防止信息泄露的新方法

bjrxkj

对信息泄露防御的通常解释是: 通过一定的技术或管理手段，防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或意外流出。通俗地说，就是防止对数据非授权的访问和获取。
        当前，信息泄露防御主要分为两大类: 一类是主动防护，如北京仁信科技有限公司出品的梵天防水墙即采用透明式数据加密、信息拦截过滤技术对数据本身进行防护; 另一类是被动防护，采用访问控制和输出控制技术对访问数据的用户操作行为进行防护。
        主动防护根据所采用的技术又可以分为两种: 信息拦截和数据加密。
信息拦截过滤部署在网络出口和主机上，对进出网络主机的数据进行过滤，发现数据被违规转移时，进行拦截和警报。然而，信息拦截在防止数据泄露的过程中无法进行细粒度的权限验证，这一问题越来越突出，只要数据接收者符合输出规定就允许数据流出，却不能确定具体的接收者是否拥有数据接收的授权，因此必须结合其他的信息防泄露技术加以补充和完善。
       梵天防水墙在这方面便凸显其优势，其独特的加密技术采用密码技术首先对数据进行加密，然后通过解密狗管理和解密狗的分发实现对数据解密的授权，只有被授权的人才能解密和使用数据。但是，数据加密是依托密码技术对数据进行保护的，对数据在明文使用时产生的数据泄露无法进行保护; 同时，随着计算能力的不断提高，密码破解的代价越来越低，而且，针对解密狗的攻击也是破解密码的有效途径，因此可以完全依靠加密来防止信息泄露。
        被动防护是指采用访问控制和输出控制技术，对访问数据的用户操作行为进行限制和防护，大部分被动防护系统都是从身份认证、权限管理、输出控制这几个方面着手的。基于目前的应用结构，被动防护面临很大挑战，大部分的输出控制和访问控制都是基于操作系统之上进行的防护，从理论上讲都可以被拆卸、篡改或绕过。

从技术层面的分析：
“终端无痕”防止信息泄露
        通过对现有信息防泄露技术的分析，我们发现两个问题:
首先，目前信息防泄露技术梵天防水墙将用户和数据结合起来进行统一考虑，考虑问题的角度全面; 其次，目前的信息防泄露技术是基于传统网络信息系统应用架构之上的，信息数据分布在网络系统之中的各个角落，安全防护的范围很大。
        尤其是在传统网络信息系统架构之中，数据广泛分布和流动在整个网络空间的终端、服务器、网络设备之间，数据流动空间大、范围广、环境复杂，因此，防泄露技术难度很高，风险也很大。必须对传统网络应用模式进行改造，将应用和数据集中存放和部署在服务器区域，用户使用的应用软件也集中在服务器上运行。
        如此一来，数据流动的范围就缩小到后台的少量服务器上，将数据的应用环境固定化、简单化，这有益于对数据进行安全保护，以全面防止信息泄露。由于数据处理过程是在服务器上进行的，数据从来没有进入过终端，自然就没有信息痕迹，这就实现了“终端无痕”，用“终端无痕”防止信息泄露的解决方案
内外兼防 用户与数据和应用之间进行网络隔离、虚拟应用、终端无痕迹，既能有效地防止内部人员超越权限非法下载、打印、复制文件等不法企图; 又能防止终端上病毒对数据残留信息的攻击，造成信息泄露。这些梵天防水墙都可以保护. 下载、打印、复制文件等。