共话数据安全 当前保障能否滴水不漏？

　数据安全所涵盖的范畴要十分广泛，数据安全所衍生出的问题也是难以估量的。以近期发生的安全事件为例，携程宕机事件就是典型代表。无论归因于错误操作还是系统漏洞，数据丢失对互联网企业产生的影响都是相当致命的。另外，网易邮箱泄露事件所衍生出的撞库可能更是让数据安全威胁不容小觑。

 

共话数据安全 当前防护能否滴水不漏？

 

　　数据安全威胁与防护措施浅析

 

　　综合来讲，数据安全分为数据传输安全和数据存储安全，在网络数据交互激增、虚拟化、资源云化的大背景下，如何保证数据安全在传输、存储中保证机密性已经成为业界广泛探讨的问题。本期@安全圈将结合当前主流安全厂商观点，从不同方向深度解析当前的数据安全防护架构。

 

　　从技术角度分析，数据完整性、保密性、数据防篡改性是数据安全关注的几个主要领域，数据灾备、防止黑客攻击、防止违规操作是主的企业内部应对措施。当前用户痛点主要围绕数据防泄漏和访问控制两个方向。部署安全软件和客户终端软件依然是保障数据安全的基本手段。数据传输加密技术、数据存储加密技术、数据完整性的鉴别技术和密钥管理技术作为核心保护机制发挥着重要作用。

 

    虚拟化趋势和事件响应引发的数据安全反思

 

    加密技术本身所确保的数据安全一定程度上保证了数据交互中的安全性，从外围来看，地下产业链对与数据价值本身的探索要更有针对性，0day漏洞和基于DDOS的勒索事件依然是黑产针对互联网企业的主要手段，虚拟化和云计算为安全行业带来的影响是十分广泛的，我们很难看到新兴市场快速崛起，但是基于虚拟化技术和云平台的产品正在以爆炸式增长，而与之配套的安全服务显然并不健全。

 

    对于企业自身而言，需要考虑的是局域网内部信息存储、传输的保密性问题，尽管国内众多机构都在不断改进加密算法，但是从安全角度而言，抛开加密技术仍然存在各种安全威胁，因此，就数据安全而言这是一个泛安全问题，而非单一技术所能解决的问题。

 

　　自亚信安全成立，虚拟化和云安全市场在国内的发展得到了进一步深化。数据安全的核心防护机制在亚信安全看来并没有超脱原有的安全架构。

 

亚信安全：多层次的数据安全观

▲亚信安全产品总监白日

 

　　基于原有的三大战略(云和虚拟化战略、APT治理战略、移动终端战略)，亚信安全对数据安全本身有更深入的理解。亚信安全产品总监白日指出，安全防护已经从IT基础架构向云主机迁移，黑客已经不再采取大规模攻击，转而瞄准企业数据仅供，如何保重昂企业数据在不同场合被安全使用，虚拟化安全和云安全势在必行。由此分析，云端的数据安全、有针对性的攻击防护、移动终端的数据安全将是亚信所关注的三个切入点。

 

　　传统企业互联网化进程与并不完善的数据防护机制

 

　　众所周知，互联网企业要更加依赖信息交互，也正因如此互联网企业对信息安全的投入力度更大。以近期发生的主要攻击事件为例，12306数据泄露以及网易邮箱数据泄露事件为例，其攻击手段都是非常时下非常流行的撞库攻击。2015黑色地下产业链报告支持，类似信息被利用和相应的攻击事件时有明确的动因存在的。政府的监管力度再次方面亟待加强。

 

　　白日在接受采访时指出，安全发展到今天没有任何一个解决方案是完整的，因此多层次的安全防护是解决数据安全问题的前提。任何一个防火墙设备或者单一的加密手段都不足以解决整体安全问题。亚信安全倾向于通过梳理形成成熟的安全解决方案，根据可以对安全点的需求和把控进行定制化管理。传统的安全设备所提供的只能是看似安全的数据管道。通过部署在终端的防病毒软件和桌面系统，亚信安全会针对攻击进行行为取证和分析，检测黑客的横向移动和内部违规行为。从这一角度来看，针对场景从各个层次解决安全问题可谓是虚拟化安全厂商的拿手好戏。

