当“火焰病毒”遇到数据防泄漏系统

       近年来，信息安全事件频发，昭示着企业应当更加注重对数据安全的维护，企业各种机密的资料如若被人泄密，不管是有意还是恶意，其结果都是可以预见的，轻则为企业带来一定程度的经济损失，重则将会给企业带来灭顶之灾。

       在信息安全事件中，数据防泄漏是主要问题。

       基于不同的法律环境、文化理念和网络环境，国内外数据泄露防护要解决的具体问题是不同的。区别于国外数据安全防护以防外部窃密和内部无意泄/密，国内数据安全防护则以防止内部故意泄/密为主，兼防内部无意泄/密和外部窃密。因此，国内数据安全防护强调的是主动防御，通过结合数据安全防护规律中的“事前主动防御、事中及时控制、事后及时追踪”信息安全理念，结合以多种模式动态透明加/密技术（简称多模透明加/密）为核心，与多种安全管理解决方案一起，构建完善的数据防泄漏安全体系。目前国内的数据防泄漏系统主要有山丽网安开发的防水墙数据防泄漏系统，国外的主要有EMC开发的数据防泄漏系统。

       一、数据防泄漏系统概念

      数据泄露防护，又称为“数据丢失防御”，有时也称为“信息泄漏防御”。数据泄漏防护是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业，最后以数据防泄漏系统集体呈现。

       数据防泄漏系统，在企业数据防泄漏的安全工作基础上，对企业的机密资料做出全面梳理，为企业信息安全做好基础性防护工作。数据防泄漏系统，能有机地把涉密信息与非涉/密信息区分开来，采用等级、分级管理办法，针对不同的信息分别进行防护。

       二、数据泄露防护所解决的问题

       目前，众所周知的数据泄漏的原因主要有三种：窃密、泄密和失密。造成企业信息泄漏从这三种原因上落实，表现在以下几种情景中：

       1)、来自网络中的攻击泄密

       恶意软件、间谍软件、木马软件，都存在着造成信息泄密的可能性，不管是政府、军工和企事业单位，都会不可避免有此遭受到对信息安全的威胁，而且这些有意的攻击都有带有目的性。

       举例来说，2012年5月开始风光的“火焰”病毒，它的全名为Worm.Win32.Flame，它是一种后门程序和木马病毒，同时又具有蠕虫病毒的特点。只要其背后的操控者发出指令，它就能在网络、移动设备中进行自我复制。一旦电脑系统被感染，病毒将开始一系列复杂的行动，包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器，让操控者一目了然。 “火焰”病毒构造复杂，此前从未有病毒能达到其水平，是一种全新的网络间谍装备。该病毒可以通过USB存储器以及网络复制和传播，并能接受来自世界各地多个服务器的指令。感染“火焰”病毒的电脑将自动分析自己的网络流量规律，自动录音，记录用户密码和键盘敲击规律，并将结果和其他重要文件发送给远程操控病毒的服务器。 一旦完成搜集数据任务，这些病毒还可自行毁灭，不留踪迹。

       如果使用了采用多模透明加/密技术的防水墙数据防泄漏系统，可以实现在网络贯通的情况下，数据即使被窃取出去，但也是一系列被自动强制加/密的数据，那些数据只能在作者的电脑上才能被使用，从而实现数据防泄漏的目的。

       2)、外部竞争造成的数据泄密

       中国处于高速发展时期，国外许多敌对势力或者是跨国竞争对手，一直在对中国虎视眈眈。间谍案件屡见不鲜，对于企业内部机密资料的重点防护，仍然不可掉以轻心。商场如战场。现代的商业竞争往往各种手段都采用，近几年竞争对手派人到对方公司卧底，或者是收买竞争公司人员窃取资料，导致企业信息安全岌岌可危。

       3)、内部人员离职拷贝带走资料泄密

       全球阶段性经济不景气，企业大面积裁员，信息安全也会受到一定程度的威胁。研究结果显示，离职人员带走的公司信息对竞争者具有价值，67%的人表示他们使用前雇主的商业机密、敏感信息和专利信息帮助其在新公司立足。离职雇员这种行为不仅是将公司客户信息以及其他公司商业机密置于危险之中，还将对公司的竞争力和公司未来的经营造成很大的负面影响。使用基于环境指纹技术、多模透明加/密技术的防水墙数据防泄漏系统，可以实现员工在内部可以自由使用被加/密的机密数据，离职后，即使拿到了这些数据，也将因为不在企业网络中，没有原企业的“环境指纹”信息，从而无法使用。

