【正文】 粘貼到其他文檔，或者轉(zhuǎn)換成其他格式，對于原有文件的權(quán)限設(shè)定也同樣失去防護意義。 其次，權(quán)限設(shè)定在操作中將極大地影響現(xiàn)有的工作流程管理和用戶使用習(xí)慣。顯然，越大型的網(wǎng)絡(luò)環(huán)境復(fù)雜度將呈現(xiàn)指數(shù)型上升，這也是基于數(shù)字權(quán)限的防護技術(shù)一直不能在市場上大規(guī)模應(yīng)用的主要原因。特別是對于非結(jié)構(gòu)數(shù)據(jù)，如文件，設(shè)想一下，對不計其數(shù)的文件進行權(quán)限的管理，為每個文件設(shè)定可以訪問、閱讀、修改等權(quán)限，最終用戶和管理員將不堪負重。 最后，并不是所有的文件類型都可以象pdf文檔一樣進行權(quán)限設(shè)定，因此為了保證有效性經(jīng)常需要進行格式轉(zhuǎn)換，這又帶來了轉(zhuǎn)化后數(shù)據(jù)無法逆轉(zhuǎn)問題，格式失真，用戶使用習(xí)慣更改等更多問題?；趦?nèi)容 顯然，信息防泄漏關(guān)注的根本在于信息的內(nèi)容?；趦?nèi)容的機密信息分級將大大地減少管理實施難度，確保防護的有效性。管理員只需要知道我們的機密信息應(yīng)當(dāng)存儲在數(shù)據(jù)庫的那個表中，或者服務(wù)器上的哪個目錄下，就可以完成對信息機密性級別的定義。顯然，信息的所有者很容易提供以上信息，并且無需費神去設(shè)定權(quán)限。一旦確定了機密信息的存儲位置，則可以自動地建立機密信息樣本數(shù)據(jù)庫，進而在存儲、網(wǎng)絡(luò)、終端各個層面發(fā)現(xiàn)機密信息泄漏事件。 單獨選擇基于權(quán)限或基于內(nèi)容管理的防泄密系統(tǒng)都會存在結(jié)構(gòu)化問題，存在漏洞。 全面的多層次防護 信息防泄漏不是單獨地依靠一種產(chǎn)品或者一種技術(shù)就可以完善解決的任務(wù)，必須建立全面的多層次防護體系，并輔以適當(dāng)?shù)墓芾?、流程和培?xùn)，才能確保我們實現(xiàn)數(shù)據(jù)防護的目標(biāo)。從防護層次上包括IT基礎(chǔ)架構(gòu)安全、數(shù)據(jù)安全、安全管理三個方面?；A(chǔ)架構(gòu)安全防護 IT基礎(chǔ)架構(gòu)安全包括網(wǎng)絡(luò)、服務(wù)器和終端的安全。對于大型網(wǎng)絡(luò)首先要劃分安全域，在安全域之間的邊界實施監(jiān)視和訪問控制，做到看得見、管得著。細粒度的網(wǎng)絡(luò)訪問權(quán)限控制是信息防泄密的基礎(chǔ)。 服務(wù)器往往是存儲機密信息的基礎(chǔ)平臺。因此我們需要在信息泄露事件發(fā)生之前能夠預(yù)警、提前防范；在信息泄露事件發(fā)生時能夠主動實時地防護；在信息泄露事件發(fā)生之后做到及時告警、快速響應(yīng)和恢復(fù)。即在預(yù)警、防護和響應(yīng)三個層次上進行主動防護。以響應(yīng)為例，用戶、管理員、集成商人員等對于服務(wù)器的訪問和操作應(yīng)當(dāng)建立完備的審計機制，無論是通過網(wǎng)絡(luò)登陸還是本機操作，都可以查詢管理人員操作的歷史記錄。通過詳細記錄用戶行為，約束使用者對服務(wù)器上信息的操作，避免越權(quán)操作，并且可以確保安全事件發(fā)生時可以快速響應(yīng)。 對于終端，嚴格地管理和約束終端行為，落實確保合法用戶和合歸操作。通過采用準入控制技術(shù)，使用技術(shù)手段進行控制，對于違反公司安全策略的終端限制其訪問網(wǎng)絡(luò)資源，從而保證所有接入網(wǎng)絡(luò)內(nèi)部的終端符合公司安全策略要求，特別信息防泄密的要求。數(shù)據(jù)防泄密 公司需要重點保護客戶數(shù)據(jù)、公司信息、知識產(chǎn)權(quán)及敏感或機密信息的安全，無論它們是通過電子郵件、web 郵件或其它因特網(wǎng)協(xié)議傳出網(wǎng)絡(luò)，還是通過 USB/CD/DVD 傳出端點或保存在端點上，或者是保存在共享服務(wù)器和數(shù)據(jù)存儲庫中。 企業(yè)需要重點保護客戶數(shù)據(jù)、公司信息、知識產(chǎn)權(quán)及敏感或機密信息的安全，無論它們是通過電子郵件、web 郵件或其它因特網(wǎng)協(xié)議傳出網(wǎng)絡(luò)，還是通過 USB/CD/DVD 傳出端點或保存在端點上，或者是保存在共享服務(wù)器和數(shù)據(jù)存儲庫中。