 

　　数据安全痛点分析

 

　　对于企业用户而言，数据的产生和应用是必然的，数据的不安全因素在于扩散过程和第三方使用价值。因此如何管理数据实现数据的可控性是解决数据安全的关键问题。根据企业数据分布的节点有的放矢的进一步处理。就当前防护措施而言，DLP很难落地的一个问题在于规则难于梳理，规则的制定是阻碍技术发展的重要问题之一。企业安全运维人员需要结局的的首要问题是针对数据本身的分级处理。

 

　　在网络边界日渐模糊的今天，传统安全体系已经不能解决安全问题。白日表示，今年5月份各个已经取消内外网分别，采用了强制认证的方式保证传输过程中的强加密，以此来满足跨部门数据权限认证要求。国内企业复制这一模式尚需时日，单一般企业可以采用智能主动防护手段来解决安全问题。

 

　　移动终端的数据传输是BYOD带给众多企业用户的困扰，亚信安全在此方面通过虚拟手机的方式解决数据安全问题。通过面向企业APP生产制作、管理、扫描等一系列措施，保证企业数据和个人数据分离。在传输方面通过图形数据传输而非数据形式传输，进一步保证企业数据私密性。

 

　　作为传统加密厂商，信安世纪强调了数字正是、数字签名、应用安全网关的的安全防护能力。信安世纪助理副总裁岳向前认为，加密技术提供了强度很高的数据安全防护能力，可以满足数据安全的强度要求。其中问题在于，在有很多应用的场景中，全面的使用这些技术存在一定困难。可能会带来业务上的困难或客户体验的下降以及成本上升。互联网企业强调要降低客户初次使用的难度、基于业务的逐级提升安全强度、利用大数据技术对用户的身份安全和数据安全进行评估并利用评估的风险值来判断业务是否继续或者增加安全手段。这些方法降低了客户进入成本，而且通过逐步升级的方式降低了客户接受的难度。因此，数字签名、应用安全网关等产品的应用，目前的问题不在是否满足安全要求，而是能否在不影响客户体验的情况下对安全提供增强。在这个方面，信安世纪已经拥有一定研究成果，可以适用于互联网企业的应用场景。

 

　　岳向前还给出了数据真实性的定义-即数据的提供者的身份需要确保真实，且所提供的数据具有防伪造的能力。而且数据的真实性需要提供审计能力，即在将来的某个时间，还可以再次对数据进行提供者身份和数据防伪的验证。

 

　　从数据分析角度而言，互联网企业和传统企业的数据的来源不同，数据的容量不同，但是对数据本身的防护需求基本是一致的。不过基于大数据技术的应用，互联网企业对数据的真实性会有一个评估，会对一些不一定可靠的数据进行利用，产生的结果也带有一定的概率性。而传统企业则大多使用绝对真实的数据，其处理过程也一般部考虑概率性结果。

 

　　在解决终端数据传输方面，信安世纪将数据加密的环节提前。从终端设备开始进行加密，实现终端设备到服务端之间的数据安全传输，是应用很成熟的架构。但是这种架构对于目前很多针对终端设备本身的攻击是无能为力的。因此，使用独立于终端的安全设备，在安全设备上完成数据加密之后再通过终端传输到服务端，可以防范针对终端设备的攻击。例如金融IC卡的互联网应用，通过信安世纪研究的金融IC卡机具，IC卡交易数据在传输到手机终端之前就已经是加密信息，而且在IC卡读卡机具-手机终端-互联网-业务服务器-金融IC卡互联网安全网关整个传输路径上都是加密传输，杜绝了在各个节点上的泄密与攻击问题。

 

