數(shù)據(jù)安全是降低敏感數(shù)據(jù)向內(nèi)、外部泄露風(fēng)險(xiǎn)的最有效層面之一。在該層面，防護(hù)的焦點(diǎn)在于數(shù)據(jù)本身，其目的在于確保數(shù)據(jù)安然無恙，而不論其傳播途徑如何。數(shù)據(jù)的移動(dòng)性正日益加強(qiáng)，因此數(shù)據(jù)安全防護(hù)至關(guān)重要。

　　由于數(shù)據(jù)安全防護(hù)方案正處在產(chǎn)品生命周期的早期，這些方案仍然存在一些不足之處。然而，完善的步伐正在日益加快。隨著企業(yè)數(shù)據(jù)面臨的威脅日益增多，企業(yè)有必要認(rèn)真地考慮這些方案。數(shù)據(jù)安全防護(hù)涉及的技術(shù)包括數(shù)據(jù)加密和數(shù)字版權(quán)管理（DRM）。

　　建議措施

　　企業(yè)主管和安全專家不能再對(duì)數(shù)據(jù)安全問題坐視不理了，現(xiàn)在是他們采取行動(dòng)的時(shí)候了。

　　加密。企業(yè)可以對(duì)敏感數(shù)據(jù)進(jìn)行加密，然后將其存儲(chǔ)于數(shù)據(jù)庫(kù)，在網(wǎng)絡(luò)或因特網(wǎng)上傳輸，或保存為其他文件類型。最好是將加密信息隨敏感數(shù)據(jù)一起傳輸。這往往需要借助其他的加密方法[如公共密鑰體系（PKI）和版權(quán)管理]才能實(shí)現(xiàn)。

　　如果保護(hù)企業(yè)敏感信息還不能成為數(shù)據(jù)加密的足夠動(dòng)因，眾多標(biāo)準(zhǔn)都強(qiáng)制規(guī)定了加密的必要性。許多標(biāo)準(zhǔn)規(guī)定必須對(duì)傳輸和存儲(chǔ)的數(shù)據(jù)進(jìn)行加密。這些要求對(duì)備份系統(tǒng)和數(shù)據(jù)同樣適用。

　　移動(dòng)設(shè)備。移動(dòng)設(shè)備是最新出現(xiàn)的數(shù)據(jù)泄露途徑。移動(dòng)設(shè)備的連接能力和強(qiáng)大功能提升了企業(yè)的生產(chǎn)效率，但也使更多的敏感信息向更廣的范圍擴(kuò)散。由于員工傾向于將移動(dòng)電話和個(gè)人數(shù)字助理（PDA）視為個(gè)人財(cái)產(chǎn)，而不是企業(yè)資產(chǎn)的一部分，敏感信息面臨受攻擊的風(fēng)險(xiǎn)越來越高。企業(yè)必須采用防護(hù)策略和技術(shù)來降低這種威脅。

　　筆記本電腦應(yīng)至少擁有經(jīng)過加密的、即使系統(tǒng)完全啟動(dòng)后也受保護(hù)的目錄或驅(qū)動(dòng)器。一些供應(yīng)商已經(jīng)提供了全磁盤加密技術(shù)，以便對(duì)整個(gè)硬盤驅(qū)動(dòng)器進(jìn)行加密。例如，微軟已在其Windows Vista和Windows Server 2008系統(tǒng)中添加了提供驅(qū)動(dòng)器和卷加密功能的BitLocker驅(qū)動(dòng)器加密技術(shù)。

　　最新的移動(dòng)操作系統(tǒng)（如移動(dòng)電話和個(gè)人數(shù)字助理中的操作系統(tǒng)）提供了更高的安全性。例如，微軟的移動(dòng)電話平臺(tái)能夠?qū)⒁恍┤翰呗詳U(kuò)展到手機(jī)，并提供了一些基本的數(shù)據(jù)加密功能。

　　有些移動(dòng)電話支持系統(tǒng)管理員遠(yuǎn)程擦除數(shù)據(jù)。如果移動(dòng)電話被掛失或被盜，這種功能非常有用。此外，大多數(shù)的運(yùn)營(yíng)商能夠?qū)σ苿?dòng)電話進(jìn)行重置，并有可能擦除存儲(chǔ)在移動(dòng)電話上的敏感信息。

