当今网络泄密及如何预防网络无意识泄密_第1页
当今网络泄密及如何预防网络无意识泄密_第2页
当今网络泄密及如何预防网络无意识泄密_第3页
当今网络泄密及如何预防网络无意识泄密_第4页
当今网络泄密及如何预防网络无意识泄密_第5页
已阅读5页,还剩1页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、当今网络泄密及如何预防网络无意识泄密目前,数据防泄露是信息安全的热点问题。随着网络应用的飞速发展、应用的日益广泛,信息安全问题变得尤为突岀。建立完善的数据泄露防护体系、保护核心资源,已迫在眉睫。鉴于目前内部局域网的现状,可以针对数据存储层和数据传输层进行加密,结合文档和数据生命周期,对内部网络分为终端、端口、磁盘、服务器、局域网四大区域,并针对数据库、移动存储设备、笔记本电脑等特例,统一架构,分别防护,实现分域安全。一、数据泄露的主要威胁电子文档多以明文方式存储在计算机硬盘中,分发岀去的文档无法控制,极大的增加了管理的复杂程度。影响文档安全的因素很多,既有自然因素,也有人为因素,其中人为因素危

2、害较大,归结起来,按照对电子信息的使用密级程度和传播方式的不同,我们将信息泄密的途径简单归纳为如下几方面:由电磁波辐射泄漏泄密(传导辐射、设备辐射等)这类泄密风险主要是针对国家重要机构、重要科研机构或其他保密级别非常高的企、事业单位或政府、军工、科研场所等,由于这类机构具备非常严密的硬保密措施,只需要通过健全的管理制度和物理屏蔽手段就可以实现有效的信息保护。网络化造成的泄密(网络拦截、黑客攻击、病毒木马等)网络化造成的泄密成为了目前企业重点关注的问题,常用的防护手段为严格的管理制度加访问控制技术,特殊的环境中采用网络信息加密技术来实现对信息的保护。访问控制技术能一定程度的控制信息的使用和传播范

3、围,但是,当控制的安全性和业务的高效性发生冲突时,信息明文存放的安全隐患就会暴露岀来,泄密在所难免。存储介质泄密(维修、报废、丢失等)便携机器、存储介质的丢失、报废、维修、遭窃等常见的事件,同样会给企业带来极大的损失,在监管力量无法到达的场合,泄密无法避免。.内部工作人员泄密(违反规章制度泄密、无意识泄密、故意泄密等目前由于内部人员行为所导致的泄密事故占总泄密事故的70以%上,内部人员的主动泄密是目前各企业普遍关注的问题,通过管理制度规范、访问控制约束再加上一定的审计手段威慑等防护措施,能很大程度的降低内部泄密风险,但是,对于终端由个人灵活掌控的今天,这种防护手段依然存在很大的缺陷,终端信息一

4、旦脱离企业内部环境,泄密依然存在。5.外部窃密国家机密、军事机密往往被国外间谍觊觎,商业机密具备巨大的商业价值,往往被竞争对手关注。自古以来对机密信息的保护,都不可避免以防止竞争对手窃密作为首要目标。二、数据泄露防护的实现方式当前,数据泄露防护以动态加解密技术为核心,分为文档级动态加解密和磁盘级动态加解密两种方式。文档级动态加解密技术在不同的操作系中如、等,应用程序在访问存储设备数据时,一般都通过操作系统提供的调用文件系统,然后文件系统通过存储介质的驱动程序访问具体的存储介质。在数据从存储介质到应用程序所经过的每个路径中,均可对访问的数据实施加密/解密操作,可以研制出功能非常强大的文档安全产品

5、。有些文件系统自身就支持文件的动态加解密,如系统中的文件系统,其本身就提供了支持,但作为一种通用的系统,难以做到满足各种用户个性化的要求,如自动加密某些类型文件等。由于文件系统提供的动态加密技术难以满足用户的个性化需求,第三方的动态加解密产品可以看作是文件系统的一个功能扩展,能够根据需要进行挂接或卸载,从而能够满足用户的各种需求。磁盘级动态加解密技术对于信息安全要求比较高的用户来说,基于磁盘级的动态加解密技术才能满足要求。在系统启动时,动态加解密系统实时解密硬盘的数据,系统读取什么数据,就直接在内存中解密数据,然后将解密后的数据提交给操作系统即可,对系统性能的影响仅与采用的加解密算法的速度有关

6、,对系统性能的影响也非常有限,这类产品对系统性能总体的影响一般不超过10%取(目前市场上同类产品性能指标的最大值,。三、数据泄露防护分域控制方案在数据泄露防护方面,可以从不同角度来保证安全。单一针对某个局部的防护技术可能导致系统安全的盲目性,这种盲目是对系统的某个或某些方面的区域采取了安全措施而对其它方面有所忽视。因而,针对数据安全,我们采用分域控制方案,将整个网络分为终端、端口、磁盘、内部网络四种域,进而对各域的安全采取不同的技术措施。1.终端终端是指在接入内部网络的各个操作终端。为了保证安全,可以从四个方面采取措施:针对研发类、技术类局域网终端,可以采用文档透明加密系统加以控制。针对研发设