　　安华金和在最初公司在2009年创办时，创始团队就是以数据库加密技术上的产品实现作为目标，那时激励创始团队的一句话就是“数据库加密是数据库安全上面王冠上的明珠。”数据库保险箱成为安华金和的第一款产品，并在该技术领域拥有数据库密文索引国家技术专利和数据库透明加解密技术专利。这是安华金和一个以技术为核心竞争力的企业根基性的产品开创。安华金和创始人刘晓韬这样阐述数据安全与安华金和的情缘。

 

数据安全专家安华金和：事实胜于雄辩

▲安华金和CEO刘晓韬

 

　　传统企业互联网化带来的技术更迭

 

　　从需求来源说，以政府和央企为代表的传统市场，首先，其需求是合规性需求，主要满足于等保和分保需求;银行、电信、能源等大型行业有自己更严格的安全规范，也是相关企业需要遵循的;其次，随着政府信息重要性的提升，也面临着以牟利为目的进行的信息篡改、内部信息倒卖等威胁;最后，是国家要害部门面临的外部间谍机构的攻击，这些人主要以收买内部人员为主。

 

　　而对于互联网企业在网络安全法未正式颁布前，需求的来源主要是业务和数据安全的需求，需要防止由于攻击造成的系统不能正常运行、以牟利为目的进行的信息篡改、以信息交易为目的进行的信息泄密。

 

　　从总体上来看，国家政府部门和央企在信息安全上的投入度更大，普及率更高，政府与央企的安全体系建设与外部安全企业的联系非常紧密;而互联网企业主要是有一定规模的企业目前比较重视，以及一些新兴的与金融密切相关的企业比较重视，而以BAT为代表的大型互联网企业的安全以自建为主，而中型互联网企业对第三方安全企业的依赖度还高些，但下一步这些中小互联网企业上云的趋势将很明显，他们将使公有云用户中的先行者，他们的安全也将更多地依赖大型云平台提供商的安全基础设施。

 

　　数据安全需求的变化

 

　　数字证书主要是对身份的证明，数字签名主要是防抵赖。而应用网关这里应该是指应用层网关也就是应用层防火墙，应用层防火墙作用也是对外屏蔽内部应用，作为一个转发代理在其中来评估是否有安全风险以决定阻止或放行;最典型的应用层防火墙就是web防火墙和数据库防火墙，但从总体上来看应用防火墙依然是传统边界防护概念。因为从前用户更加注重边界防护，强调对外部人员的防护。但是现在的实际情况是不光有外部人员的攻击，也有内部人员与外部人员的内外沟通，就是我们所说的堡垒从内部被攻破。 以上这些这些概念无法防备内部人员信息泄露，无法防备攻击者进行的复杂APT攻击。因此用户才逐渐产生对核心数据进行塔式防守的认知转化，打破边界防御体系。

 

　　事实是最具有发言权的，事实上很多发生安全事故的企业都已经使用了数字证书、数字签名和网络防火墙等安全产品，但信息泄露事件依然频繁爆发。这也是为什么当前安全市场，用户对数据库审计、数据库防火墙这类技术产品有明确的需求原因。

 

　　传统防火墙设备与未来的态势感知分析

 

　　防火墙设备已经是安全的基础设施，事实上很多网络设备已经内置防火墙功能，不能说防火墙没有用，但仅靠防火墙是不可能保证用户数据安全的，这已经是不争的事实。

 

　　防护技术和攻击技术都是动态发展的，相互促进的;安全态势感知也是这些年在安全领域提出的新概念，这种新概念的引入会促进安全技术的提升，但不可能是一劳永逸的，没有什么技术和产品能够完全解决安全问题;现在很多厂商都在搞安全态势感知，最直观的就是在很多展台都可以看到一张中国或世界地图，展现哪些地方遭受的攻击最多，这些攻击都来自于什么地方，攻击都采用什么技术，这似乎成为了一种潮流;但我们可以看到世界和中国的安全事件，并没有随着态势感知就减少了，安全问题就减少了，就好比我们有了卫星和雷达技术，知道了对方的战力部署，但并不意味着我们可以抵抗打击了，我们就安全了，至多可以说，我们更清楚了该防御的重点。

