浅谈企业如何实现防数据泄露

病毒、木马、黑客攻击，仿佛互联网上存在着各种各样的安全威胁。如今，网络安全防护不仅仅是针对于这样或那样代码组成的程序而进行，由于竞争对手的网络间谍活动造成公司数据被窃取又成为了新的网络威胁。自然，防数据泄露就成为了我们关注的话题。

那么，为了防止你的数据从公司泄露出去，应该采取哪些措施呢?

防数据泄露第一招：贯彻执行最少特权的原则

你可以根据两种截然相反的理论观点设置你的网络访问策略。第一种，“全面开放”策略，假设所有的数据对每一个人都是可用的，除非明确地限制其访问。第二种策略即“最少特权”策略，即所有的数据禁止所有用户的访问，除非一个用户被明确地给与这种访问权限。后者就像是一个情报机构：除非一个用户拥有所需要的适当证明来访问一个特定的文件，否则就不能访问它。

防数据泄露第二招：将策略写下来形成书面规章制度

你可能会认为你的员工不应复制公司的重要信息，并将其带回家去;在没有经过允许之前，员工也不应该将这些信息通过电子邮件发送到网络之外去。这是很显明的事情。不过，如果你不将这些策略和规则写下来或打印出来，并让员工在其上签字，那么如果他们违反了这些要求，你将很难惩罚他们。不形成规章制度或者未成文的规则是很难实施的。

你的规则应该具体明确，并举出例子哪些行为应该禁止。员工们可能不理解，除非你清楚地说明之，通过电子邮件将公司的文档以附件的形式发送到公司网络之外(或者发送到其家庭账户上)违反了公司的规则，这与下面的行为是一样的：将这个文档复制到磁盘上或一个USB设备上，然后将其带出公司大门，它们同样违反了公司规则。

不过，对规则的措词应该体现出：加以禁止的行为不限于你所举的例子，一切威胁公司安全的行为都应禁止。

防数据泄露第三招：设计限制性的许可和审计访问

保护数据非常重要的一步就是针对数据文件和文件夹设计恰当的许可。毋庸质疑，Windows网络的关键数据应该存储到一个NTFS分区上，因此你才能运用某种共享许可实施NTFS许可。NTFS许可比共享许可更加精细，并能运用到访问本地计算机和网络数据的用户身上。

要尽可能地给用户最低级的、能完成工作的许可。例如，将“只读”许可给用户，防止他们修改文件。

你还可以对包含敏感数据的文件和文件夹进行审核，因此就可以看出谁在什么时间访问了数据。

防数据泄露第四招：使用数据加密

将数据存储在NTFS格式的磁盘上的另外一个好处是你可以实施加密文件系统(Encrypting File System (EFS))的加密。EFS由Windows 2000及以后的操作系统所支持，可以防止其他用户打开文件，即使他们拥有NTFS许可。至于Windows XP/2003及以后的操作系统，可以通过在加密对话框中给其分配特定的许可，实施加密文件夹的共享。

窃取数据的一种方法是窃取整台计算机，特别是笔记本电脑等。对于Vista 企业版和终极版，为防止万一计算机被窃取的造成的数据丢失，可以利用BitLocker的完全驱动器加密来保护数据。

防数据泄露第五招：实施权限管理

有一些数据窃取确实可以通过上述的方法来避免。然而，对于那些你需要给与访问权限的人造成的数据窃取怎么办?可以利用Windows Rights Management Services(权限管理服务,简称 RMS)，以及许多Office 2003和 Office 2007版本中的信息权限管理(Information Rights Management,IRM)来防止用户利用转发、复制等手段滥用你发给他们的电子邮件消息和Office文档(主要是Word、 Excel、 PowerPoint)。

防数据泄露第六招：限制可移动媒体的使用

将数字信息偷盗出公司的一个最普遍的方法是将其复制到某种可移动媒体或设备上。USB设备价格便宜、易于隐藏，高容量的SD，CF卡和其它的 fash存储卡能够存储大量的数据;用户可以将数据复制到MP3播放器上，通过CD或DVD刻录机也可以将数据转移出去。不过，可以通过移除USB端口等方法永久性限制USB设备的安装和使用，可以通过注册表或者利用其它软件来禁止在某台计算机或整个网络上使用可移动媒体。

在Vista中，可以利用组策略限制对可移动媒体的使用。具体可参考相关文章。

防数据泄露第七招：控制笔记本电脑的使用

用户可以将文件带走的另外一种方法，是用一台笔记本电脑或掌上电脑连到内部网络上，将文件复制到其硬盘上，然后将其计算机带走。你应该控制有哪些电脑可以连接到你的局域网，不仅仅是对远程访问的控制，而是应该控制谁可以将网络电缆插入到你的集线器或交换机。

可以使用IPSec来防止不是域成员的计算机连接到你的文件服务器以及局域网上的其它计算机。具体相关内容请参考有关文章。

防数据泄露第八招：为传出的网络信息制定规则

防火墙所做的不仅仅是阻止不合需要的通信访问你的网络，还可以防止特定的通信离开你的网络。你可以设置防火墙来阻止某些类型的传出协议，如p2p软件所使用的协议。

你可以设置邮件服务器来阻止发出邮件附件，还可以利用内容过滤的软件或服务来阻止发出去的内容，例如，可以使用Reconnex iGuard MX Logic，Microsoft ForeFront，GFI Mail Security等。

防数据泄露第九招：控制无线通信

即使你通过防火墙或者过滤系统阻止发出某些类型的数据，一个意志坚定的家伙还是可能将公司的电脑连接到某个范围内的不同无线网络，即一个没有实施阻止机制的无线网络。或者他可能将计算机连接到一部拥有互联网访问能力的移动电话上，然后将此电话作为一个调制解调器，实现无线上网的企图。

因此，跟踪可能离开公司所在地的无线网络其及其设备，如果可能的的话，阻止其信号。

防数据泄露第十招：当心其它的具有“创造性”的数据窃取方法

记住，你的数据流出网络可能会有许多方法。一个用户可以打印一份文档，将其以纸张的形式带出公司;或者一个窃贼可能从垃圾桶里窃取没有进行销毁处理的文档资料。即使你已经实施了版权管理等技术来防止复制或打印文档，某个人还是可以通过胶片或数字电影的形式带走资料，或者是坐下来手工抄写文档信息。因此，需要万分小心，采取缜密的措施来保护你的数据安全。

【编辑推荐】