政府机构如何规避IT设备对数据安全的威胁？

       近年来，随着棱镜门的持续影响，国内对于国外IT企业和IT设备的使用处于高度警惕状态，政府也对各种牵涉国外IT企业的信息安全时间格外重视。或许也正是由于这种重视和关注，近几个月，关于国外IT企业对于企业、政府机构数据安全威胁的报道不断出现。

       政府机构信息安全安全现状分析

       从微软的win8被政府机构禁止采购，到政府或将下令政府机构禁止使用Office;从苹果设备被爆出存“偷窥”用户数据的后门，到某国际著名安全厂商由于后门漏洞遭禁用。这一切的一切都把政府机构如何规避IT设备尤其是国外IT设备对于数据安全的威胁提上日程，是必须尽快、彻底的解决的问题。

       虽然很多人会觉得，禁止采购、禁止使用或许就是这一切问题的解决方法，从报道也可以看出，几乎所有的行为都和禁止有关。但如果我们深入分析这些问题的本质，我们会发现，“禁止”只是治标的行为，真正要使得数据得到防护，采用自主可控的信息技术进行系统而又本源的防护才是终极手段。

       “规避”IT设备安全隐患的终极手段——数据加密

       其实不管是国外IT企业和其设备，还是国内IT企业和其设备，只要他们怀有“恶意”，对政府机构甚至是其他企业的敏感的数据产生的威胁是一样的——那就是通过设备和技术来窃取数据或者盗用数据，最终达到监控和利用数据的目的。所以想要保证这些数据的安全，光靠回避始终是“治标不治本”的办法。想要更彻底的防护文档和数据的安全，采用加密技术是最好的手段。

       数据加密直接作用于数据本身，使得数据在各种情况下都可以得到加密的防护。再者由于加密防护特殊性，使得数据即使泄露了，加密防护依然存在，只要算法不被破译，数据和信息仍然可以称作是安全的。由于这两点保证，使得加密软件成为了现代企业防护信息安全的最主要和最可靠的手段。同时由于未来信息安全防护的多样需求，在加密软件或者说加密技术中，采用走在时代前沿的多模加密技术或是最好的选择。

       山丽防水墙独创多模加密技术应对文档、数据多样危机

       作为山丽防水墙专属且独创的加密技术，多模加密技术采用对称算法和非对称算法相结合的技术，在确保加密质量的同时，其多模的特性能让用户自主地选择加密模式从而更灵活地应对各种防护需求和安全环境。