 

　　内网安全和数据传输安全的痛点

 

　　内网安全是一个难题，主要防护的对象不是外部的黑客和攻击人员了;而是内部的工作人员、第三方的开发人员、第三方的运维人员，这些人或者处于个人的利益，或者是被利用或被作为跳板，造成了内部系统被攻击，内部信息被窃取。

 

　　防内比防外更困难，内部人员一方面要让他们工作，要提升工作效率，另一方面要管理要防控，这两者之间本身就是矛盾;同时内部人员对于设备和数据接触的渠道要远高于外部攻击人员，需要防护的点要更为多样。

 

　　当前对内的防护，一般会考虑采用堡垒机这样的产品，通过这样的产品，可以将运维人员对数据和设备的接触固定到一些集中的机器上。

 

　　对于开发和测试人的防护，一般会考虑让生产系统与测试和开发系统的分立;考虑一些脱敏的产品，使开发和测试中的数据为扰乱后的数据。对于网络和数据维护人员还要考虑采用一些加密的产品，防止存储层的泄露。一些高端的数据库防火墙产品也不仅能够防止外部黑客入侵，也可以实现对数据库内信息的细粒度保护。

 

　　当然审计的手段是不可缺的，为了保持工作的效率不可能所有的工作行为都给控制起来，重要的是在发生了安全事件后可追溯，起到一种震慑作用。

 

　　从边界防护扩展到到全面数据安全防护

 

　　网络边界日渐模糊是互联网化，数据共享加剧，信息沟通加剧的必然;即使在一些严格边界隔离要求的场景，也会因为信息的共享与交流而打折扣。

 

　　传统边界隔离的思想依然有它的价值，但受到的挑战也将越来越大，越来越多的场景无法完全用隔离的方法进行处理。

 

　　未来的安全解决方案一定是全面的数据防护方案，综合性的数据防护方案;传统的以网络安全起家而发展起来的网络安全厂商也正在纠结地拥抱这个变化，一方面依然在强调边界安全的重要性，另一方面也在逐渐在引入和推出自己的数据安全、桌面安全及应用安全产品;更重要的是许多新兴的安全厂商在这些领域都取得了卓然不菲的成就，更坦然、更彻底地拥抱这种变化，安华金和作为这些新兴厂商中的一员，在自己专业的领域里，将数据库加密产品、数据库防火墙产品、二代数据库监控与审计产品推向市场，为用户提供核心数据防护价值体验。

 

　　数据加密技术核心防护机制

 

　　数据加密技术长期以来，一直被认为是重要的技术，也被认为是一种从根源上解决安全问题的技术。过去，数据加密技术更为普及的领域是传输加密，因为这一块的独立性和透明性更高，使用的成本代价更低;随着非对称加密算法的引进，在数字认证和数字签名领域也得到了广泛的应用。

 

　　而与数据库、文件等领域的加密技术的普及在过去的这些年十分有限，因为大家在心里有一种天生的恐惧，担心数据加密后谁还能还原回去;同时数据库与文件的加密，往往又与应用系统的改造、检索的性能密切相关，因此在非安全需求很高的单位或场景，用户更愿意采用一些网络类的解决方案来保障安全。

 

　　随着云平台技术的普及，这一状况很大程度上可能将会改变，数据不再存储于自己的机房，而是第三方，这使得用户对于通过加密技术实现、数据保护的愿望更加强烈。

 

　　数据加密技术普及和改善的核心，并非像我们从直觉上感觉的是算法，密钥等问题;更关键的是与数据库、应用系统的结合，如何做到透明、如何保证检索的效率，而这些目标都不是通过提升算法的效率或算法的易用性能够达到的。

 

　　Q. 互联网企业以及传统企业对于数据安全防护的主要需求是什么?

 

