數據防泄漏

我國已有的安全建設重要圍繞着網絡防護、主機訪問和應用層安全防護以及服務器層安全防護進行，但對真正核心的數據存儲管理的核心數據庫並沒有採取有效的防護措施。網絡層安全防護的主要產品有：防火牆、網路隔離設備、入侵檢測、防病毒等；應用層安全防護的主要產品有：安全認證、統一授權等；服務器層安全防護的主要產品有：服務器防護、防病毒、入侵檢測、主機審計等；數據層安全防護的主要產品有：數據庫安全增強、數據庫審計、文檔防護等，數據層安全防護是存放於服務器內的數據本身的最後一道安全防護屏障，如果網絡層、應用層和服務器層的安全防護被攻破，只要數據層安全防護有效，就不致予泄露敏感數據。可見數據層安全防護的重要性。

世界最大職業中介網站Monster遭到黑客大規模攻擊，黑客竊取在網站註冊的數百萬求職者個人信息，並進行勒索；程序員程稚瀚四次侵入北京移動充值中心數據庫，盜取充值卡密碼，獲利300 多萬元。2003 年廣東聯通7 名人員，利用內部工號和密碼，對欠費停機手機進行充值，使聯通損失260 萬元。2005 年12 月25 日,美國銀行披露,2004 年12 月下旬,丟失了包括1200 萬信用卡信息的磁帶備份. ---Gartner Research；CSI/FBI 2005 年計算機犯罪和和安全會的相關報告中提到70%的信息系統數據丟失和遭受攻擊，都來自於內部。

當前主流Oracle安全增強方案包括前置代理、應用加密和Oracle自帶加密選件DTE等。前置代理需要應用大幅改造、大量Oracle核心特性無法使用；應用加密必須由應用實現數據加密，加密數據無法檢索，已有系統無法透明移植；DTE不能集成國產加密算法，不符合國家密碼政策。因此這幾種方案一直未能得到有效推廣。

國外的Oracle數據庫加密產品相對較多，產品相對成熟。但面臨着不能集成國產的加密算法、不符合國家安全政策，不能利用密文索引進行範圍查詢，造成性能嚴重下降等問題，因此以上產品在我國尚未得到有效應用。 　國內的數據庫安全增強產品往往採用應用層加密存儲或者前置代理的技術實現方式。應用層加密方式的缺點是應用必須對數據進行加解密，增加編程複雜度；加密後的數據不能作為條件進行檢索；同時對於已有的系統無法透明實現應用改造。前置代理的重要缺陷是應用必須進行現有程序的改造，使用加密前置代理提供的API；另外大量的Oracle重要特性將無法使用，如存儲過程、函數等。

一、SecGateway文檔安全網關用於企業數據中心與辦公網絡有效隔離的嵌入式專用設備。採用鏈路加密的方式，實現客户端的准入，從文件在企業的使用流程入手，將數據泄露防護與企業現有 OA 系統、文件服務系統、ERP 系統、CRM 系統等企業應用系統結合，對通過網關的文檔數據進行透明加解密工作，有效解決文檔在脱離企業應用系統環境後的安全問題。為企業部署的所有應用系統提供有效的安全保障。

1.完成安全網關和企業現有應用系統無縫集成，自動完成對經過網關的數據進行強制加解密——上傳解密，下載加密；

2.加密客户端通過 SecGateway，正常訪問應用系統服務器；

3.非涉密客户端計算機，在通過安全網關時，會被安全網關篩選和拒絕，無法通過 SecGateway 訪問 OA/PDM 服務器。

二、數據庫保險箱系統 是一款Oracle數據庫安全加固系統，該產品能夠實現對Oracle數據的加密存儲、增強權限控制、敏感數據訪問的審計。DBCoffer可以防止繞過防火牆的外部數據攻擊、來自於內部的高權限用户的數據竊取、以及由於磁盤、磁帶失竊等引起的數據泄密。

1、防止硬件存儲設備引起的泄密，當數據以明文形式存儲在硬件設備上時，無論是數據庫運行的存儲設備，還是用於數據備份的磁帶，若發生丟失或者維修，都會存在相應的數據丟失風險。一旦使用了數據庫保險箱，無論是運行環境的硬件存儲設備，還是數據備份的磁帶，敏感數據都是以加密的形態存儲的，從而有效地防止了由於硬件丟失或硬件維修等無意識的泄密。

2、防止操作系統文件引起的數據泄密，通常Oracle 的數據是以明文的形式存儲在操作系統的文件中；通過對文件系統的訪問，就會訪問到敏感數據。這樣，該主機的操作系統管理員和高權限用户都可以接觸到這些敏感數據。另外通過網絡訪問到這些文件的用户，也可以接觸到這些敏感數據。一旦使用了數據庫保險箱，敏感數據都是以密文的形式存儲在操作系統上，從而有效防止了由操作系統文件引起的數據泄密。

