信息保护攻坚战 ，探究数据泄漏几大渠道

　　根据Websense的研究报告，如今数据泄漏的渠道包括以下几点：

　　运用网络攻击手段：此类数据泄漏现象主要存在于以高科技、医药研发、文化创意、咨询等知识密集型企业和金融、证券、电子商务等可使不法分子直接攫取非法暴力的企业。这类窃取主要通过服务器攻击、木马程序置入等。

　　利用Web2.0：博客、社交网络服务（SNS）、BBS、社区等Web2.0应用的兴起为企业的业务开展创造了更便捷的平台，但与此同时，这些应用所带来的新型攻击、员工工作效率下降和数据泄漏风险也让企业头痛不已。网络犯罪分子通过将一些恶意URL链接、仿冒视频播放程序的木马、病毒下载器等恶意软件或链接放在各种Web2.0应用中，通过参与热点话题的讨论来吸引用户点击。

　　内部员工非法窃取：员工的忠诚度不够及职业素养的缺失会导致企业核心机密的流失和泄露，这种泄露主要通过即时通讯、FTP上传、移动存储、打印、电子邮件等实现。

　　陈纲指出：“IDC此前的数据也显示，企业所存储的数据量正在大幅增长，由此所产生的对于各种形式如台式机桌面、笔记本、文件/存储服务器、USB驱动器和其他类型信息的防护和控制需求，其增幅将有望在2011年超过那些传输中（如email）和使用中（如合同或议案等）的文件增幅。”

　　高度决定态度，数据泄漏防护重要性亟需提上日程

　　《潜伏》中，国共双方对于安插在彼此的地下工作者所发送来的情报和己方的信息泄密均持高度重视，警戒心理非常强。但在现今社会中，企业的管理者和员工对于数据泄漏的防范意识又如何呢？Websense在2009年3月刚完成的一份全球IT管理人员大调查显示：21%的受访者认为他们受到 100%的完全防护；尽管有时会受到攻击，仍有56%的受访者相信他们拥有所需要的一切安全防护。

　　Websense Web2.0工作报告-中国站的监控结果发现：

　　-71%的恶意代码来自受信赖的网站

　　-79% 的公司机密信息从Web上被下载

　　-68% 的恶意软件进入公司网络中

　　-53% 的安全网站重定向至未知网站的拦截率

　　-47% 的解决方案提供Web内容的实时分类

　　-61%的防护措施能够阻止间谍软件将信息传送至外部服务器

　　-70%的网络钓鱼拦截率

　　-44%的即时通讯附件拦截率

　　-48%的USB设备控制

　　-2%的中国企业未曾对以上问题采取任何防护措施

　　而与以上结果相对应的是企业在网络使用权限上，所采取的态度统计：

　　- 50%的公司允许员工访问与工作无关的网站，如优酷、土豆网等

　　- 78%的公司允许员工访问开心网、校园网等社交服务类网站，用于业务往来

　　- 98%的公司允许员工访问163、新浪及Hotmail、Gmail等邮件服务器

　　- 88%的公司允许员工访问个性化的网页如QQ空间、MSN Space等

　　- 55%的公司允许员工访问淘宝、卓越、当当等购物网站

　　- 64%的公司允许员工访问维基百科

　　- 57%的公司允许员工访问那些可下载视频的网站如电驴、迅雷等

　　- 72%的公司允许员工访问可下载图片、照片的网站

　　- 53%的公司允许员工访问博客、BBS、聊天室等虚拟空间服务

　　- 67%的公司允许员工访问自动生成网站、家居设计图等的定制服务或云计算服务

　　当问题涉及未来一段时间的IT安全战略应着重考虑何种因素时时，高达78%的受访者认为企业的核心机密信息防护最有必要，在此项调查中占比最高。

　　综合以上统计结果及其他独立评测机构的数据，陈纲分析：在未来2-3年内，企业对于数据安全防护解决方案的需求将有较大增幅。

　　专家支招-构筑数据泄漏防护安全体系

　　Websense陈纲指出：“数据泄漏防护体系的打造需要整合企业、安全厂商、员工等多方努力协作。一方面，企业制定可控性强、人性化的网络访问策略和数据访问、使用策略；同时，安全厂商更好的研发基于内容识别分析、传播途径及传播状态分析等技术，帮助企业实现策略规定，确保数据的不流失；另外，员工自身也要加强网络访问的警惕性，不随便登陆陌生网站，减少与工作无关的视频、Web2.0网站的访问等。”