7、计类之外的局域网终端,可以采用文档权限管理系统加以控制。从局域网发往外部网路的文档,可以采用文档外发控制系统加以控制。针对整个局域网内部文档和数据安全,可以采用文档安全管理系统加以控制。2.端口局域网和外部网络之间的网络端口,局域网各个终端的移动设备接入端口,以及各个终端的信息发送端口,可以采用两种方式加以控制:端口控制对移动储存设备、软盘驱动器、光盘驱动器、本地打印机、数码图形仪、调制解调器、串行通讯口、并行通讯口、9红外通讯口、无线网卡、无线蓝牙等进行启用和禁用禁止手机同步等。应用端口控制技术,可以使所有从端口输岀的文档和数据自动加密,防止明文岀口。移动设备接入控制通过对外部移动设备接入访

8、问控制,防止非法接入。.磁盘所有的文档和数据都必须保存在存储介质上。存储介质主要包括机硬盘、工作站硬盘、笔记本电脑硬盘,移动存储设备(主要是盘和移动硬盘)。对这些存储设备的磁盘和扇区进行控制,主要可以采用磁盘全盘加密技术和磁盘分区加密(虚拟磁盘加密)技术。磁盘全盘加密磁盘全盘加密技术()是目前已经非常成熟的一项技术,能对磁盘上所有数据(进行动态加解密。包括操作系统、应用程序和数据文件都可以被加密。通常这个加密解决方案在系统启动时就进行加密验证,一个没有授权的用户,如果不提供正确的密码,就不可能绕过数据加密机制获取系统中的任何信息。磁盘分区加密磁盘分区加密,顾名思义,就是对磁盘的某一个分区(扇区

9、)进行加密。目前比较流行的虚拟磁盘加密就是对分区进行磁盘级加密的技术。这种技术在国内比较多,一般用于个人级的免费产品。相应的产品有文档保险柜S服务器同样是应用文档级加密的数据泄露防护体系,针对服务器防护已有专门的产品。通常,用户的服务器有资源服务器(文档服务器等)和应用服务器(、等服务器),对这些服务器,可以采用网关级产品来进行保护。部署实施文档级安全网关之后,所有上传到服务器上的文档和数据都自动解密为明文,所有从服务器上下载的文档和数据都自动加密为密文。目前市面上唯一的一款专业文档安全网关系统(),由北京亿赛通开发研制。内部网络内部网络主要由各个终端和连接各个终端的网络组成。通过对各个终端硬

10、盘和终端端口的加密管控,足以对内部网络进行全面控制,形成有效的内部网络防护体系。这种解决方案,其实是把磁盘全盘加密技术与网络端口防护技术相结合,形成整体一致的防护系统。相应的产品有磁盘全盘加密防护系统四、数据泄露防护分域控制方案特例基于动态加解密技术的数据泄露防护体系用途非常广泛,并可以针对各个网络域定制开发出相对应的产品。以下是数据泄露防护分域控制方案针对网络域的几种典型例子。移动存储设备目前应用得最多的的移动存储设备是盘和移动硬盘。针对这两种移动存储设备,目前通常采用的是磁盘分区加密技术,对磁盘分区或者扇区进行加密控制,所有从内部网络流转到移动存储设备的文档和数据都会自动加密保护。市面上有

11、成熟的产品如安全盘()和安全移动硬盘可以选择。数据库使用数据库安全保密中间件对数据库进行加密是最简便直接的方法。主要是通过三种加密方式来实现:1系.统中加密,在系统中无法辨认数据库文件中的数据关系,将数据先在内存中进行加密,然后文件系统把每次加密后的内存数据写入到数据库文件中去,读入时再逆方面进行解密,内核层(服务器端)加密:在内核层实现加密需要对数据库管理系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。外层(客户端)加密:在外层实现加密的好处是不会加重数据库服务器的负载,并且可实现网上的传输,加密比较实际的做法是将数据库加密系统做成的一个外层工具,根据加密要求自动完成对数据库

12、数据的加解密处理。针对以上三种数据加密方式的不足,目前已经有全新的数据库加密保护技术。通过磁盘全盘加密技术和端口防护技术,对数据库的载体(磁盘)进行全盘加密和数据流转途径(端口)进行控制,从而实现数据库加密保护。这种方式还能解决数据库加密方案最常见的问题无法对数据库管理员进行管控。通过端口防护,即使数据库管理员能得到明文,但是因为端口已经被管控,所以数据依然不被外泄。目前市场上成熟的产品有北京亿赛通公司的数据库加密防护系统()s笔记本电脑笔记本电脑在运输途中,比如在出租汽车、地铁、飞机上,经常会被遗失;在停放的汽车、办公桌、会议室甚至是家里,也常发生笔记本电脑被外贼或者家贼盗取;在笔记本电脑故障送修时,硬盘上的数据就完全裸露在维修人员面前。针对笔记本电脑数据保护,国际上通用的防护手段就是磁盘全盘加密技术。硬盘生产厂商例如希捷、西部数据和富士通等都支持全盘加密技术,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论