编者按：当前，DLP（数据丢失保护）这个概念很热，EMC“邮件门”事件、惠普“电话门”事件、深圳产妇信息泄露事件，种种事件表明：企业关键数据保护，已经到了不能不解决的时候。

　　【IT168 报道】在深圳产妇信息泄露事件中，因为有人利用职务之便，在上班期间仅仅用了5分钟时间，通过U盘拷贝了相关的重要数据，并由此产生了系列问题。这暴露出我们企业的关键数据的种种危险。企业关键数据泄露包括两个方面，一是通过网络形式而泄露，另一方面，就是通过物理的电脑终端方式而泄露，针对这两种情况，我们分别应当如何应对？

    网上、网下，两种泄露途径

　　对于一个企业说，存放在企业内部的数据如果要泄露出来，主要就有网上和网下两种途径。网络形式主要指通过邮件发送，QQ、MSN等传输，FTP上传，论坛发贴等方式进行。企业内部的敏感信息也可能被内部人员非授权泄露或删除。女秘书PK老板的EMC“邮件门”事件、惠普“电话门”事件等，都在告诉我们一个事实，通过外发邮件、BBS、博客等导致内部机密信息泄漏的现象越来越普遍。企业/机构赖以生存的机密信息，很可能会被在职甚至离职员工有意或无意地泄露出去。

    如何才能把这个路给堵上？在企业网络的出口处，部署内容管理设备是一种比较好的方法，目前最重要的就是上网行为管理设备，通过对出口流量内容进行审核，例如事前审核，事后审核等方式。

    网络泄露关键数据的事件发生后，这可能是人为主动的，也可能是被动的。例如现在的钓鱼攻击。有些恶意系统通过内部主机自身无防护环节，例如，很多电脑终端的补丁不能及时进行更新，这就留给攻击者巨大的机会，他们可以利用系统自身的漏洞对系统发起攻击，盗取系统中重要的资料文件。再有，就是企业防火墙失效以致安全设置形同虚设，或者黑客利用企业安全漏洞访问企业内部网络或数据资源，进行删除、复制甚至毁坏数据的活动。

    相对网络泄露而言，网下泄露比较难以解决。

    网下泄露主要指离线存储设备防泄密管理主要集中各种移动存储设备、打印机等设备的防泄密管理，其中包括移动硬盘、移动U 盘、IDE 硬盘等传播方式。
　　由上可见，对于当前的企业来说，有几方面非常值得我们注意：
　　一方面：对于关键应用数据服务器的管理问题，到底什么样的人才可以使用这些数据服务器，如何进行数据安全管理呢？

　　另一方面：如何对终端接口进行控制管理，例 USB接口、红外、外挂硬盘、光盘记录机等，如何对移动存储介质进行管理？例如USB闪存盘等。
 

    “人”:是数据泄露的关键环节

    不管是网上，还是网下数据泄露，最关键的就是人的因素。

    然而，在实际网络应用中，我们难以把握人这个环节。例如，网康科技服务总监陆继周就曾指出：我们对“人”的识别并不清晰。在大多数企业里，员工使用或上传哪些敏感资料，系统都没有日志记录，就算出现问题也很难追究到个人。这主要是因为以下几点：第一，我们通常采用IP地址的联系方式。第二，我们均采用地址转换技术IPv4。第三，我们没有专门的互联网认证体系，虽然很多企业有OA认证，准入认证，数据库认证，但是我们互联网外发没有专门的认证，这给我们带来的风险点是很明显的。
 
    种种风险，这已经足够引起我们来重视互联网主体的应用行为。但我们能不能通过现有的防御体系把它解决呢？这是有难点的，原因在于：客体安全情况下，我们通常是信任内部的。像防火墙很多情况下是断掉了外部主动发起的连接，但会放行内部到外部的连接，因为我们对内部是信任的。这种情况下，互联网的行为往往是从内部发向外部，这其中如果存在隐患或是风险，却是我们很难控制的。