　　目前市场上存在的数据泄漏防护解决方案提供商非常多，以Websense为代表的国际主流安全厂商和本土等厂商均推出了各种形式的数据泄露防护解决方案。这些解决方案的最终目的只有一个：确保用户的数据安全，防止数据落入不法分子手中–无论有意还是无意。

　　企业在进行日常工作的过程中，数据的使用无时无刻不在发生。因此，专家认为完善的解决方案应该能够满足以下几点要求：

　　数据有效识别——能够迅速判别根据企业的不同特点，明确何种数据是机密数据，何种数据是可对外公开、传播的数据。这是企业数据泄露防护的第一步，也是最关键的一步。只有明确判定数据的属性，才能更好的实施安全防护。

　　数据传输进程判断——无论是通过邮件、即时通讯还是电脑终端，数据的传输需要途径，准确判断数据当前所处的状态和传输进程，可有效进行安全防护措施的实施。

　　灵活的策略制定——企业管理者拥有对数据使用策略的制定权，但策略制定后

　　陈纲介绍：Websense数据防泄露解决方案可在实施过程中，根据不同企业的实际需求，在企业的文件服务器和终端分辨部署。同时，Websense数据防泄密产品自身采用了进程保护技术，避免企业内用户的非法行为。Forrester Wave 2009年第2季度内容安全独立报告中的数据显示：Websense在内容安全领域的综合得分排名第一，邮件安全和Web过滤市场上的份额也遥遥领先于同类厂商。报告中还指出：作为内容安全领域的领导厂商，Websense拥有邮件安全、Web安全和数据安全的成熟产品线。依赖PortAuthority 技术所支撑的数据安全产品更为他们争得了无数奖项

　　Websense 数据防泄漏解决方案可发现整个企业网络的关键信息，监控这类信息的使用并防止这类信息的不适当使用。遍及静态数据、动态数据、使用中数据的全面安全防护范围，可改善业务流程并有效管理风险和法规遵从情况。整合了智能化云安全和云交付技术的Websense数据防泄漏解决方案将是用户进行数据安全体系构建时的首选（Forrester Wave 2009年第2季度内容安全独立报告）。

　　Websense 数据防泄漏解决方案的具体性能包括：

　　数据发现：识别网络和个别端点上的静态数据、风险数据

　　数据监控：通过数据传输目的地上下文，覆盖所有业务渠道，识别动态数据

　　数据保护：防止内外部数据泄漏

　　数据终端：不论用户是否在线，均可防止终端数据泄漏

　　金融危机和全球大瘟疫的到来使得人们进一步捂紧了自己的口袋，企业也因此不断紧缩支出，但大量统计数字表明：经济危机时期往往是科研、医疗、基础建设、文化创意等企业大储备、厚积薄发时期，数据保密和泄露防护不可忽视。但企业的管理者们需要注意的是：数据泄漏防护体系的构建非朝夕之功，企业需要明确自身的性质和需求，了解数据保护的重点，评估安全厂商的研发、产品等综合实力之后，选择适合的数据泄漏防护解决方案。

许多网络系统都存在着这样那样的漏洞，这些漏洞有可能是系统本身所有的，如WindowsNT、UNIX等都有数量不等的漏洞，也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。

对于系统本身的漏洞，可以安装软件补丁；另外网管也需要仔细工作，尽量避免因疏忽而使他人有机可乘。

(二)通过电子邮件进行攻击

电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪，这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。

对于遭受此类攻击的邮箱，可以使用一些垃圾邮件清除软件来解决，其中常见的有SpamEater、Spamkiller等，Outlook等收信软件同样也能达到此目的。

(三)解密攻击

在互联网上，使用密码是最常见并且最重要的安全保护方法，用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人，只要有密码，系统就会认为你是经过授权的正常用户，因此，取得密码也是黑客进行攻击的一重要手法。

取得密码也还有好几种方法，一种是对网络上的数据进行监听。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而黑客就能在两端之间进行数据监听。

但一般系统在传送密码时都进行了加密处理，即黑客所得到的数据中不会存在明文的密码，这给黑客进行破解又提了一道难题。这种手法一般运用于局域网，一旦成功攻击者将会得到很大的操作权益。

另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码，但这项工作十分地费时，不过如果用户的密码设置得比较简单，如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。

为了防止受到这种攻击的危害，用户在进行密码设置时一定要将其设置得复杂，也可使用多层密码，或者变换思路使用中文密码，并且不要以自己的生日和电话甚至用户名作为密码，因为一些密码破解软件可以让破解者输入与被破解用户相关的信息，如生日等，然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码，这样使其被破解的可能性又下降了不少。