安全管理 針對一系列的安全問題和相應(yīng)的人員職責(zé)，需要出臺的更為具體的安全管理規(guī)范和制度，通過規(guī)范制度約束企業(yè)內(nèi)各種人員角色的安全行為。 安全規(guī)范為企業(yè)的“人”提供了安全行為的規(guī)范和制度，解決了應(yīng)該做什么不應(yīng)該做什么的問題。通過逐步建立適應(yīng)中華保險組織結(jié)構(gòu)、業(yè)務(wù)環(huán)境和業(yè)務(wù)流程的安全組織架構(gòu)，重點考慮如何實現(xiàn)集中的安全控制和管理需求，明確從管理員到最終用戶人員等各種角色的職責(zé)。尤為關(guān)鍵的，通過技術(shù)的手段確保管理規(guī)范的落實和強制執(zhí)行。 此外，安全管理不同一般的企業(yè)管理，制度的落實需要較強的安全意識和相關(guān)技術(shù)技能，這除了需要完善安全培訓(xùn)教育機制，為實施安全的管理人員或者最終用戶提供安全操作的具體指南和手冊也是至關(guān)重要的。首要解決大概率事件 所有的“安全”都是相對的，都是有成本的。過于安全會犧牲系統(tǒng)運行效率、犧牲用戶的方便性。顯然通過物理隔離的方式把存有機密文件的電腦網(wǎng)絡(luò)與外隔絕是最佳的信息防泄漏方案，但同時也違背了信息可用的進本原則。 層次化的數(shù)據(jù)防泄漏方案需要通過完善的管理，多種技術(shù)共同配合實現(xiàn)。這就需要我們在現(xiàn)有安全架構(gòu)基礎(chǔ)上，妥善分析各種安全風(fēng)險優(yōu)先級別，首先解決大概率安全事件。分清哪些是大概率事件，哪些是小概率事件？對于類似用手機抓拍計算機屏幕的信息偷竊方式，顯然屬于小概率事件。在設(shè)計防泄露方案時對于這些極端的數(shù)據(jù)泄露情況不可能也沒必要完全防護。必須把握“抓大放小”的建設(shè)原則，重點解決大概率事件。通過一系列的技術(shù)手段培養(yǎng)用戶的信息保密意識，避免由于用戶的無意識泄密或者隨意泄密。主要優(yōu)勢216。 簡化了日常操作 – 將技術(shù)支持、管理和維護成本降至最低。216。 易于使用– 用戶可以繼續(xù)照常工作。軟件可以隨時對數(shù)據(jù)進行加密和解密，而不會影響用戶的工作。216。 快速而簡單的部署 –幾乎無需用戶介入即可部署，提供靜默安裝選項，在幾周內(nèi)就能實現(xiàn)從無到有的防護，受保護的筆記本電腦可以達到數(shù)千臺。1 同時可以對硬盤、USB 存儲設(shè)備和文件進行加密。支持 Windows174。、Mac OS174。 X、Red Hat174。 和 Ubuntu174。216。 簡單的恢復(fù)– 靈活而便捷的恢復(fù)和口令忘記選項。支持災(zāi)難恢復(fù)和計劃任務(wù)，以及第三方恢復(fù)軟件。216。 用戶友好 可調(diào)節(jié)的后臺加密功能。密碼較少，易于記憶，同時支持 Windows 單次登錄 (SSO)。216。 簡單而安全的日常操作 – 單個集中式策略、密鑰管理和報告控制臺通過 Web 解密管理所有客戶端。通過集成輕型目錄訪問協(xié)議 (LDAP) 可以利用現(xiàn)有基礎(chǔ)架構(gòu)。216。 構(gòu)建終端、外設(shè)強大加密 – 經(jīng)過驗證和優(yōu)化的高性能強大加密。216。 可擴展– 輕松添加便攜式加密、電子郵件加密、文件服務(wù)器和其他加密應(yīng)用程序。主要功能216。 降低敏感數(shù)據(jù)泄露或被盜的風(fēng)險 為筆記本電腦、臺式機和服務(wù)器提供高性能的完整磁盤加密。216。 提高遵從責(zé)任感 – 通過一個可擴展的控制臺，利用事件監(jiān)控和報告定義、管理和自動實施加密安全策略。216。 集中管理 通過基于 Web 的單一管理控制臺對所有客戶端自動集中實施策略。216。 簡單易行的密碼和計算機恢復(fù) 提供了本地自恢復(fù)、一次性使用令牌以及其他恢復(fù)選項。216。 基于 DLP和PGP 強大技術(shù)而建 提供了經(jīng)過優(yōu)化、功能強大的高性能加密功能，建立數(shù)據(jù)生產(chǎn)、存儲和傳輸環(huán)節(jié)的整體數(shù)據(jù)防護。 22 / 22