淺析三種企業數據保護解決方案
數據保護解決方案的部署和實施,在很大程度上能夠解決企業敏感數據泄露的問題。要知道隨著企業規模的不同,成百上千的電腦和移動存儲設備,在數據流動中發生泄漏的可能性是極大的。作為企業的CIO,要根據企業對信息安全的需求,制定數據安全策略。
這些策略主要包括:保護敏感的信息避免被未經授權的用戶訪問或共享;不僅控制數據訪問也控制如何使用和分發數據的能力,提供立體的全方位的數據保護;規定數據生命周期,對于過期的數據采取相應的安全措施,防止垃圾數據滯留或被非法獲取;企業中要合理地對移動介質中的敏感文件采取保護策略,數據必須被加密,防止存儲介質丟失后造成的數據泄露;企業中的電腦和服務器中的數據,應該提供物理層面的縱深保護,防止數據的泄密。
數據保護解決方案及其具體應用
數據保護解決方案之RMS(RightsManagementService)方案
RMS的主要特點:權限伴隨文檔,規定信息使用的權限和條件,并且權限信息加密。它的應用領域,保護企業環境下的電子郵件通信,防止用戶非法轉發;強制實施文檔權限,未經授權,該文檔就不能修改、復制,不能打印、分發,即使拷貝出去,也不能打開。RMS還可以按用戶區分權限,防止未授權的查看,加密受保護的內容,提供內容過期,按信息內容、用途控制為閱讀、轉發、保存、修改或打印、將保護擴展到初始發布位置以外的地方。使用RMS的目的在于,輔助行政和法律措施實施安全策略,防止失誤操作造成的信息泄露。
RMS必須有應用程序的支持,部署RMS服務器,然后與啟用RMS的應用程序協作以避免數據未經授權的使用。可以控制文檔的打開、讀取、修改權限。office文檔應該是企業中主要的信息載體,通過RMMS可以對文檔的打開、閱讀、修改、分發及其日期進行限定,杜絕數據因非法獲取而泄露。比如在企業中分發文檔時候,對文檔進行控制,它的特點是權限隨著文檔走,對其的整個生命周期進行管理。不管把文檔分發到任何地方去,文檔的權限始終和文檔捆綁在一起。另外,RMS對于文檔權限的定義信息是加密的,這樣即使文檔被竊取,也無法打開。郵件的轉發也是企業中信息流動的一個重要方面,RMS可以控制郵件的各種權限,比如可以預防文檔被非法或者無意轉發出去,造成數據的泄露。通RMS權限設置word文檔就不能被轉發,修改等。
當然RMS也有缺陷,不能提供主動抵擋攻擊者對系統的攻擊,也無法抵御模擬攻擊,如使用數碼相機或第三方屏幕拷貝、記憶傳播等。
數據保護解決方案之EFS(EncryptingFileSystem)方案
EFS提供NTFS分區中文件級別的加密技術,基于公鑰策略,使用公鑰/私鑰密鑰對文檔進行加密。這種加密對用戶是透明的,它是用公鑰加密,用私鑰解密,安全性極高。另外在Vista和2008中的EFS得到了增強。使用智能卡上直接存儲的加密密鑰進行EFS加密,基于向導將舊智能卡中的文件遷移到新智能卡中,啟用EFS時加密系統頁面文件,增加了新的“組策略”選項。Vista和2008中的EFS可以加密系統的頁面文件,這樣防止系統被脫機攻擊,造成EFS加密被破解。還可以選擇EFS密鑰的長度強制加密“我的文件夾”。
EFS的限制,如果用戶的私鑰丟失,則數據將永遠丟失,私鑰很重要,千萬不能丟失。EFS加密的強度非常高,私鑰丟失,文件無法打開。因此要安全部署,防止惡意加密。比如,在企業中有這樣的員工,因對企業不滿,在離開前惡意加密了某些文件,然后把帳戶刪除,這樣就造成了數據的無法打開。針對這種惡意的加密用以下兩個方法來解決:其一,修改注冊表,防止加密。其二,部署DRA(數據恢復代理)。
在企業中基于數據的安全性考慮,應用EFS方案要遵循這幾點:部署盡可能少的DRA;至少有一個DRA;DRA使用后刪除私鑰;加密文件夾而不是單個文件。
EFS加密是基于操作系統的,如果系統在啟動前已經被攻破的話,那他就沒法實現自己的功能,因此在數據縱深保護中下面這個環節非常重要。
數據保護解決方案之BitLocker方案
Vista必定是未來系統的主流,在企業中部署Vista就能在很大程度上加固數據的安全,防止泄密。Vista提供的BitLocker技術是基于硬件的加密技術,它能為計算機提供脫機數據和操作系統保護,很好地解決了對EFS加密的脫機攻擊。另外BitLocker是一種全卷加密技術,能夠確保早期啟動組件的完整性,能通過加密整個卷來幫助防止數據被盜或未經授權查看。
BitLocker很好地解決了企業環境下的來自于硬件的泄密,它給予數據操作系統之下的安全屏障,啟動時自動提供解密密鑰,保護系統分區,保護用戶數據,保護注冊表,與操作系統無縫的集成,保護引導分區,杜絕離線攻擊,提供系統啟動前基于數據的保護。
比如現代企業中每年都會淘汰一部分電腦,如果處理不當,這部分電腦就成了信息的泄露源,利用BitLocker技術可以通過銷毀RootKey的方式快速地使電腦上的數據失效,防止了數據的泄露。系統啟動故障,也容易造成數據的泄密,BitLocker可以確保啟動過程的完整性。因為在系統啟動時驗證各個啟動組件的完整性,防止對啟動組件的惡意修改;任何以其他途徑啟動,都無法訪問和修改被加密的系統卷;如果竊密者保護的卷做了改動,會導致系統無法正常啟動。桌面安全也是企業信息泄露的一個途徑,BitLocker在離線狀態下保證系統和數據的安全,加密整個Windows的安裝卷和其中所有用戶的數據,該卷在未正常啟動的情況下不可讀。
總結:
在企業數據存儲和分發的流動過程中,會面臨來自各方面的威脅。本文討論的RMS、EFS、BitLocker都是從技術的角度來保護數據的安全,防止泄密。要更好地保護企業的數據,只有技術和制度互相結合,才能發揮更大威力。
【編輯推薦】
