面向企业的信息保护与安全审计总体解决方案

随着信息技术的不断发展，数字信息的价值不断增长，成为一种重要资产，地位甚至超过了承载信息的磁盘、存储和IT基础架构。人员愈来愈强调对信息进 行周密的保护，防止出现未经许可的泄露、丢失或盗窃。从美国零售业巨头TJX公司465万个信用卡信息被盗窃，到前一段时间的艳照门事件，信息防泄漏和防 护无不引发人们的重视。

更为严重的是，全部信息泄漏事件中，源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过 85%的安全威胁来自公司内部，在损失金额上，因为内部人员泄密致使了6056.5万美圆的损失，是***形成损失的16倍，是病毒形成损失的12倍。另据 中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来***引发。

那么，如何才可以有效的进行信息的防泄漏和信息保护呢？我认为至少要从如下三个角度来考虑：

首先，是对静态信息的保护。最基本的静态信息保护就是数据加密。此外，更为重要的是要创建数据的统一安全策略，贯穿数据产生、流转、销毁的全生命周 期。例如，咱们能够针对员工的工资信息制定这样一套安全策略：工资信息必须加密后才能经过email传输，禁止经过http或者https协议传输，只能 存储在指定的服务器和数据库中，只有人力资源部门受权的账号列表才能访问工资信息，等等。只有创建统一的信息安全保护策略，才能有效地进行信息保护，不然 就可能出现策略真空，致使某个环节发生信息泄漏；或者出现策略冲突，使得信息的传递效率大大下降，影响正常工做。

其次，是对动态信息、也即信息在网络传输过程当中的检测和保护。这是信息防泄漏和信息保护的最重要环节。因为网络技术的充分普及，信息传递的速度和传播的范围都极大提高。信息一旦透过网络形成泄漏，后果几乎没法挽回。动态信息保护有两个环节。

1） 防止重要信息由高安全区域向低安全区域的扩散：各类账号、密码、客户信息、财务信息、工程图纸、设计文档、核心代码等机密信息通常都是存储在 特定的服务器和数据库中。动态信息保护要求对这些服务器、数据库系统的网络链接进行监控和审计、借助统一的安全策略，检查各类违规的网络访问行为，例如通 过FTP和Telnet指令获取服务器上的重要文件；经过SQL语句获取数据库系统重要的库表字段数据；等等。

2） 防止重要信息由内部网络向外部网络的泄漏：这是信息防泄漏的关键一环。咱们知道，随着Web2.0技术的兴起，如今内外网之间的链接方式多种 多样，例如各类即时通信工具（MSN、QQ等）、WEB邮件网站（16三、Gmail等）、P2P应用（迅雷、电驴等），以及论坛、聊天室。这些内外部通 讯手段都有可能成为信息泄漏的途径。而且，这些泄漏途径从技术上来看大多基于HTTP协议，或者更为底层的UDP协议，端口也不固定，与正常的业务传输通 道相同，防范起来十分不易，过严则可能影响正常业务开展，过松则可能功亏一篑。动态信息保护要求咱们采用具有应用层协议检测技术的设备、而且要采用具有信 息匹配技术的内容过滤引擎，智能地进行网络流量甄别。

最后，就是要对信息的使用者及其载体——终端进行监控和审计，这也就是终端安全监控与审计。由于绝大部分机密信息的泄漏都是内部人员形成的，而这些 内部人员每每都是从终端将信息传播出去。在这个层面，信息保护就是要对人和终端进行管理。对人，就是要增强人员的安全保密意识的培训，而且要制定令行禁止 的安全制度。对终端，就须要创建一套面向终端安全的管理系统，包括终端接入的控制、U盘外设等的接入控制、终端加固和运行监控、终端用户行为的监控与审 计，等等。终端管理的目的是一方面确保终端的合法使用者没法违规，另外一方面确保其余非法人员没法利用终端自身的漏洞进行违规操做。

在上述三个层面中，统一安全策略始终是信息防泄漏和保护的核心。静态信息防御、动态信息防御、终端安全和人员安全管理都有赖于一致的、统一的、贯穿信息生命周期的安全策略。各类技术、工具和设备都是这些策略的执行者。

总结一下，信息防泄漏和信息保护体系架构以下图所示：