企业网络如何防止数据泄露

    随着企业信息化进程的推进，关于网络内容的安全，即数据的安全，日益成为企业信息化建设最重要的目标。当前中国大中型企业的数据安全防护还相当薄弱，各种泄密事件屡屡发生，给企业造成沉重打击。为了避免数据泄露，企业在加强企业信息安全管理，提高安全意识的同时，必须进一步加强企业网络信息安全基础建设。用技术手段来确保信息安全，是必不可少的。

　　如何确保大中型企业的数据安全?

　　根据当前主流的数据安全分域防护理论，专家建议，把整个企业网络及其存储设备，分为五大安全域，分别控制，统一防护，实现整体一致的数据泄露防护，是科学有效的数据安全管理办法。

　　一、 终端数据防泄露

　　针对终端信息安全，可以采用文档透明加密系统SmartSec、文档权限管理系统DRM文档安全管理系统CDG和文档外发控制系统ODM。除此之外，国内也有其他加密软件可采用，但从产品性能来看，稍逊一筹。

　　二、 磁盘数据防泄露

　　磁盘是存储数据的物理设备。针对磁盘进行管控，就可以防止数据泄露。当前，防止磁盘数据泄露，全球最领先的技术是全磁盘加密(Full Disk Encryption)。通过对磁盘全盘加密来保护数据安全，是国际上主流信息安全厂商推出的技术。

    三、 端口数据泄露防护

　　通过端口管控，来防止数据泄露，似乎中软公司的防水墙已经为公众所熟知。从技术上讲，防水墙本身的门槛比较低，开发难度不大。已经有多种品牌的端口防护软件面世，也得到了比较广泛的应用。不论是物理端口，还是网络端口，基本上都能得到保护。但是，从理论上说，只要数据进行了加密，就不再需要外围的端口防护。既已进行了加密，又对端口进行防护，貌似有重复建设之疑。但是企业可以采用多重防护来保护数据，这是可以采用的办法。

    四、 服务器(数据库)数据防泄露

　　大中型企业的数据安全最重要的地方，应该是保护服务器和数据库。针对文件服务器数据，目前主要还是通过身份认证和权限控制这两种访问控制手段来确保安全。而针对应用服务器数据安全，相应的技术手段是相当孱弱的。

　　数据库的数据安全保护则更为复杂，有三种主要的手段：　1、基于文件的数据库加密技术;2、基于记录的数据库加密技术;3、子密钥数据库加密。但是这三种手段都会给数据库的性能带来极大的影响。针对数据库防泄露，必须采用更为先进的技术手段。

　　五、 移动存储设备防泄密

　　移动存储设备主要指移动硬盘、U盘、PC储存卡、MP3、MP4、数码照相机、数码摄像机、手机、光盘和软盘等。随着移动存储设备的广泛使用，移动存储设备导致泄密的现象越来越普遍。目前针对移动设备泄密的解决办法主要有两方面：一是对计算机及内部网络各种端口进行管控，对接入端口的移动设备进行统一认证，硬件绑定等方式，限制移动存储设备的使用;二是对移动存储设备本身设置口令/密码进行身份识别，并且对移动存储设备内的数据进行加密。通常所谓的介质管理，就是指移动存储设备管理。

　　但是，一般的介质管理系统有一个致命的缺陷，就是只能对移动设备进行管理。只对移动存储设备这一个安全域进行管控，是远远不够的。根据企业的信息安全需求，需要对各个不同的安全域都进行管控，才能实现整体一致的防护体系，实现全面的数据防泄露。因此，选择介质管理系统，要考虑与企业其他安全域兼容一体。

　　总结：孙子兵法云：不谋全局者，不足谋一域。虽然对内网系统划分为五大安全域，但是，要做到分域安全和全面防护相统一，必须统一考虑，统一架构，统一部署。大中型企业要实现数据防泄露，对各个安全域的特点和具体需求，都要充分考虑，周密部署，以实现整体数据泄露防护(DLP)。