       同时山丽防水墙的多模加密模块还采用了基于系统内核的透明加密技术，从而进一步确保了加密防护的便利性和完整性（加密与格式无关）。

       山丽防水墙在政府机构的实践案例

       一、需求分析

       对于政府机构来说，可能的泄密途径，应该来讲主要包括：

服务器上泄密、工作站泄密、移动设备泄密、网络泄密、输出设备泄密、客户泄密、合作单位员工转发泄密等

       主要的表现形式如下：

       【服务器泄密】

       1、网络维护人员在进行维护时使用移动硬盘将服务器上的资料自备一份。

       2、维护人员知道服务器密码，远程登陆上，将服务器上的资料完全的拷到本地或者自己家里的机器上。

       【工作站泄密】

       1、乘同事不在，开启同事电脑，浏览，复制同事电脑里的资料。

       2、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走。

       3、将笔记本（或者台式机）带出管控范围重装系统或者安装另外一套系统从而将资料拷走。

       4、将笔记本（或者台式机）带出管控范围利用GHOST程序进行资料盗窃。

       5、将笔记本（或者台式机）的硬盘拆回家盗窃资料，第二天早早来装上。

       6、将办公用便携式电脑直接带回家中。

       7、将笔记本（或者台式机）带出管控范围使用光盘启动的方式，使用磁盘管理工具将资料完全拷走。

       8、将笔记本（或者台式机）的硬盘或整机送修，资料被好事者拷走。

       9、电脑易手后，硬盘上的资料没有处理，导致泄密。

       10、笔记本（或者台式机）遗失或者遭窃，里面的资料被完整的窃取。

       【网络泄密】

       1、内部人员通过互联网将资料通过电子邮件发送出去。

       2、内部人员通过互联网将资料通过网页bbs发送出去。

       3、随意将文件设成共享，导致非相关人员获取资料。

       4、将自己的笔记本带到公司，连上局域网，使用各种手段如ftp、telnet窃取资料

       5、随意点击不认识的程序、上不熟悉的网站导致中了木马产生的泄密。

       【输出设备（移动设备）泄密】

       1、移动存储设备共用，导致非相关人员获取资料。移动设备包括：u盘、移动硬盘、蓝牙、红外、并口、串口、1394等

       2、将文件打印后带出。

       【客户泄密】

       1、客户将公司提供的文件自用或者给了竞争对手。

       2、客户处管理不善产生的泄密。

       3、员工收到文件后将文件发送给其他人员产生的泄密。

       二、实施方案

       【对外防护】

       部署防水墙后，在使用者（用户）登录了防水墙的客户端后，使用防水墙提供的加密功能将重要的或者机密的非加密文件（明文）在加密环境中进行加密（明转密），转换为加密文件（密文），或者将密文转换为明文（密转明）。密文与生成文件的软件或者工具无关。密文与文件格式无关。

       【对内防护】

       防水墙提供了允许密文合法离开加密环境，以及禁止密文非法离开加密环境的功能。

       （1）密文合法离开加密环境是指：用户在外出期间被授权采用离线方式读取密文，从而可以获得离线授权将密文转换为明文。防水墙提供指定读取密文的次数或者读取密文的时限（可以按小时、天、周或者月计算）。

       （2）密文非法离开加密环境是指：用户在没有被授权的情况下将密文非法携带离开并且将其强行转换为明文。防水墙提供的防范密文非法离境的途径包括：通过电子邮件（email）和QQ、MSN等IM网络软件工具，使用USB、MP3、数码照相机、手机和各种存储卡等移动存储设备，通过可刻录的硬存储设备（RWCD、RWDVD等），以及通过FTP等网络软件或者网络工具非法传输软件等。系统提供的防范管理策略是指在用户没有获得授权的情况通过以上非法途径携带离境的密文将在防水墙的防范下无法用明文的方式读取密文、或者即使读取的密文也只是以乱码的形式显示。

       【权限控制】

       （1）防水墙提供了对所有用户设置访问密文（以下简称读取密文）权限的功能。访问权限包括查看密文、编辑密文、粘贴密文、复制密文、删除密文、重命名密文、打印密文以及下载密文等操作的权限。

       （2）防水墙提供了对所有用户设置密转明权限的功能。密转明权限包括审批密转明的权限和执行密转明的权限。

       （3）按照在加密环境中所属课题组的不同，防水墙将所有用户分为项目负责人（包括实验室领导和项目领导）、安全管理员、项目组长和普通用户等各类用户。用户的级别和等级数量可以由买方决定。例如：

       A. 项目负责人具有最高的设置权限的级别，他们可以控制安全管理员、项目组长和普通用户的权限，项目组长可以控制普通用户的权限。

       B. 项目负责人可以授权给安全管理员，由安全管理员代为控制项目组长和普通用户的权限。

       （4）对于不同的密文，一个用户可能具有不同的用户权限。对于同一个密文，一个用户可以拥有部分或者全部权限。

       （5）没有被设置某种权限的用户，将被禁止使用与之对应的权限访问密文。如果强行读取密文，将获得以乱码形式显示的密文。

       山丽结语：

       山丽网安作为国产的老牌数据安全防护厂商，一直致力为企业、政府机构提供自主可控的信息安全防护技术、文档、数据安全软件和全方位的数据、信息安全解决方案。因为山丽相信只有把信息、数据、文档安全防护的主动权交给服务对象本身，才能达到真正的“安全”！