　　版權(quán)管理。對(duì)敏感數(shù)據(jù)進(jìn)行控制和保護(hù)的有效途徑之一，在于限制哪些用戶具有訪問數(shù)據(jù)的權(quán)限，他們可以對(duì)數(shù)據(jù)進(jìn)行何種操作，可以在何處發(fā)送信息，以及可以在何種環(huán)境下使用這些信息。數(shù)字版權(quán)管理解決方案可以通過對(duì)用戶的接入權(quán)限進(jìn)行電子化設(shè)置和控制，以實(shí)現(xiàn)上述目的。這些方案也可以確定數(shù)據(jù)是否被修改、拷貝、打印、電郵，或存儲(chǔ)于便攜式存儲(chǔ)設(shè)備。其軟件還能夠提供有關(guān)所有信息操作的審計(jì)日志。

　　版權(quán)管理的方法多種多樣。一些方法需要借助公共密鑰體系，而另一些則不然。公共密鑰體系為用戶提供雙因子認(rèn)證（two-factor authentication），且能夠?qū)W(wǎng)上傳送的數(shù)據(jù)進(jìn)行加密。

　　微軟Windows權(quán)限管理服務(wù)（RMS）要求采用數(shù)字證書作為其公共密鑰體系。權(quán)限管理服務(wù)是一種信息保護(hù)技術(shù)，它能夠與支持該服務(wù)的應(yīng)用程序共同使用，以保護(hù)數(shù)字化信息被非法使用。它可以運(yùn)用于在線和離線環(huán)境，也可以運(yùn)用于防火墻內(nèi)側(cè)和外側(cè)。

　　權(quán)限管理服務(wù)采用持續(xù)使用（persistent-usage）策略對(duì)信息進(jìn)行保護(hù)。這意味著無論信息被發(fā)到何處，這些策略都將相伴左右。借助權(quán)限管理服務(wù)，企業(yè)可以防止敏感數(shù)據(jù)（如財(cái)務(wù)報(bào)告、產(chǎn)品規(guī)范、顧客數(shù)據(jù)、機(jī)密電子郵件）被有意或無意地泄露給非法用戶。

　　泄漏防護(hù)。信息泄漏防護(hù)（ILP）是相對(duì)較新的信息防護(hù)領(lǐng)域。它也被稱為數(shù)據(jù)泄露預(yù)防。它是版權(quán)管理的一種變體，且常被企業(yè)用來進(jìn)行更大范圍數(shù)據(jù)防護(hù)。版權(quán)管理傾向于將一些文檔和文件類型進(jìn)行打包，以便對(duì)其進(jìn)行保護(hù)；而信息泄漏防護(hù)更注重對(duì)企業(yè)的網(wǎng)關(guān)進(jìn)行保護(hù)和監(jiān)控。

　　信息泄漏防護(hù)解決方案關(guān)注的焦點(diǎn)在于，防止敏感信息經(jīng)電子郵件、文件傳輸、立即消息、網(wǎng)頁發(fā)布、便攜式存儲(chǔ)設(shè)備或介質(zhì)等途徑泄漏出去。該方法要求與郵件服務(wù)器、網(wǎng)頁服務(wù)器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行集成。信息泄漏防護(hù)傳感器被設(shè)置在數(shù)據(jù)離開網(wǎng)絡(luò)的點(diǎn)，以便在敏感信息將要離開網(wǎng)絡(luò)時(shí)進(jìn)行告警和/或阻斷。

　　大多數(shù)信息泄漏防護(hù)解決方案都提供了一些缺省模板，以便識(shí)別常見的敏感信息。企業(yè)可以對(duì)模板進(jìn)行定制，以滿足其特定的需求。

　　信息泄漏防護(hù)等解決方案只不過是成功信息安全策略的一部分。其他部分包括前文所述的，對(duì)數(shù)據(jù)本身及其經(jīng)過或駐留的應(yīng)用程序、系統(tǒng)和網(wǎng)絡(luò)進(jìn)行保護(hù)。采用這種深度防御策略，企業(yè)能有效防止其專有信息落入居心不良的人手中。

　　原文經(jīng)許可摘自Security Management 雜志 2007年11月刊。ASIS International（地址：1625 Prince Street, Alexandria, VA 22314）2007年登記版權(quán)。阿桑譯。

　　Ken Biery, Jr.是華盛頓州肯特市優(yōu)利系統(tǒng)公司（Unisys Corporation）安全顧問服務(wù)部門的高級(jí)安全架構(gòu)師，他與他人共同編寫了10本書，并發(fā)表了眾多有關(guān)信息、運(yùn)營(yíng)和物理安全的論文。Mike Hager是優(yōu)利系統(tǒng)公司安全顧問服務(wù)部門的高級(jí)安全架構(gòu)師。