　　A:　互联网企业和传统企业对于数据安全都存在的需求主要是以下几点：.数据容灾防丢的需求，主要是数据灾备，特别是针对元数据存储，结构化数据库的同城，异地灾备是当前的主要需求。.敏感数据保护的需求，目前采用的主要方式是加密，包括存储加密，传输加密等等。机密数据内控的需求，当前企业内部流转的部分信息是非常机密的，重要信息控制流转范围是企业普遍的安全需求点。数据安全边界防护的需求，在企业的生产数据中心，边界防护和管制是防御黑客攻击或内部偷窃的主要手段。数据操作审计的需求，针对重要数据的操作，事后审计和追责也是重要管理方式，目前的审计需求也越来越广泛，成为合规的重要点。

 

　　Q. 数字证书、数字签名、应用安全网关等能否满足当前的数据安全需求?

 

　　A:随着云计算的普及，以云为中心的数据计算能力成为互联网的核心基础设施，我们未来的大部分工作都将基于云来完成，而在这个背后，数据会在一个开放的平台中有限的被使用，而数据安全不再可能完全由传统的安全手段来解决。

 

　　不管是数字证书还是数字签名，其都只能是数据安全防护体系中的一环，而不是全部。应用安全网关在数据安全边界控制方面是重要的管控手段，但同样的原理，数据安全攻防是一个体系，并非单一的或者某几个产品能完成数据安全的整体防护。

 

　　Q. 防火墙设备以及安全感知系统等防火措施能否保证用户数据安全?

 

　　A:不管是传统防火墙还是NGFW，都是在网络边界上对数据安全进行控制，而那些不经过网络边界的数据流动是无法做到有效检测和防护的，更何况安全的攻防对抗是持续升级的，传统的安全设备是一个一个的安全孤岛，其整体防护能力是有限的，目前的安全攻击向复杂化，组织化演变，一个安全孤岛很难应对变化中的各种新型攻击。

 

　　而安全感知系统，比如目前的态势感知，威胁情报等新型安全理念，尚未经过实战的考验，是否能真的感知所有威胁，提前预判风险还需时间来检验。

 

　　Q: 对于企业用户来说，内网安全和数据传输安全的痛点在哪里?数据安全解决方案供应商如何解决这些问题?

 

　　A:企业目前在内部数据安全的主要痛点还在于业务与互联网高度接轨，数据泄露的渠道非常多，高度的移动化办公，传统的内网边界早被打破，所以需要不再完全依托边界控制的安全解决方案是当前的主要痛点。针对这种没有固定防护卡口的企业安全需求，数据安全厂商需要更多加强端点的风险检测能力，与云端的威胁分析和处理系统进行联动，将企业的整体安全态势掌握，才能做到全面的处理企业的数据安全问题。

 

　　Q: 网络边界日渐模糊的今天，安全厂商如何从边界防护扩展到到全面数据安全防护?

 

　　A:如我上面说的，加强端点检测能力，不管是移动终端还是PC终端，或是新型的IOT终端，同时在主要边界上有感知能力，协同云端做全面的威胁分析和处理，未来企业的安全边界无处不在，打个比方，美军在全球都有军事部署，同时在全球可能发生数十场小规模战斗，但美军的指挥中枢只有一个，这个中枢汇集和处理的就是所有战场数据,哪些要直接介入指挥，哪些要加强力量投放，都能在数据上直接分析得出结论。未来的安全体系就是这样的体系，安全的防护薄弱点在哪，安全的主要风险都应该在云端的威胁分析系统中能得出。而安全负责人更多只是依托风险感知的数据做安全决策。

 

　　Q: 数据加密技术作为保证数据安全的重要手段有哪些改进，核心防护机制是什么?

 

　　A:数据加密的技术上是比较成熟的，目前的提升主要还在于加密的复杂度和性能上，其核心防护机制还在于加密的算法复杂性，和破解的成本，目前来说除非计算能力有突破性的进步，比如量子计算的应用，数据加密作为数据的基本安全防护措施还是满足条件的。

 

　　Q: 如何在保证数据传输安全的同时解决终端设备数据传输安全问题?

