在企业信息安全这个领域,商业机密保护一直都是绕不开的话题。进入知识经济时代,这事儿的重要性和紧迫感更是一天比一天强。具体到日常管理,问题很现实:怎么才能防止员工把文件往U盘里一拷就带出公司?怎么禁止通过QQ、邮件这些渠道把核心资料传出去?这些痛点,几乎成了所有企业在做信息安全管理、数据防泄密时,必须直面的核心考题。
要筑牢这道防线,光靠网络管理员甚至领导层“有这个意识”是不够的,不能只停留在喊口号或者出几条规定上。真正要落地,必须两手抓:一手抓管理制度的完善与执行,强调“能不能做”;一手抓技术工具的部署,搞清楚“怎么做才能防住”。只有内控意识和软件硬件协同发力,单位的无形资产和商业机密才能得到扎实的保护。
一、中国防泄密市场需求庞大
市场数据是最直观的佐证。据估计,2010年全球数据泄露防护(DLP)市场的总额将达到20亿美元,而单看中国,保守估计也能达到5亿元软妹币。需求旺盛到什么程度?从行业分布上看,政府、军队及军工单位、金融机构、电信运营商,这些都将是未来几年信息安全建设的重点客户。这一点,在不少跨国信息安全公司的内部研判报告中都能看到。
二、泄密的原因和途径具备多样性特点
从实操层面看,数据泄露的原因无非三大类:被外部窃密、内部人员主动泄密、以及无意的失密。把这三种原因拆开看,具体的途径至少有七种,每一种都值得警惕。
1. 国外黑客和间谍窃密:这已经是老生常谈但绝不过时的话题。黑客和间谍利用层出不穷的技术手段渗透国内重要系统,如果不加防范,损失是不可估量的。
2. 外部竞争对手窃密:同行之间通过各种手段窃取商业机密,这不是什么新鲜事。如果企业不重视自己的“家底”,不仅会在商战中陷入被动,造成直接经济损失,甚至可能拖累整个行业的健康发展。
3. 内部人员离职拷贝带走资料泄密:这是一个常年困扰企业的问题。很多内部人员在离职前会大量拷贝核心资料,而这些资料一旦到了新的东家那里,就成了打击原单位的利器。
4. 内部人员无意泄密和恶意泄密:很多时候,泄密不是故意的,而是因为对信息安全的重要性认识不足、操作不当造成的。但也不能排除极少数人出于报复心理,把机密信息直接放到网上公开。
5. 内部文档权限失控失密:机密信息通常会分成秘密、机密、绝密等不同等级。但很多单位的权限划分其实相当粗放,很难精确到每一个人。这就导致不该看的人看到了,该看低级别的人拿到了高级别资料。
6. 存储设备丢失和维修失密:笔记本电脑、移动硬盘、手机存储卡、数码设备……这些移动存储介质一旦丢失、送修或被淘汰,里面的数据几乎就是“裸奔”状态。当年轰动一时的“艳照门事件”,本质上就是这类问题的极端体现。
7. 对外信息发布失控失密:单位之间的合作非常频繁,信息交互的过程中,涉密信息很容易流到不具备权限的合作方人员手中,甚至直接流到竞争对手那里。
三、当前五种主要的防泄密手段概述
面对以上种种风险,市场给出了多种应对方案。目前来看,主流的防泄密手段主要有以下五种。
1. 内网管理软件
内网管理软件是最早期、也比较初级的手段。它主要做的是终端综合管理,比如监控屏幕、禁止USB接口、管控上网行为等。但从防泄密的角度看,它存在天然短板:无法阻断所有泄密通道,而且不对文档本身做加密处理。所以,它的防护效果有限,更多是被当作一种辅助性的上网行为管理工具。

2. 文档加密软件
这是目前比较主流的一类方案。说白了,就是对内网终端产生的文档进行透明加密,或者做权限管理,让文件在创建、编辑时就自动被保护起来。即便文件被人偷偷带出公司,因为没有正确的加密环境,也无法打开。它能做到只让读取而禁止复制、只让修改而禁止删除、禁止打印或拖动等等,细粒度管控能力很强。不过,这种方案更多是针对终端文件本身,算是一个标准工具,但如果面对更复杂的应用场景——比如磁盘、端口、服务器的联动管控——就需要和其他方案配合了。

图:加密电脑文件

图:隐藏磁盘文件
3. 硬件加密
硬件加密的思路更“硬核”。它通过专用的加密芯片或独立的处理芯片来做密码运算。比如,把加密芯片、专用的电子钥匙和硬盘绑定在一起。每次使用时,三者必须同时存在,缺一不可。如果硬盘被拆走,到其他电脑上根本识别不了,数据自然安全。但这种方案的缺点也很明显:适用范围窄,价格偏高,主要是因为稳定性高但场景有限。所以它更多是用在对安全性要求极高、但环境相对封闭的行业。
4. 国外数据泄露防护(DLP)
从2006年开始,国际信息安全巨头如RSA(EMC)、Websense等陆续推出了DLP产品。它们的技术核心在于内容识别、输出监控、敏感信息拦截和审计。但有一点要注意:这类产品主要防范的是“不小心把信息带出去”的情况(比如通过邮件、U盘等),但对于“内部人员处心积虑要把资料带走”这种情况,其实没什么办法。再加上价格不菲、本地化程度差,在很长一段时间里,它们在国内落地很难,确实有点水土不服。
5. 国内数据泄露防护(DLP)
中国的安全形势有其特殊性:核心痛点在于防止内部泄密,但同时也要防住外部入侵。因此,国内一些厂商从2006年开始推出了集加密、内外网管理于一体的解决方案。这类方案的核心是在Windows内核层面做文件过滤驱动,实现透明加解密。文件在创建和编辑时就自动加密,不影响用户的使用习惯,但一旦被非法带离公司环境,就再也无法正常打开。这样一来,既能防内部人员有意或无意泄密,也能有效阻止黑客、木马在入侵后窃取文件。
