数据安全大潮中的“马甲”
信息科技的高速发展,提供方便的同时必然会带来信息泄露的高风险。对于企业来说,核心产品的设计、关键的客户资料和敏感的财务信息无疑是企业的核心竞争力,而这些数据都是以电子文档的形式存在,据FBI 和CSI 调查显示,超过85%的安全威胁来自企业内部,也就是说,信息的泄露大部分是来自于内部员工有意或无意的行为造成的。另外,竞争对手利用间谍软件、恶意程序和病毒对信息进行窃取,造成关键信息被泄露或被恶意篡改和删除,这都时时刻刻威胁着企业的数据安全。
近年来,各行各业的信息泄密造成的不良影响及直接损失多不胜数,这就相当于一座玻璃桥,平常不知道两边安全扶栏的重要性甚至无视,等需要使用时方知两边扶栏的重要性,而这两边的扶栏,就是企业的信息化安全建设,风平浪静时企业不重视甚至无视,等要一出现问题才知警惕防范。
在以往的信息化安全建设的过程当中,绝大多数企事业单位将重心投放到了机房及网络层面的管控,例如一个企业拥有10个机房和1万终端电脑,通常的建设投放在这10个机房网络层面的安防,而在这1万台终端电脑基本没有管控,常见的终端办公电脑通常有安装ERP、邮件系统、杀毒软件、业务应用,数据安全方面基本没有管控,导致不断有泄密事件新闻霸占头条。
终端电脑恰巧是一手资料产生地且是公司资料的分散地,随意使用社交聊天工具、邮件、云盘等方式,将文件或文件内容直接发送、复制、截图外出,无从管控,无从防范泄密事件,无从追溯。
数据防泄密的概念或心理,其实一直在我们每个人的心里有驻扎,最常见方式就是设置密码,据不完整统计分析如下:
1、最初,是通过密码的方式防止文件被盗,例如EXCEL可进行密码方式加密防止被盗;也差点也是防止泄密;
优点:一定程度上防止了某个文件被盗被泄密;
不足:文件数量一多,所使用的密码可能不一样,自己也容易忘记,且很多时候密码使用了自己或身边人的生日等特征进行的设定,容易被破解;
2、通过应用程序包装的形式,例如安装某一个应用程序,然后将WORD等文件转换成只有自己电脑上安装的这类应用程序才能识别打开的方式,防止数据泄密;
优点:一定程度上防止了文件被盗被泄密;
不足:此种方式只是将文件加了壳做了包装,更改了文件后缀,文件本身和文件内容并没有做任何处理;不方便进行协同办公,不能大规模使用,通常是单机版的模式;
3、磁盘加密
优点:通过对某个磁盘进行访问者身份的管控防止泄密,也称环境加密技术,一定程度上对访问者的身份做了相应控制防止了数据泄密;
不足:此种模式基本是单机版模式,很难大规模统一管控;其次如果有身份进入后,就相当于保险柜,有密码进入后,里面的文件是没有任何保护措施的;
4、应用层加密
优点:应用层加密也是相对前面几种模式较为普及的方式,对文件本身做了防泄密处理;
缺点:应用层加密所使用的钩子技术,只能针对某一个应用程序的特定版本才能进行加密,一旦应用程序版本升级,那必须等到加密软件升级并且兼容新版应用程序以后才能进行加密,例如,OFFICE2003版本可以加密,如果升级到OFFICE2007版本,那就不能加密啦,必须等加密软件厂商升级完加密软件并且兼容新的OFFICE2007以后,才能对新版本进行加密,此过程时间较长,且容易钻空子,并且应用层加密方式容易造成文件损坏;
5、驱动层透明双缓冲加密
所谓驱动层:指的是在应用程序本身就会有自身的标识,像人有唯一身份证一样,应用程序安装在电脑操作系统上抓取了底层的驱动和任务进层,系统通过此方式来判断应用程序的身份,和应用程序的版本及后缀基本没有太大关系,从而解决了不受应用程序升级的影响;且一些特殊行业拥有自主开发的应用软件,可进行添加到应用库后,进行加密;
透明:指的是不更改用户原用的操作习惯;
双缓冲技术:透明加密从实现技术上分为Hook API和过滤驱动方式,Hook API方式和上层应用程序的相关性很强,很难保证兼容性和效率。而基于单缓冲文件过滤驱动的透明加密技术,为了适应授权和非授权程序对加密文件访问的控制,需要频繁清除缓冲数据以转换数据状态(加密和非加密),降低了缓冲的利用效率,也引发了一些兼容性问题。传统单缓冲过滤驱动透明加密技术存在的不足。利用双缓冲过滤驱动来实现透明加密系统,通过加密文件创建两个缓冲区,让授权程序访问解密缓冲区数据,非授权程序访问非解密缓冲区数据,两者互不影响。采用双缓冲对提升透明加密系统性能和兼容性有明显提升。简单来说,传统的单缓冲技术就相当于一个池子,加密和解密码的动作都在一个池子里完成,兼容性差、效率低、易损害文件,而IP-guard所采用的双缓冲技术,就相当于有两个车道,1个车道进行加密,1个车道进行解密,互不冲突,大大提升了效率,也是目前主流的技术方案。
针对终端内网数据信息安全提供全面的安全管控防护,大至从以下层面:
1、 对终端电脑的文档操作进行“生命周期”式管控,记录计算机所有文档操作信息,包括在硬盘、移动存储、网络路径、共享目录上所有文档的创建、访问、修改、复制、移动、删除、恢复、重命名等操作,员工离职前将电脑文件删除和篡改内容,在此行为之前文件会自动进行备份,防止损失。
2、 打印也是泄密的一种方式,将文件内容打印出来,企业无法有效定位、追溯、防止,使用管控方案后,可在打印时由方案自动根据不同电脑设置水印,例如IP地址,用户名等,一起打印出来,且打印时会将打印文件备份到企业服务器以便查档。
3、 U盘体积小,但容量大,非常容易COPY数据,使用管控方案后,非公司通过管控方案认证过的U盘不允许使用,公司内部统一使用认证过的U盘,或不同部门之间有自己部门的独立认证U盘。
4、 对IM聊天工具、邮件、外来设备(例如移动硬盘、手机、蓝牙、WIFI、相机等)、应用程序、云盘等,进行全面精细度的管控。
5、 对重要数据文件直接进行透明加密,不影响原有的操作习惯,加密文件在公司可像平时一样进行办公及使用,如果存在泄密,例如U盘COPY外出、云盘、邮件、QQ等任何方式将文件非法脱离公司,此文件是无法使用的,更有甚者甚至直接重新安装操作系统或直接把硬盘拔下来或进入安全模式启动,这些方式都没有办法将原有的公司加密文件进行泄密。
此方案通过网络层面、设备层面、应用层面进行全方位的精细度安全防护,让有心者无力,且相关行为都可以被记录、备份、追责。
仅以此文引起对文件数据安全的重视,尽量降低或减少相关事件发生,用技术的方式保护公司软财产安全。