一、數據保護策略和技術
1、制定數據保護策略
作為企業的CIO,要根據企業對信息安全的需求,制定數據安全策略,這些策略主要包括以下幾方面:
保護敏感的信息避免被未經授權的用戶訪問或共享;不僅控制數據訪問也控制如何使用和分發數據的能力,提供立體的全方位的數據保護;規定數據生命周期,對于過期的數據采取相應的安全措施,防止垃圾數據滯留或被非法獲取;企業中要合理地對移動介質中的敏感文件采取保護策略,數據必須被加密,防止存儲介質丟失后造成數據的泄露;企業中的電腦和服務器中的數據,應該提供物理層面的縱深保護,防止數據的泄密。
2、數據的縱深保護
制定數據保護的策略后,就應該考慮如何在技術上進行部署,這種保護技術應該是縱深的、立體的:
基于軟件的加密,利用系統提供的或者第三方軟件進行文件的加密;基于硬件的加密 ,從硬件的角度加固數據的安全性;啟動前加密,數據的保護從操作系統啟動時就開始,以防系統被劫持,造成數據的泄密;啟動后加密 ,杜絕在進入系統后,信息被非法利用,造成泄露;應用程序級加密 ,比如利用Office的加密功能對數據進行加密處理;文件(文件夾)級加密,有針對性地對敏感文件進行系統級(EFS)的加密保護措施;全卷加密,就某個卷中的所有文件進行加密保護;按用戶加密,文件的權限與用戶相關,預防不被授權的用戶非法利用數據,造成數據的泄密。
3、數據保護技術
基于以上數據保護的策略和縱深保護的要求,可以采取如下的解決方案:
RMS:基于策略和定義實現的文檔內容保護,防止信息被越權、超地域范圍使用。
EFS:用戶文件的加密,防止非授權用戶非法獲得數據,造成數據的泄密。
BitLocker:基于硬件實現的物理加密措施,數據安全與物理硬件相關,防止數據外漏。
二、解決方案及其具體應用
1、RMS(Rights Management Service)方案
RMS的主要特點,權限伴隨文檔,規定信息使用的權限和條件,并且權限信息加密。它的應用領域,保護企業環境下的電子郵件通信,防止用戶非法轉發;強制實施文檔權限,未經授權,該文檔就不能修改、復制,不能打印、分發,即使拷貝出去,也不能打開。RMS還可以按用戶區分權限,防止未授權的查看,加密受保護的內容,提供內容過期,按信息內容、用途控制為閱讀、轉發、保存、修改或打印、將保護擴展到初始發布位置以外的地方。使用RMS的目的在于,輔助行政和法律措施實施安全策略,防止失誤操作造成的信息泄露。
#p#副標題#e#
RMS必須有應用程序的支持,部署RMS服務器,然后與啟用RMS的應用程序協作以避免數據未經授權的使用。可以控制文檔的打開、讀取、修改權限。office文檔應該是企業中主要的信息載體,通過RMMS可以對文檔的打開、閱讀、修改、分發及其日期進行限定,杜絕數據因非法獲取而泄露。比如在企業中分發文檔時候,對文檔進行控制,它的特點是權限隨著文檔走,對其的整個生命周期進行管理。不管把文檔分發到任何地方去,文檔的權限始終和文檔捆綁在一起。另外,RMS對于文檔權限的定義信息是加密的,這樣即使文檔被竊取,也無法打開。郵件的轉發也是企業中信息流動的一個重要方面,RMS可以控制郵件的各種權限,比如可以預防文檔被非法或者無意轉發出去,造成數據的泄露。如圖1,通RMS權限設置word文檔就不能被轉發,修改等。(圖1)
當然RMS也有缺陷,不能提供主動抵擋攻擊者對系統的攻擊,也無法抵御模擬攻擊,如使用數碼相機或第三方屏幕拷貝、記憶傳播等。
2、EFS(Encrypting File System)方案
EFS提供NTFS分區中文件級別的加密技術,基于公鑰策略,使用公鑰/私鑰密鑰對文檔進行加密。這種加密對用戶是透明的,它是用公鑰加密,用私鑰解密,安全性極高。另外在Vista和2008中的EFS得到了增強。使用智能卡上直接存儲的加密密鑰進行EFS加密,基于向導將舊智能卡中的文件遷移到新智能卡中,啟用EFS 時加密系統頁面文件,增加了新的“組策略”選項。Vista和2008中的EFS可以加密系統的頁面文件,這樣防止系統被脫機攻擊,造成EFS加密被破解。還可以選擇EFS密鑰的長度強制加密“我的文件夾”。(圖2)
EFS的限制,如果用戶的私鑰丟失,則數據將永遠丟失,私鑰很重要,千萬不能丟失。EFS加密的強度非常高,私鑰丟失,文件無法打開。因此要安全部署,防止惡意加密。比如,在企業中有這樣的員工,因對企業不滿,在離開前惡意加密了某些文件,然后把帳戶刪除,這樣就造成了數據的無法打開。針對這種惡意的加密用以下兩個方法來解決:其一,修改注冊表,防止加密。其二,部署DRA(數據恢復代理)。(圖3)
在企業中基于數據的安全性考慮,應用EFS方案要遵循這幾點:部署盡可能少的DRA;至少有一個DRA;DRA使用后刪除私鑰;加密文件夾而不是單個文件。
EFS加密是基于操作系統的,如果系統在啟動前已經被攻破的話,那他就沒法實現自己的功能,因此在數據縱深保護中下面這個環節非常重要。
#p#副標題#e#
3、BitLocker方案
Vista必定是未來系統的主流,在企業中部署Vista就能在很大程度上加固數據的安全,防止泄密。Vista提供的BitLocker技術是基于硬件的加密技術,它能為計算機提供脫機數據和操作系統保護,很好地解決了對EFS加密的脫機攻擊。另外BitLocker是一種全卷加密技術,能夠確保早期啟動組件的完整性,能通過加密整個卷來幫助防止數據被盜或未經授權查看。(圖4)
BitLocker很好地解決了企業環境下的來自于硬件的泄密,它給予數據操作系統之下的安全屏障,啟動時自動提供解密密鑰,保護系統分區,保護用戶數據,保護注冊表,與操作系統無縫的集成,保護引導分區,杜絕離線攻擊,提供系統啟動前基于數據的保護。
比如現代企業中每年都會淘汰一部分電腦,如果處理不當,這部分電腦就成了信息的泄露源,利用BitLocker技術可以通過銷毀RootKey的方式快速地使電腦上的數據失效,防止了數據的泄露。系統啟動故障,也容易造成數據的泄密,BitLocker可以確保啟動過程的完整性。因為在系統啟動時驗證各個啟動組件的完整性,防止對啟動組件的惡意修改;任何以其他途徑啟動,都無法訪問和修改被加密的系統卷;如果竊密者保護的卷做了改動,會導致系統無法正常啟動。桌面安全也是企業信息泄露的一個途徑,BitLocker在離線狀態下保證系統和數據的安全,加密整個Windows的安裝卷和其中所有用戶的數據,該卷在未正常啟動的情況下不可讀。(圖5)
在企業數據存儲和分發的流動過程中,會面臨來自各方面的威脅。本文討論的RMS、EFS、BitLocker都是從技術的角度來保護數據的安全,防止泄密。要更好地保護企業的數據,只有技術和制度互相結合,才能發揮更大威力。
