浅析三种企业数据保护解决方案

数据保护解决方案的部署和实施，在很大程度上能够解决企业敏感数据泄露的问题。要知道随着企业规模的不同，成百上千的电脑和移动存储设备，在数据流动中发生泄漏的可能性是极大的。作为企业的CIO，要根据企业对信息安全的需求，制定数据安全策略。

这些策略主要包括：保护敏感的信息避免被未经授权的用户访问或共享；不仅控制数据访问也控制如何使用和分发数据的能力，提供立体的全方位的数据保护；规定数据生命周期，对于过期的数据采取相应的安全措施，防止垃圾数据滞留或被非法获取；企业中要合理地对移动介质中的敏感文件采取保护策略，数据必须被加密，防止存储介质丢失后造成的数据泄露；企业中的电脑和服务器中的数据，应该提供物理层面的纵深保护，防止数据的泄密。

数据保护解决方案及其具体应用

数据保护解决方案之RMS（RightsManagementService）方案

RMS的主要特点：权限伴随文档，规定信息使用的权限和条件，并且权限信息加密。它的应用领域，保护企业环境下的电子邮件通信，防止用户非法转发；强制实施文档权限，未经授权，该文档就不能修改、复制，不能打印、分发，即使拷贝出去，也不能打开。RMS还可以按用户区分权限，防止未授权的查看，加密受保护的内容，提供内容过期，按信息内容、用途控制为阅读、转发、保存、修改或打印、将保护扩展到初始发布位置以外的地方。使用RMS的目的在于，辅助行政和法律措施实施安全策略，防止失误操作造成的信息泄露。

RMS必须有应用程序的支持，部署RMS服务器，然后与启用RMS的应用程序协作以避免数据未经授权的使用。可以控制文档的打开、读取、修改权限。office文档应该是企业中主要的信息载体，通过RMMS可以对文档的打开、阅读、修改、分发及其日期进行限定，杜绝数据因非法获取而泄露。比如在企业中分发文档时候，对文档进行控制，它的特点是权限随着文档走，对其的整个生命周期进行管理。不管把文档分发到任何地方去，文档的权限始终和文档捆绑在一起。另外，RMS对于文档权限的定义信息是加密的，这样即使文档被窃取，也无法打开。邮件的转发也是企业中信息流动的一个重要方面，RMS可以控制邮件的各种权限，比如可以预防文档被非法或者无意转发出去，造成数据的泄露。通RMS权限设置word文档就不能被转发，修改等。

当然RMS也有缺陷，不能提供主动抵挡攻击者对系统的攻击，也无法抵御模拟攻击，如使用数码相机或第三方屏幕拷贝、记忆传播等。

数据保护解决方案之EFS(EncryptingFileSystem)方案

EFS提供NTFS分区中文件级别的加密技术，基于公钥策略，使用公钥/私钥密钥对文档进行加密。这种加密对用户是透明的，它是用公钥加密，用私钥解密，安全性极高。另外在Vista和2008中的EFS得到了增强。使用智能卡上直接存储的加密密钥进行EFS加密，基于向导将旧智能卡中的文件迁移到新智能卡中，启用EFS时加密系统页面文件，增加了新的“组策略”选项。Vista和2008中的EFS可以加密系统的页面文件，这样防止系统被脱机攻击，造成EFS加密被破解。还可以选择EFS密钥的长度强制加密“我的文件夹”。

EFS的限制，如果用户的私钥丢失，则数据将永远丢失，私钥很重要，千万不能丢失。EFS加密的强度非常高，私钥丢失，文件无法打开。因此要安全部署，防止恶意加密。比如，在企业中有这样的员工，因对企业不满，在离开前恶意加密了某些文件，然后把帐户删除，这样就造成了数据的无法打开。针对这种恶意的加密用以下两个方法来解决：其一，修改注册表，防止加密。其二，部署DRA（数据恢复代理）。

在企业中基于数据的安全性考虑，应用EFS方案要遵循这几点：部署尽可能少的DRA；至少有一个DRA；DRA使用后删除私钥；加密文件夹而不是单个文件。

EFS加密是基于操作系统的，如果系统在启动前已经被攻破的话，那他就没法实现自己的功能，因此在数据纵深保护中下面这个环节非常重要。

数据保护解决方案之BitLocker方案

Vista必定是未来系统的主流，在企业中部署Vista就能在很大程度上加固数据的安全，防止泄密。Vista提供的BitLocker技术是基于硬件的加密技术，它能为计算机提供脱机数据和操作系统保护，很好地解决了对EFS加密的脱机攻击。另外BitLocker是一种全卷加密技术，能够确保早期启动组件的完整性，能通过加密整个卷来帮助防止数据被盗或未经授权查看。

BitLocker很好地解决了企业环境下的来自于硬件的泄密，它给予数据操作系统之下的安全屏障，启动时自动提供解密密钥，保护系统分区，保护用户数据，保护注册表，与操作系统无缝的集成，保护引导分区，杜绝离线攻击，提供系统启动前基于数据的保护。
比如现代企业中每年都会淘汰一部分电脑，如果处理不当，这部分电脑就成了信息的泄露源，利用BitLocker技术可以通过销毁RootKey的方式快速地使电脑上的数据失效，防止了数据的泄露。系统启动故障，也容易造成数据的泄密，BitLocker可以确保启动过程的完整性。因为在系统启动时验证各个启动组件的完整性，防止对启动组件的恶意修改；任何以其他途径启动，都无法访问和修改被加密的系统卷；如果窃密者保护的卷做了改动，会导致系统无法正常启动。桌面安全也是企业信息泄露的一个途径，BitLocker在离线状态下保证系统和数据的安全，加密整个Windows的安装卷和其中所有用户的数据，该卷在未正常启动的情况下不可读。

总结：

在企业数据存储和分发的流动过程中，会面临来自各方面的威胁。本文讨论的RMS、EFS、BitLocker都是从技术的角度来保护数据的安全，防止泄密。要更好地保护企业的数据，只有技术和制度互相结合，才能发挥更大威力。

【编辑推荐】

1. 简单几步确保数据库安全
2. 你所忽视的MySQL数据库安全问题
3. 两种策略选择开源安全产品
4. 数据泄露的七种主要途径
5. 保护数据安全的三种武器