 

　　A：数据安全传输的主要解决方案还在于加密传输，目前通用的方案主要是SSL，或者自定义加密协议，关注通用性的话用SSL是比较好的方案，如果自研终端也可以采用更强加密的自定义协议来传输数据。

 

　　受访人：书生集团董事长王东临

 

书生云安全：无缝加密的数据安全观

 

　　1.互联网企业以及传统企业对于数据安全防护的主要需求是什么?

 

　　A.数据可靠性，不会因为硬件故障或灾难发生等原因造成数据丢失

 

　　B.数据防泄密，防止外部恶意攻击者偷走企业数据，要充当好网络安全、系统安全失效时的最后一道防护盾，而且要做到绝对安全坚不可摧

 

　　C.数据防内贼，防止内部工作人员尤其是网管、秘书等基层人员接触到涉密数据

 

　　D.数据防二次传播，防止有权限的人有意或者无意将涉密数据传播给不应接触到该信息的外部或内部人员

 

　　E.权限管理易用，不要用繁复的操作来设置权限，最好是能自动化完成绝大部分的权限设置，只有个别例外才人工处理

 

　　F.权限管理易维护，当出现员工离职、调岗、升职、部门合并分拆重组等情形时，如果都需要人工修改权限则很容易出现错漏或不及时的问题

 

　　G.防止数据误删误改，例如员工离职前的有意破坏，或有修改权限的员工的误操作

 

　　3. 防火墙设备以及安全感知系统等防火措施能否保证用户数据安全?

 

　　这些都是网络安全措施。所有网络安全和系统安全措施都有一个共同特点，就是无法保证绝对安全，无论安全防护措施多么完善网管多么敬业，总是有可能被外部恶意攻击者侵入。360CTO谭晓生在一次会议上公开说过，360也不能把所有网络安全和系统安全措施做足，就算做足了也无法保证不被侵入。因此，希望通过网络安全和系统安全措施来保证用户数据安全只能是拼概率，指望自己的数据不够值钱不值得动用高能黑客入侵。另外， 数字证书、数字签名、应用安全网关只是很粗浅的安全措施，要满足以上任何一条需求都是远远不够的。

 

　　4. 对于企业用户来说，内网安全和数据传输安全的痛点在哪里?数据安全解决方案供应商如何解决这些问题?

 

　　既要防外贼，也要防家贼，也要在网络安全和系统安全被攻破的情况下保证数据安全。也就是说，要在网络不安全、系统不安全、人员不安全的情况下保证数据安全，要将安全所依赖的系统和人员数量降低到极致，最好是降到零。数据安全解决方案供应商是通过全程无缝加密和可靠的密钥管理系统来解决这些问题的。

 

　　5. 网络边界日渐模糊的今天，安全厂商如何从边界防护扩展到到全面数据安全防护?

 

　　边界防护和数据安全防护是不同的领域不同的专业领域，一家公司不太可能二者都做得很专业。通常情况下应该是用户选择不同类型的安全厂商来实现这一点，而不是同一家公司扩展安全防护能力。

 

　　6. 数据加密技术作为保证数据安全的重要手段有哪些改进，核心防护机制是什么?

 

　　加密算法本身在缓慢演变中，最原始落后的非对称算法的RSA、对称算法的DES和Hash算法的MD5到现在还没有被淘汰(但书生强烈建议所有用户尽可能放弃这几个算法)，演变速度慢是因为一个新的加密算法需要较长时间的理论和实践检验才能得到公认。随着破解计算机的能力提高密钥长度也在逐渐加长，例如RSA的密钥长度从48位提高到了4096位但仍然不够安全。不过总体说来，在关键因素还不是加密算法，而是密钥管理体系，这才是数据安全防护最核心的机制。

 

　　受访人飞天诚信云平台事业部总经理：陈达

 

飞天诚信布局数据安全云平台

▲

 

　　1. 互联网企业以及传统企业对于数据安全防护的主要需求是什么?