3、防止數據庫超級用户進行的數據竊取，在Oracle 中，以sys 和system 為代表的數據庫管理員用户，具有至高無上的權利，可以訪問到任何數據；在大型企業和政府機構中，除了系統管理員，以用户數據分析人員、程序員、開發方維護人員為代表的特權用户，也可以訪問到敏感數據。這些都為數據的泄密，留下了極大的隱患。

數據庫保險箱通過獨立於Oracle 權限控制之外的安全權限體系，對數據的加解密進行了獨立的控制。 由安全管理員負責決定哪些數據庫用户有權訪問敏感數據的明文信息；防止DBA 成為不受控制的超級用户的同時，又可以使DBA 和開發人員正常地工作。

4、防止外部入侵進行的數據破解，隨着Internet、無線網絡的普及，黑客有了更多辦法繞過防火牆和入侵檢測系統，到用户的業務系統中進行窺視；當數據以明文的形式暴露在文件系統和數據庫中時，黑客很容易獲得敏感數據。當我們對數據進行了有效加密保護，再厲害的黑客，在不掌握密鑰的情況下，都無法獲得敏感數據的明文信息。

三、secdocx數據安全保護系統是廣東南方信息安全產業基地公司，依據國家重要信息系統安全等級保護標準和法規，以及企業數字知識產權保護需求，自主研發的產品。它以全面數據文件安全策略、加解密技術與強制訪問控制有機結合為設計思想，對信息媒介上的各種數據資產，實施不同安全等級的控制，有效杜絕機密信息泄漏和竊取事件。

數據安全保護系統的保護對象主要是政府及企業的各種敏感數據文檔，包括設計文檔、設計圖紙源代碼、營銷方案、財務報表及其他各種涉及國家機密和企業商業秘密的文檔，可以廣泛應用於政府研發、設計、製造等行業。

1. 透明加解密技術：提供對涉密或敏感文檔的加密保護，達到機密數據資產防盜竊、防丟失的效果，同時不影響用户正常使用。

2. 泄密保護：通過對文檔進行讀寫控制、打印控制、剪切板控制、拖拽、拷屏/截屏控制、和內存竊取控制等技術，防止泄漏機密數據。

3. 強制訪問控制：根據用户的身份和權限以及文檔的密級，可對機密文檔實施多種訪問權限控制，如共享交流、帶出或解密等。

4. 雙因子認證：系統中所有的用户都使用USB-KEY進行身份認證，保證了業務域內用户身份的安全性和可信性。

5. 文檔審計：能夠有效地審計出，用户對加密文檔的常規操作事件。

6. 三權分立：系統借鑑了企業和機關的實際工作流程，採用了分權的管理策略，在管理方法上採用了職權分離模式，審批，執行和監督機制。

7. 安全協議：確保密鑰操作和存儲的安全，密鑰存放和主機分離。

DBCoffer產品，相對於市場上的其它產品在政策符合性、性能和應用透明性上具有明顯優勢，下面重點就國外產品和國內產品進行對比分析。

1、數據庫漏洞掃描產品

這種產品針對數據庫管理系統的漏洞及潛在的風險進行檢測。它可以對數據庫系統的各項設置、數據庫系統軟件本身已知漏洞、數據庫系統完整性進行檢查和對數據庫系統的整體安全性做出評估，並給出提高數據庫安全性的修復建議。這種產品重要的是對現有的數據庫系統在認證、授權上配置漏洞、數據局庫補丁漏洞進行掃描，並不能對現有的數據庫進行安全增強，與數據庫保險箱系統不是一類產品。

2、數據庫安全審計產品

數據庫審計作為信息安全審計的重要組成部分，同時也是數據庫管理系統安全性重要的一部分。安全審計類產品的優勢在於時候的追終與分析。數據庫保險箱系統除了具有對敏感數據的訪問審計能力，同時也具備了數據庫的加密功能、獨立於Oracle的授權控制體系，這是數據庫保險箱系統的最大競爭優勢。數據庫保險箱系統比起數據庫審計產品能多提供以下幾個方面的數據庫安全防範能力：防止DBA等高權限用户訪問敏感數據、防止來自於文件層的數據竊取、防止硬件丟失的安全風險。

3、綜合性的數據庫安全增強產品

這一類的產品從數據庫的認證、授權和審計均進行了有效增強，但是必須有幾個限制：

（1）應用系統要經過改造，要使用該產品提供的應用接口

（2）DBA進行數據維護必須使用該產品提供的管理終端

總體上，數據庫保險箱系統不存在以上限制，與相關其他產品相比具有幾大優勢：更符合國家安全政策、性能更好、服務更好、更為透明、Oracle功能更為無損。

Data loss prevention指以內容為核心的控制手段，對文件的內容生成指紋記錄，通過終端，網關，存儲，對文件進行控制，例如，密級文件外發時被網關攔截。

注：文件加密不是DLP

虛擬化數據防泄露是利用虛擬化技術的技術特點，將虛擬化技術應用於數據防泄露領域。相對於傳統的操作系統來説，虛擬化技術的特點決定其更符合數據防泄露的一些要求。主要以下幾個方面：

