北京 2013-01-29(中國(guó)商業(yè)電訊)－－全面，甚至是全員的持續(xù)監(jiān)控，是數(shù)據(jù)防泄密的一個(gè)非常有效的手段。當(dāng)發(fā)生數(shù)據(jù)泄密時(shí)，終端用戶自身是一定有感知的，我們要做的是，如何讓這些終端相互通訊，體察和匯聚各種各樣的問(wèn)題。

通常情況下，很多企業(yè)網(wǎng)絡(luò)都存在著不少的漏洞，存在著數(shù)據(jù)泄露的可能性。我們先看一個(gè)真實(shí)的案例。

一個(gè)黑客在大范圍掃描網(wǎng)絡(luò)的過(guò)程中，非常偶然的發(fā)現(xiàn)了一家比較知名的制造企業(yè)的信息，他的服務(wù)器和郵件服務(wù)器居然在同一臺(tái)機(jī)器上。當(dāng)然，這家公司的郵件使用并不是特別頻繁，所以黑客并沒(méi)有辦法直接取得大量的敏感信息。黑客就悄悄潛伏下來(lái)，每天閱讀郵件，終于有一天黑客發(fā)現(xiàn)在郵件里有這家企業(yè)的通訊錄，有很多人員的郵件、電話、信息，于是黑客就搞清楚了哪些人是研發(fā)人員，也搞清楚了研發(fā)人員最近在做什么樣的項(xiàng)目。于是黑客偽造了一個(gè)郵件，告訴幾個(gè)特定的研發(fā)人員，說(shuō)公司內(nèi)部有一個(gè)工具需要升級(jí)，要求他們運(yùn)行附件的文件進(jìn)行升級(jí)，其實(shí)附件是一個(gè)木馬程序。研發(fā)人員就按照黑客的說(shuō)法去做了，最終機(jī)密就泄露了。 ? ? 萬(wàn)幸的是，最終這件事在私下解決了，造成的影響不是太大，不過(guò)這家企業(yè)得到了很深刻的教訓(xùn)。

現(xiàn)在，我們面對(duì)著很多新的環(huán)境，比如移動(dòng)互聯(lián)網(wǎng)、社交網(wǎng)絡(luò)、云計(jì)算、IPv6等等，而且黑客已經(jīng)把很多攻擊進(jìn)行彼此的關(guān)聯(lián)。在新環(huán)境下，我們可以看到兩個(gè)關(guān)鍵詞，一個(gè)是潛伏，黑客已經(jīng)不會(huì)滿足于攻進(jìn)來(lái)以后搞一個(gè)破壞，而是潛伏下來(lái)，等待著最好的時(shí)機(jī)來(lái)獲取最多的數(shù)據(jù)。

另一方面是定向爆破，黑客經(jīng)過(guò)長(zhǎng)期的分析，分析出究竟哪些數(shù)據(jù)是他最關(guān)注的，然后通過(guò)定向爆破的方式，只針對(duì)這一群用戶來(lái)下手，這種方式對(duì)整個(gè)網(wǎng)絡(luò)、對(duì)絕大多數(shù)人幾乎是沒(méi)有影響的，所以他被發(fā)現(xiàn)的機(jī)率最低。這是現(xiàn)在數(shù)據(jù)泄密方面的一些新的態(tài)勢(shì)。

既然存在著敏感信息泄漏的可能性，企業(yè)想要進(jìn)行數(shù)據(jù)防泄露，應(yīng)該怎么辦？

首先，企業(yè)需要搞清楚要保護(hù)的信息是什么。金融企業(yè)、運(yùn)營(yíng)商需要保護(hù)的可能是用戶的信息，制造業(yè)需要保護(hù)的可能是各種各樣的二維、三維的設(shè)計(jì)圖紙。

其次，從兩個(gè)方面來(lái)考慮數(shù)據(jù)的使用者，一方面，敏感數(shù)據(jù)、敏感信息有合法的人員在使用、加工處理，再通過(guò)正常合法合規(guī)的流程流向下一個(gè)環(huán)節(jié)；另一方面，有些不合規(guī)的人有意圖，甚至有能力接觸這些數(shù)據(jù)。

第三，是環(huán)境。環(huán)境就是這些人接觸數(shù)據(jù)的時(shí)候所使用的網(wǎng)絡(luò)、設(shè)備等等相關(guān)的東西。

對(duì)于數(shù)據(jù)防泄密，很多安全管理員都覺(jué)得相當(dāng)困擾，為什么呢？因?yàn)閿?shù)據(jù)就是在這么復(fù)雜的網(wǎng)絡(luò)里面，我們?cè)趺礃硬拍苤滥膫€(gè)地方發(fā)生了泄露呢？同時(shí)，還有很多做信息安全的人陷入了誤區(qū)，就是建立了很多馬其諾防線，以為這些防線就能實(shí)現(xiàn)百分之百的安全，但是有時(shí)候攻擊者根本不從這個(gè)方向來(lái)，他們不走尋常路。這個(gè)時(shí)候我們?cè)撛趺崔k呢？

第一個(gè)觀點(diǎn)，是需要全面，甚至是全員的持續(xù)監(jiān)控，這是數(shù)據(jù)防泄密的一個(gè)非常有效、非常有價(jià)值的手段。這個(gè)可能跟很多人的理念相違背，因?yàn)椴蝗菀鬃龅?。很多人都表示部署設(shè)備很簡(jiǎn)單，但是如果要做全程監(jiān)控，這個(gè)難度就非常大。其實(shí)，當(dāng)發(fā)生數(shù)據(jù)泄密行為的時(shí)候，終端用戶自身是一定有感知的，現(xiàn)在我們要做的是，如何讓這些終端用戶之間相互通訊，終端和終端之間相互通訊，體察和匯聚終端之間各種各樣的問(wèn)題，這個(gè)是最核心的，同時(shí)這也是不可或缺的。

在進(jìn)行全員全面的監(jiān)控時(shí)，最大的阻力就是怎樣淡化用戶被窺探的感受。企業(yè)文化注重信任和自由，企業(yè)想要做的就是防黑客、防木馬以及筆記本丟失，而不是窺探員工的隱私。我們可以把保護(hù)的數(shù)據(jù)放在一個(gè)工作目錄底下，簡(jiǎn)單來(lái)說(shuō)就是企業(yè)設(shè)定一個(gè)特殊的目錄，用戶只要把文件丟到這個(gè)目錄里，文件的安全就由企業(yè)幫你保障，企業(yè)保護(hù)的是工作目錄。不在目錄里的文件，企業(yè)不會(huì)對(duì)它做窺探或者加密。假如你在非常短的時(shí)間內(nèi)，同時(shí)打開(kāi)了30個(gè)文檔，這不是正常員工的常規(guī)行為，就會(huì)有一個(gè)提醒，比如彈出一個(gè)對(duì)話框，內(nèi)容是：你讀取文件的頻率很高，這個(gè)事情是不是你做的，如果不是，可以向管理中心來(lái)舉報(bào)。這樣的話用戶的接受度就高多了。
第二個(gè)觀點(diǎn)，數(shù)據(jù)防泄密要做可視化運(yùn)營(yíng)。網(wǎng)絡(luò)中有大量的監(jiān)控?cái)?shù)據(jù)，用戶從中可以非常清晰地看到變化，然后通過(guò)這個(gè)變化來(lái)找到異常。這些數(shù)據(jù)需要有人長(zhǎng)期的去解讀，同時(shí)形成適合自己企業(yè)的策略。