数据安全角斗场——信息泄漏现状与危害分析

       进入信息时代，互联网飞速发展，由于IT设备的普及，使得人们生活中充斥着越来越多的IT元素。同时人们周边的一些事物也逐渐被数字化，信息化，一个与数据，信息共存的时代逐渐成形。既然信息和数据已经成为这个时代，这个世界的重要组成部分了，那它的安全性也逐渐成为人们所担忧的。
       随着处理数据的IT设备日新月异，数据处理的速度变得越来越快，但同时遇到的威胁也越来越多。数据安全处于这个时代变化的角斗场中，正在与它对抗的对手进行着殊死搏斗，而其中一个对手就叫做信息泄漏。
       作为信息时代的一份子，我们自然希望数据安全能战胜信息泄漏问题，那么我们该如何做呢？所谓知己知彼百战百胜，那我们就先来了解下这个对手——信息泄露的现状吧。
       1、 APT攻击及网络钓鱼成为信息泄露的重要源头
       目前，套取个人身份信息的方法主要有两种——APT攻击及网络钓鱼。现今，大多数网站都要求用户提供一些必要的个人身份信息，才能使用某些扩展性服务。而黑客看重的正是存储该类信息的企业服务器。
       通常，他们会花费几天到几个月不等的时间，对目标服务器进行渗透，然后找到该服务器的系统漏洞，进而获取服务器的控制权限，盗取数据库内的重要资料。网络钓鱼则是仿冒一些知名网站，再利用社会工程学原理，诱骗用户在网站上填写个人信息。安全专家指出：“无论是APT攻击还是网络钓鱼，都可以大量获取个人身份信息，造成大规模隐私信息泄露。”
       2、第三方外包泄密风险大，涉密人员素质参差不齐
       目前，无纸化办公、电子政务等技术逐步成熟，用户的个人信息被大量采集用于公共事业管理及服务行业。许多单位、组织，在维护这些信息系统的时候，都选择雇佣第三方外包公司。然而，这样做虽然节省了人力、物力，却使得用户隐私外泄的危险性加大，各类企业、单位、组织的核心数据库都处于外包公司的管控之中。
       与此同时，从行业角度上讲，近年来我国的互联网技术发展极快，市场规模也呈几何式增长，然而从业人员的职业素养却一直落后于行业发展速度。2012年爆发的上海特大个人信息泄露案就是一个典型的例子：涉案人员张某是承接卫生局数据库维护的运维公司技术部经理，他利用工作之便，每个月都会从家里访问卫生局数据库，从中下载大量用户隐私信息，并将这些信息转手倒卖给他人。
       除此之外，近年来全国各地的公安机关都开展了打击侵害个人隐私的专项行动，抓获相关犯罪嫌疑人1,700余人。由此可见，提高涉密人员职业素养、加强企业信息安全管理制度的建设已经迫在眉睫。
       3、信息安全防护意识普及率低
       虽然部分业内人士表示，目前杀毒软件的普及率已经超过90%，然而信息安全现状却并不乐观。“其中一个重要的原因是信息安全防护意识薄弱”，安全专家指出，目前无论是个人用户还是中小型企业用户，普遍对信息安全保护缺乏正确认识。
       许多个人用户认为，只要安装了杀毒软件或者防火墙，就可以高枕无忧。但是，互联网环境却时时变化，近年来网络钓鱼愈演愈烈，各种诈骗手段更是层出不穷，网民稍不小心就会误入不法分子设下的圈套，被套取隐私信息。
       而对于企业用户来说，许多企业为了节约运营成本，只安装免费的个人版杀毒软件，这是相当危险的，尤其是一些对保密性要求较高的行业。因为个人版杀毒软件无法解决病毒在企业内网交叉感染的问题，更不可能对病毒大面积爆发、ARP攻击等重大安全事件进行追踪定位，甚至就连简单的杀毒软件升级都不可能做到全网统一。
       在这种情况下，员工一个小小的违规操作就有可能给黑客带来可乘之机。一旦企业内网遭到入侵，所有存储于IT设备上的数据就将暴露给黑客。
       了解对手还不够，我们还要知道这个对手是否能对数据安全造成危害，如果不能又何须防守呢？显然事实是前者，信息泄漏对于数据安全有着巨大的危害。
       1、个人身份信息泄露恐导致严重后果
