面向企業的信息保護與安全審計總體解決方案

隨着信息技術的不斷髮展，數字信息的價值不斷增長，成爲一種重要資產，地位甚至超過了承載信息的磁盤、存儲和IT基礎架構。人員愈來愈強調對信息進 行周密的保護，防止出現未經許可的泄露、丟失或盜竊。從美國零售業巨頭TJX公司465萬個信用卡信息被盜竊，到前一段時間的豔照門事件，信息防泄漏和防 護無不引發人們的重視。

更爲嚴重的是，全部信息泄漏事件中，源自內部人員所爲的佔了絕大部分。根據FBI和CSI對484家公司進行的網絡安全專項調查結果顯示：超過 85%的安全威脅來自公司內部，在損失金額上，因爲內部人員泄密緻使了6056.5萬美圓的損失，是***形成損失的16倍，是病毒形成損失的12倍。另據 中國國家信息安全測評認證中心調查，信息安全的現實威脅也主要爲內部信息泄露和內部人員犯罪，而非病毒和外來***引發。

那麼，如何纔可以有效的進行信息的防泄漏和信息保護呢？我認爲至少要從如下三個角度來考慮：

首先，是對靜態信息的保護。最基本的靜態信息保護就是數據加密。此外，更爲重要的是要創建數據的統一安全策略，貫穿數據產生、流轉、銷燬的全生命周 期。例如，咱們能夠針對員工的工資信息制定這樣一套安全策略：工資信息必須加密後才能經過email傳輸，禁止經過http或者https協議傳輸，只能 存儲在指定的服務器和數據庫中，只有人力資源部門受權的賬號列表才能訪問工資信息，等等。只有創建統一的信息安全保護策略，纔能有效地進行信息保護，不然 就可能出現策略真空，致使某個環節發生信息泄漏；或者出現策略衝突，使得信息的傳遞效率大大下降，影響正常工做。

其次，是對動態信息、也即信息在網絡傳輸過程當中的檢測和保護。這是信息防泄漏和信息保護的最重要環節。因爲網絡技術的充分普及，信息傳遞的速度和傳播的範圍都極大提高。信息一旦透過網絡形成泄漏，後果幾乎沒法挽回。動態信息保護有兩個環節。

1） 防止重要信息由高安全區域向低安全區域的擴散：各類賬號、密碼、客戶信息、財務信息、工程圖紙、設計文檔、核心代碼等機密信息通常都是存儲在 特定的服務器和數據庫中。動態信息保護要求對這些服務器、數據庫系統的網絡鏈接進行監控和審計、藉助統一的安全策略，檢查各類違規的網絡訪問行爲，例如通 過FTP和Telnet指令獲取服務器上的重要文件；經過SQL語句獲取數據庫系統重要的庫表字段數據；等等。

2） 防止重要信息由內部網絡向外部網絡的泄漏：這是信息防泄漏的關鍵一環。咱們知道，隨着Web2.0技術的興起，如今內外網之間的鏈接方式多種 多樣，例如各類即時通信工具（MSN、QQ等）、WEB郵件網站（16三、Gmail等）、P2P應用（迅雷、電驢等），以及論壇、聊天室。這些內外部通 訊手段都有可能成爲信息泄漏的途徑。而且，這些泄漏途徑從技術上來看大多基於HTTP協議，或者更爲底層的UDP協議，端口也不固定，與正常的業務傳輸通 道相同，防範起來十分不易，過嚴則可能影響正常業務開展，過鬆則可能功虧一簣。動態信息保護要求咱們採用具有應用層協議檢測技術的設備、而且要採用具有信 息匹配技術的內容過濾引擎，智能地進行網絡流量甄別。

最後，就是要對信息的使用者及其載體——終端進行監控和審計，這也就是終端安全監控與審計。由於絕大部分機密信息的泄漏都是內部人員形成的，而這些 內部人員每每都是從終端將信息傳播出去。在這個層面，信息保護就是要對人和終端進行管理。對人，就是要增強人員的安全保密意識的培訓，而且要制定令行禁止 的安全制度。對終端，就須要創建一套面向終端安全的管理系統，包括終端接入的控制、U盤外設等的接入控制、終端加固和運行監控、終端用戶行爲的監控與審 計，等等。終端管理的目的是一方面確保終端的合法使用者沒法違規，另外一方面確保其餘非法人員沒法利用終端自身的漏洞進行違規操做。

在上述三個層面中，統一安全策略始終是信息防泄漏和保護的核心。靜態信息防禦、動態信息防禦、終端安全和人員安全管理都有賴於一致的、統一的、貫穿信息生命週期的安全策略。各類技術、工具和設備都是這些策略的執行者。

總結一下，信息防泄漏和信息保護體系架構以下圖所示：