       4)、内部人员有、无意泄密

       误将商业计划书当作普通文档发送给了媒体、无意间将公司内部工资表群发给了所有员工等等。许多泄密事件，并不是有人盗窃，也不是有人在发泄，而是在没有意识到是需要保密的机密，以致让内部绝密文件满天飞。

       内部人员有意(恶意)泄密 明知是公司保密资料，却故意发到论坛上，这种事情虽然为数不多，却也不是没有。这种情况，往往是对公司心怀不满，处于发泄目的，或者是为图个人名利。这种情况所造成的后果往往都会很严重，比如3.15晚会上曝光的山东移动公司内部员工，出于谋利，把客户资料贩卖到外部，就是一个典型例子。

       使用基于环境指纹技术、多模透明加/密技术的防水墙数据防泄漏系统中的文档权限管理模块，可以实现在企业内部，即使机密数据发错了对象，其将也无法阅读；在企业外部，即使数据对方收到也无法阅读的效果。

       以上四种实际情况都是企业频率较高的安全事故，任何一种情况下的泄密都可能会带来致命的危险。一个完善的数据泄露防护体系，必须能防止以上种种泄密。当我们在考虑数据防泄漏系统(DLP)体系的时候，我们不仅要求能防止网络黑客窃密，也要防止内部泄密，不仅防止无意间的泄密，也要防止内部恶意泄密，不仅防止固定存储设备安全，还要保证移动存储设备数据不会丢失，还要确保对外发送的文档能有效杜绝二次扩散。

       三、什么数据泄露防护(DLP)体系适合于中国国情？

       要保证防止以上九种泄密，采用国外DLP解决方案是做不到的。以内容识别、出口检测、涉密信息警告和日志审计为主的数据泄露防护(DLP)能够做到的是防止外部网络黑客窃密，或者是防止内部无意间泄密。对于那些处心积虑盗窃内部机密信息的内部人员，或者是满腹怨气拷贝重要资料的离职员工，甚至是把硬盘直接卸下偷走，一个警告是没有丝毫作用的。所以现在国外DLP方案在国内乏人问津，偶有测试，实施却极少，正是因为这一点。

       采用国内的数据防泄漏系统或者说是数据泄露防护(DLP)体系是企业信息安全的必由之路。

       通过多模透明数据加/密技术来保证数据安全，防止泄密，已经成为国内外DLP厂商的共识，而且也是当前最有效的解决办法。目前，以数据多模透明加/密为核心的防水墙数据泄露防护(DLP)解决方案，已经成为中国国内主流方案，并得到了众多用户的认可。不同行业不同类型的用户，纷纷采用此DLP方案来保护机密信息。以山丽网安为例，其用户包括政府行业、军队、军工企业、金融机构、通信行业、制造企业等。全国数百家用户如中国造币总公司、北京银行、西安航天科技实业集团、德力西自动化控制、贝卡尔特、中科院核能安全研究所、浙江中控集团等等，已经采用了山丽网安防水墙DLP解决方案来防止内部和外部造成的窃密、泄密和失密。

       四、科学严谨的数据泄露防护(DLP)解决方案功能体系

      除了加/密之外，还需要具备哪些功能才能够构成完善的DLP方案解决方案呢？是不是只需要静态加/密就可以完全搞定所有的防泄密问题？

       答案是：NO。

       在整个内网架构中，存在终端、磁盘(硬盘)、服务器、端口、移动存储设备等等不同的节点。不同的节点，信息产生和保存的情况都是不一样的。如果采用静态加/密方式，却又不适合于用户的业务流程，更做不到全程加/密，必然留下泄密的漏洞。即使是对密文的保护，也要结合访问控制、身份认证、日志审计、文档备份、系统容灾、业务流程审批、全盘加/密、移动设备保护、服务器加/密、数据库加/密等等多种手段相结合。

       一个科学严谨的数据泄露防护(DLP)解决方案必须具备哪些功能呢？

      山丽防水墙数据防泄漏系统基于驱动层多模透明动态加解/密技术，采用对应客户需求的安全策略，结合文档透明加/密、文档权限管理、文档外发控制、文档备份、业务流程审批、磁盘全盘加/密、磁盘分区加/密等基本功能，融合身份认证、日志审计、端口管理、移动存储管控和系统容灾管理等功能。防水墙产品通过对终端、端口、磁盘、服务器、笔记本电脑、移动存储设备、数据库等进行管理，严密防止内部泄密和外部窃密。

       山丽网安（www.sanlen.com），中国透明加/密技术的创造者，领导者，其在多模透明加/密、一文一密钥、全盘加/密等技术方面目前处于国际领先地位。