北京 2013-01-29(中國商業電訊)－－全面，甚至是全員的持續監控，是數據防泄密的一個非常有效的手段。當發生數據泄密時，終端用戶自身是一定有感知的，我們要做的是，如何讓這些終端相互通訊，體察和匯聚各種各樣的問題。

通常情況下，很多企業網絡都存在著不少的漏洞，存在著數據泄露的可能性。我們先看一個真實的案例。

一個黑客在大范圍掃描網絡的過程中，非常偶然的發現了一家比較知名的制造企業的信息，他的服務器和郵件服務器居然在同一臺機器上。當然，這家公司的郵件使用并不是特別頻繁，所以黑客并沒有辦法直接取得大量的敏感信息。黑客就悄悄潛伏下來，每天閱讀郵件，終于有一天黑客發現在郵件里有這家企業的通訊錄，有很多人員的郵件、電話、信息，于是黑客就搞清楚了哪些人是研發人員，也搞清楚了研發人員最近在做什么樣的項目。于是黑客偽造了一個郵件，告訴幾個特定的研發人員，說公司內部有一個工具需要升級，要求他們運行附件的文件進行升級，其實附件是一個木馬程序。研發人員就按照黑客的說法去做了，最終機密就泄露了。 ? ? 萬幸的是，最終這件事在私下解決了，造成的影響不是太大，不過這家企業得到了很深刻的教訓。

現在，我們面對著很多新的環境，比如移動互聯網、社交網絡、云計算、IPv6等等，而且黑客已經把很多攻擊進行彼此的關聯。在新環境下，我們可以看到兩個關鍵詞，一個是潛伏，黑客已經不會滿足于攻進來以后搞一個破壞，而是潛伏下來，等待著最好的時機來獲取最多的數據。

另一方面是定向爆破，黑客經過長期的分析，分析出究竟哪些數據是他最關注的，然后通過定向爆破的方式，只針對這一群用戶來下手，這種方式對整個網絡、對絕大多數人幾乎是沒有影響的，所以他被發現的機率最低。這是現在數據泄密方面的一些新的態勢。

既然存在著敏感信息泄漏的可能性，企業想要進行數據防泄露，應該怎么辦？

首先，企業需要搞清楚要保護的信息是什么。金融企業、運營商需要保護的可能是用戶的信息，制造業需要保護的可能是各種各樣的二維、三維的設計圖紙。

其次，從兩個方面來考慮數據的使用者，一方面，敏感數據、敏感信息有合法的人員在使用、加工處理，再通過正常合法合規的流程流向下一個環節；另一方面，有些不合規的人有意圖，甚至有能力接觸這些數據。

第三，是環境。環境就是這些人接觸數據的時候所使用的網絡、設備等等相關的東西。

對于數據防泄密，很多安全管理員都覺得相當困擾，為什么呢？因為數據就是在這么復雜的網絡里面，我們怎么樣才能知道哪個地方發生了泄露呢？同時，還有很多做信息安全的人陷入了誤區，就是建立了很多馬其諾防線，以為這些防線就能實現百分之百的安全，但是有時候攻擊者根本不從這個方向來，他們不走尋常路。這個時候我們該怎么辦呢？

第一個觀點，是需要全面，甚至是全員的持續監控，這是數據防泄密的一個非常有效、非常有價值的手段。這個可能跟很多人的理念相違背，因為不容易做到。很多人都表示部署設備很簡單，但是如果要做全程監控，這個難度就非常大。其實，當發生數據泄密行為的時候，終端用戶自身是一定有感知的，現在我們要做的是，如何讓這些終端用戶之間相互通訊，終端和終端之間相互通訊，體察和匯聚終端之間各種各樣的問題，這個是最核心的，同時這也是不可或缺的。

在進行全員全面的監控時，最大的阻力就是怎樣淡化用戶被窺探的感受。企業文化注重信任和自由，企業想要做的就是防黑客、防木馬以及筆記本丟失，而不是窺探員工的隱私。我們可以把保護的數據放在一個工作目錄底下，簡單來說就是企業設定一個特殊的目錄，用戶只要把文件丟到這個目錄里，文件的安全就由企業幫你保障，企業保護的是工作目錄。不在目錄里的文件，企業不會對它做窺探或者加密。假如你在非常短的時間內，同時打開了30個文檔，這不是正常員工的常規行為，就會有一個提醒，比如彈出一個對話框，內容是：你讀取文件的頻率很高，這個事情是不是你做的，如果不是，可以向管理中心來舉報。這樣的話用戶的接受度就高多了。
第二個觀點，數據防泄密要做可視化運營。網絡中有大量的監控數據，用戶從中可以非常清晰地看到變化，然后通過這個變化來找到異常。這些數據需要有人長期的去解讀，同時形成適合自己企業的策略。