       “垃圾短信和骚扰电话并不是最严重的后果。”瑞星安全专家指出，不法分子有可能利用网民的身份证号码、复印件、电子扫描件等信息冒名申请电话卡或信用卡，并恶意透支。除此之外，像汽车驾驶证、行驶证等信息，也可能被不法分子利用伪造“套牌车”。届时，该“套牌车”的所有违法行为，均将记录在被“套牌”的车主名下。
       2、大规模数据泄露今后将严重影响企业生存
       在信息化时代的今天，企业间的竞争愈加激烈，用户群已成为许多企业的生存命脉。用户资料一旦泄露，企业所面对的不止是同行业的争抢瓜分，还将面临来自公众的信任危机。同时，对于很多靠虚拟货币盈利的互联网企业来说，用户资料的失窃很有可能意味着用户账号内的虚拟财产被滥用，企业也将面临巨大的经济损失。
       3、国家信息泄漏，可能演变成一个民族的灾难
       随着信息技术和互联技术的不断发展，网络已经成为另一个经济世界，人们在网络上交流信息，洽谈生意，甚至是完成金融交易。而作为国家重要组成部分的经济，现在也越来越仰仗网络这个平台。但是事物往往都有阴暗的一面，作为世界公敌的恐怖分子也逐渐开始利用网络的便利来敛财甚至是窃取情报，这两个不利因素前者导致了恐怖分子的规模和数量可能日趋庞大，后者导致了国家、民族在与恐怖分子的对抗中可能处于下风甚至是出现不利的局面。长此以往将会对一个国家甚至是一个民族造成巨大的灾难。
       综上所述，我们已经了解了数据泄漏这个对手的现状与危害，为了帮助数据安全取得胜利我们该采取哪些措施呢？
       首先利用加密技术、加密软件对数据安全进行根源性的安全防护。由于数据加密是对数据本身进行处理，通过改变数据原本信息内容的方法来达到安全防护的效果，可以说是最贴近数据，最本质的安全防护，所以往往也是最有效的，尤其是在这个数据破坏渐渐淡出舞台，数据窃密渐渐成为主流的时代中。而要面对现今多样的数据安全威胁，必须利用一种能适应更重情况的加密技术，那就是多模加密技术；
       多模加密技术是采用国际成熟的对称密钥和非对称密钥相结合的技术。同时多模加密本身是一种能提供满足多种使用场景，采用多种加密策略的数据透明加密技术。在多模加密模式中，用户创建秘文的方式支持主动和被动两种方式，至少包含如下模式：特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户不加密模式（但需要可以修改和查看别人的密文即高级别模式）、特定用户不加密模式（可以查看别人但不能修改别人密文即阅读者模式）、U盘等外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等；这些加密模式可以赋予不同的用户或者用户组。
       而作为数据安全领域内专业的生产商，山丽网安的防水墙数据防泄漏系统的核心加密模块就是采用这种技术的，同时这款产品也是针对信息泄漏问题而打造的。
       接着，在用数据防泄漏软件、加密软件确保数据安全之后，就要拿起管理的武器来对信息泄漏发起全面的进攻了。这个管理分为两部分，技术管理和政策法规的管理，技术管理就是指利用数据安全管理软件对数据的访问权限，加密控制，外发控制等数据流转环节的管理问题进行系统化的监控与处理，这样会在一定程度上减少由于管理问题而出现的信息泄漏问题，前面提到的防水墙数据防泄漏系统就有一个功能模块是针对文档（数据）权限管理的；而政策法规的管理就是要靠国家出台相关的规定来制止信息泄漏犯罪问题，从而抑制黑客对于信息的不法行为，从而全面打击基于信息泄漏的犯罪行为。
       数据安全随着时代的发展，或许会在这个信息的角斗场中遇到更多的对手，但是现今最主要的对手就是信息泄漏，因为它具有极大的杀伤力。但是随着人们逐渐了解这个对手，并选择了正确的方法——那就是加密软件和法律并重的组合拳，相信定能击败信息泄漏这个对手，完成一场数据防泄漏的完美战斗！
       关键词：加密软件 数据防泄漏