1.傳統操作系統存在配置、管理、使用等各種權限和操作無法清晰的分開，使系統各類操作權力容易被盜用，系統存在各種漏洞，由此帶來各種入侵、數據竊取等等問題。利用虛擬化技術可以將管理和使用的權限劃分清楚，可以做到用户在虛擬系統裏只能使用某些應用，絕無破壞系統、非法獲得權限、盜取數據之的可能。

2.虛擬化幫助不同用户之間的操作環境相互隔離，而傳統操作系統無法真正做到用户之間的隔離。每個虛擬環境之間無論從應用還是存儲都是相互隔離的，效果相當於兩台相互獨立的計算機，可以分別連接不同安全等級的網絡，起到一個邏輯隔離的作用，文件無法直接在不同安全等級的網絡間傳輸，杜絕了數據泄露的風險

3.虛擬化環境可以被集中配置和管理，管理者對每個虛擬機的掌控力度遠比對一個個零散的物理計算機要強。用户在虛擬機裏可用的程序、空間大小、上網的行為都可以被集中管控，而要對每一台真實計算機的上述特徵進行集中管理需要安裝很多額外的軟硬件，即便這樣也無法達到對虛擬機的集中管控程度。這樣用户的使用行為會更加安全有序，無法私自將機密數據帶出機密環境

從上文可以看出，虛擬化在應用邏輯隔離和數據防泄露作用方面是有優勢的，而且由於虛擬環境在使用地點和平台上有較大的靈活性，利用虛擬技術研發的安全產品往往具有安全和便利性兼顧的特點。因此虛擬化技術越來越多的被應用於數據防泄露領域。代表性的虛擬化數據防泄露產品廠家有達龍信息科技和深信服的上網安全桌面產品。

分為業務層面和技術層面

人們對便利性的需求遠勝於安全，為了加速盈利而輕視安全問題的例子不在少數。安全防護其實是一套自上而下的業務解決方案，各企業的CTO需要積極參與產品及服務的研發過程中，並將安全整合到企業的發展戰略中，促進安全智能轉化為商業價值。

在數據安全的監管壓力下，所投入的預算及考量往往僅為滿足項目的需求，而不是以保護數據安全為出發點。而實際上，達到監管部門的要求也只是讓系統正常運作的基本而已，黑客們可以通過網絡跳板或是竊取特權訪問到企業的敏感數據。如常見的網絡分段其實是不堪一擊的，通過數字證書盜用，入侵者可以輕易的騙取更深層網段用户的信任，方便以周詳的計劃套取到更多的機密信息。

多數企業更習慣於在項目的基礎設施和業務方案中投入精力與預算，如安裝殺毒軟件與防火牆等，但這沒有真正考慮到當前高級安全威脅帶來的挑戰，這些手段雖然還能保持一定的作用，但卻會因相對無效性從未來的安全體系中逐漸淡出。

誠然，關注先進的技術無可厚非，但單純的技術往往治標不治本。要成功實現全面的IT安全，必須整合進成套的員工管理方法及業務安全操作流程，作為企業文化的一部分被長期貫徹。

僅僅提升員工對威脅的識別能力是永遠不夠的，許多員工並不瞭解他們正在使用的數據的價值所在，並錯誤地以為數據安全是由專人負責的，並未充分認識到自己也是在企業數據安全中的重要角色。企業需要對員工進行縱向及交叉的培訓，讓各部門對彼此在安全防護中職責和戰略有相互的瞭解，並結合週期性的安全攻擊演習，以檢驗培訓的成果。

企業所面臨的最大挑戰之一就是如何在現有的基礎設施上融入新興的技術，以提升安全體系的等級。為了與新興技術相匹配，許多企業將基礎設施作為發展的重點，卻忽略了所要保護的數據本身，也沒有意識到一些先進的技術很可能導致部署的不一致，白白耗費大量時間、人力與財力，反而留下了安全隱患。

在移動互聯及雲計算高度發展，數據可能出現在任何位置。這也是企業必須將關注重心由基礎設施轉為數據的另一個重要原因，移動化及數據增值正弱化在基礎設施中在多層架構中的安防效果，加大基礎設施的建設力度並不能對雲數據提供相匹配的安全保障。

即便擁有充足的預算，新技術的落實與安全解決方案的開發都很難與威脅的演變同步，二者之間的差距使得多數的解決方案在用户覆蓋上有所不足。如何覆蓋移動用户、顧及https與私有VPN的盲點、以行為分析擺脱對簽名技術的過度依賴，才是真正需要預算投入的地方。

在傳統的安全技術下，攻擊者可以通過改變代碼的方式繞過安全監測，讓防火牆和反病毒解決方案失效。若系統不能實時升級以應對新的亂碼攻擊，就會留下許多極易被利用的漏洞。

多少情況下，網絡上附加的安全功能並不是越多越好，他們在功能性上的重疊不會讓系統變得更為強大，相反會因為不能共享彼此的信息而浪費資源。企業需要一些新的途徑部署統一的控制面板，在實現對安全項目高度統合管理的同時，將各自的安全智能相整合，實時收集相關數據，供安全團隊作出明智的決策。