作系统层以及应用层进行加密,往往会衍生出其他的安全问题。对于密级较高的电子文档,应该尽可能应用BIOS防护卡等硬件设备,限制数据的存取,并通过芯片级加密保护硬盘上的数据。

另外,目前基于USB接口的存储设备比如U盘、移动硬盘等,也可以通过智能判断和权限控制功能,来对其中的数据进行更好的安全管理。在更加高端的领域,用户可能需要对数据的流向采取非常严格的控制,甚至规定必须使用签收刻录光盘的方式来交换某些数据。对于这类问题国内厂商已经提出了不少有效的解决方案。

例如数据单向导入管理系统就相当具有创新意义,这个系统利用了光纤单向传输的特性,在物理层保证数据的流向正确。在使用过程中,设备一端连入存储涉密数据的计算机终端,一端连入U盘等数据源,即可实现数据的安全存入,而不会出现涉密数据被非法泄漏的问题。从中可以看出,作为以文档加密作为内网安全起点的国内用户来说,也许确实只有国内的厂商才真正了解国内用户的需求。