    正因为如此，我们很值得把互联网行为主体“人”及行为单独拿出来管理。目前中国的互联网行为管理远落后于欧美。通用电气很早以前禁止了IM，摩根大通禁止IM和网络电话，环球电信禁止IM以及非内部的电子邮件。英国剑桥大学禁止shype。我原来的公司华为只允许公司内部mail，不允许发送公司外部的邮件。这些单位之所以这么做，是因为他们知道互联网行为管理的价值，互联网管理能给我们的企业带来更高的回报。

    基于这样的情况，我们就需要采用专业的网络行为管理系统来进行应对。就目前而言，能够从事这块方案主要有Websense、深信服、网康、Bluecoat等厂商。通过让每一个人员上网要进行“实名制”，通过对上网内容的事中审核、事后审核来保证数据的安全。同时，还可以防止钓鱼攻击等黑客进行数据的恶意盗取。
 

　　离线终端：上网行为管理的盲点？

    上网行为管理系统虽能对网上行为进行管理，但对离线的网下行为，却是鞭长莫及！

    上网行为管理设备只能对终端使用者的上网行为进行管理，通过这个网关设备进行流量的监控，去管理使用者的上网行为。如果终端使用者通过USB闪存盘拷取数据，通过另置Modem上网时，上网行为管理设备就鞭长莫及了。

　　内网终端，就如同一个内鬼，平时我们不能发现，但他在关键的时候，却会起到很严重的后果，防火墙、上网行为管理设备对之没有办法，我们又该如何？

　　专门针对内网终端的管理(特别是针对关键数据服务器)，并不是没有办法。如今，从普通网络管理系统中，发展出了专门的终端安全管理系统。就中国而言，目前的内网终端管理系统尚未形成统一而成熟的标准，但它已经能够有效地对终端进行管理。

　　目前，网络监控审计产品均基于协议分析、注册表监控和文件监控等监控技术，能够在保证在内网发生安全事件后提供有效的证据，实现事后审计的目标，不能做到事前防范，从而不能从根本上实现提高内网的可控性和可管理性。而内网终端安全管理系统将重点放在主动地（Actively）控制风险而不是被动地(Passively)响应事件，提高整个信息安全系统的有效性和可管理性。

　　内网终端管理系统提出一种叫做“控管”的管理概念，即通过一种可控的、可管的技术性手段对整个内网安全行为进行强制性管理。具体而言，就是不但要对是否打补丁、打的什么补丁、打的如何、什么时候打进行管理与控制，同时也对按照这个概念，通过基于主机的审计，还可以对误操作、非工作行为等一系列不符合安全或者企业管理的行为甚至从个人终端到全网运行状态进行严格监控、管理和控制。

　　内网终端管理系统从普通网络管理系统发展起来的，它能够提供强大的内网网络管理和维护功能，是系统管理员理想的安全故障管理系统。它能自动发现网络内所有网络设备（包括三层和二层设备），通过系统提供的智能学习功能，自动识别网络的物理拓扑结构，生成网络物理连接拓扑图。

　　内网安全管理系统将所有的内网的主机进行认证，符合在内网中的主机将运行在内网中正常使用，没有在内网安全管理系统中，定义的合法的主机，系统将其阻断。内网安全管理系统将维护一张内网的IP和mac地址表，在地址表内的主机将在网络中正常运行，如果有非法机器接入，内网安全系统会自动发现，并将其阻断。

　　对于关键数据服务器等终端来说，控制其USB接口是非常有效的办法。比如，我们可以通过利用美国GFI公司 EndPointSecurity和德国SmartLine公司 DeviceLock这两款软件轻而易举的达到管理自己的USB接口。GFI EndPointSecurity和SmartLine DeviceLock是一套用来控管个人电脑周边设备的工具软体，系统会限制一般使用者对于电脑周边设备的存取，杜绝员工私自携带U盘、数码相机等可移动式储存装置，以及蓝牙、无线网路设备等所带来的风险。管理者可以阻止非授权使用者使用USB与、蓝牙与WiFi转接器，CD/DVD光碟机、磁带机、ZIP装置、串口与并口、以及其他即插即用设备。

　　如何防止内部员工恶意盗走企业的关键数据？除了通过行政手段来约束外，通过系列的针对网上、网下的安全管理手段，可能是另外更有效的办法了。