面向企業的資訊保護與安全審計整體解決方案

隨著資訊科技的不斷髮展，數字資訊的價值不斷增加，成為一種重要資產，地位甚至超過了承載資訊的磁碟、儲存和IT基礎架構。人員越來越強調對資訊進行周密的保護，防止出現未經許可的洩露、丟失或盜竊。從美國零售業巨頭TJX公司465萬個信用卡資訊被盜竊，到前一段時間的豔照門事件，資訊防洩漏和防護無不引起人們的重視。

更為嚴重的是，所有資訊洩漏事件中，源自內部人員所為的佔了絕大部分。根據FBI和CSI對484家公司進行的網路安全專項調查結果顯示：超過85%的安全威脅來自公司內部，在損失金額上，由於內部人員洩密導致了6056.5萬美元的損失，是***造成損失的16倍，是病毒造成損失的12倍。另據中國國家資訊保安測評認證中心調查，資訊保安的現實威脅也主要為內部資訊洩露和內部人員犯罪，而非病毒和外來***引起。

那麼，如何才能夠有效的進行資訊的防洩漏和資訊保護呢？我認為至少要從以下三個角度來考慮：

首先，是對靜態資訊的保護。最基本的靜態資訊保護就是資料加密。此外，更為重要的是要建立資料的統一安全策略，貫穿資料產生、流轉、銷燬的全生命週期。例如，我們可以針對員工的工資資訊制定這樣一套安全策略：工資資訊必須加密後才能通過email傳輸，禁止通過http或者https協議傳輸，只能儲存在指定的伺服器和資料庫中，只有人力資源部門授權的帳號列表才能訪問工資資訊，等等。只有建立統一的資訊保安保護策略，才能有效地進行資訊保護，否則就可能出現策略真空，導致某個環節發生資訊洩漏；或者出現策略衝突，使得資訊的傳遞效率大大降低，影響正常工作。

其次，是對動態資訊、也即資訊在網路傳輸過程中的檢測和保護。這是資訊防洩漏和資訊保護的最重要環節。由於網路技術的充分普及，資訊傳遞的速度和傳播的範圍都極大提升。資訊一旦透過網路造成洩漏，後果幾乎無法挽回。動態資訊保護有兩個環節。

1） 防止重要資訊由高安全區域向低安全區域的擴散：各種帳號、密碼、客戶資訊、財務資訊、工程圖紙、設計文件、核心程式碼等機密資訊一般都是儲存在特定的伺服器和資料庫中。動態資訊保護要求對這些伺服器、資料庫系統的網路連線進行監控和審計、藉助統一的安全策略，檢查各種違規的網路訪問行為，例如通過FTP和Telnet指令獲取伺服器上的重要檔案；通過SQL語句獲取資料庫系統重要的庫表欄位資料；等等。

2） 防止重要資訊由內部網路向外部網路的洩漏：這是資訊防洩漏的關鍵一環。我們知道，隨著Web2.0技術的興起，現在內外網之間的連線方式多種多樣，例如各種即時通訊工具（MSN、QQ等）、WEB郵件網站（163、Gmail等）、P2P應用（迅雷、電驢等），以及論壇、聊天室。這些內外部通訊手段都有可能成為資訊洩漏的途徑。並且，這些洩漏途徑從技術上來看大多基於HTTP協議，或者更為底層的UDP協議，埠也不固定，與正常的業務傳輸通道相同，防範起來十分不易，過嚴則可能影響正常業務開展，過鬆則可能功虧一簣。動態資訊保護要求我們採用具備應用層協議檢測技術的裝置、並且要採用具備資訊匹配技術的內容過濾引擎，智慧地進行網路流量甄別。

最後，就是要對資訊的使用者及其載體——終端進行監控和審計，這也就是終端安全監控與審計。因為絕大部分機密資訊的洩漏都是內部人員造成的，而這些內部人員往往都是從終端將資訊傳播出去。在這個層面，資訊保護就是要對人和終端進行管理。對人，就是要加強人員的安全保密意識的培訓，並且要制定令行禁止的安全制度。對終端，就需要建立一套面向終端安全的管理系統，包括終端接入的控制、U盤外設等的接入控制、終端加固和執行監控、終端使用者行為的監控與審計，等等。終端管理的目的是一方面確保終端的合法使用者無法違規，另一方面確保其他非法人員無法利用終端自身的漏洞進行違規操作。

在上述三個層面中，統一安全策略始終是資訊防洩漏和保護的核心。靜態資訊防護、動態資訊防護、終端安全和人員安全管理都有賴於一致的、統一的、貫穿資訊生命週期的安全策略。各種技術、工具和裝置都是這些策略的執行者。

總結一下，資訊防洩漏和資訊保護體系架構如下圖所示：