 

　　当今社会是一个信息化社会，互联网企业不断飞速发展，传统企业也逐渐向“互联网+”方向转型。互联网、云计算及大数据的普及使数据成为企业的重要资产，数据的传输与保存都依赖于网络，企业在享受网络带来的便利与利益的同时，也引来犯罪分子对网络数据价值的觊觎，企业数据安全面临更多来自网络的威胁。从传统的病毒、蠕虫、木马攻击到新型的网站钓鱼、DOS攻击、APT攻击等，黑客的攻击手段变幻多端，且愈演愈烈。

 

　　频发的信息泄露事件使企业对当前数据保护状态的担忧、无法确定内部防护措施是否能够有效发挥作用，同时，对实时与维护防护措施的投入往往要消耗很大的资源，却收效甚微，甚至给正常的工作带来不便。一种专业的数据安全防护解决方案成为当前企业的迫切需求。飞天诚信的云安全平台-“飞云”可以根据企业需求为企业制定最佳的安全防护方案和技术支持。

 

　　“飞云”是国内信息安全行业最早从事云安全事业的先行者，团队成员均多年从事银行业信息安全相关产品的开发。“飞云”依托公司多年的技术积累和质量体系，致力于为互联网企业提供多因素身份认证、软件云授权及软件安全保护等专业的便捷的安全服务。

 

　　2. 数字证书、数字签名、 应用安全网关等能否满足当前的数据安全需求?

 

　　数字证书本身也是一种数字身份，还是存在被复制的危险。目前数字证书多使用USB Key存储，所有密钥运算由USB Key实现，用户密钥不在计算机内存出现也不在网络中传播，只有USB Key的持有人才能够对数字证书进行操作，保证了数据传输的安全，数字签名作为一种身份认证手段目前被普遍使用，可以提高用户身份认证安全性。应用安全网关可有效的过滤进出企业的流量, 同时间预防入侵行为, 过滤网络威胁, 查杀病毒, 管理员工网络与应用的使用, 使远程员工通过安全加密的管道连回内部，保护内部网络系统安全。

 

　　但数字证书、数字签名、应用安全网关只是众多数据安全保护手段之一，任何一种技术单独作用都无法满足数据安全需求，数据的安全保护需要在内网和外网间的边界防护、对核心内部服务器的边界防护、防止不安全的在线非法外联、主机安全保护、木马病毒的查杀和检测能力、系统自身安全防护、移动存储介质控制等方面采取合理的防护措施，如：防火墙技术、防病毒网关、终端防护系统、网闸技术、桌面木马与病毒查杀技术、身份认证技术等等。只有将多重安全手段相结合，才能更有效的保护数据安全。对于网络、服务器、VPN、应用系统等来说，所有通道的身份认证安全有效是非常重要的，如果访问入口的身份认证被打破，那数据安全就无从谈起。

 

　　网络数据没有绝对的安全可言，我们都只能怀着绝对的安全意识，不断改进防护手段，提高数据安全性。

 

　　5. 网络边界日渐模糊的今天，安全厂商如何从边界防护扩展到到全面数据安全防护?

 

　　信息技术引导的新时代，信息安全领域发生了重要的变化，首先是社会对数据隐私的重视程度明显提升;其次是多样化的黑客数据入侵、获取、监控技术的泛滥发展，使我们原本要防护的网络边界逐渐变得模糊，现在单一的防护技术已经逐渐无法满足网络信息安全需求。当前知识经济时代，企业的无形资产如技术、版权、商业机密、客户数据等内容，大的部分都是以数据文件的形态存储在信息系统中，网络安全防护逐渐从传统的网络边界防护迈向数据安全防护。

 

　　随着攻击手段的日益复杂化，数据安全防护也面临着诸多的挑战。数据资产的动态性和数据威胁的多样性导致不可能采用简单的安全手段来控制数据的外泄，全面数据安全防护需要依靠技术和管理，专业的安全防护方案和完善安全管理体系都是必不可少的。

 

　　首先，需要选择并实施专业的安全防护方案。国内安全行业领导品牌飞天诚信旗下云安全团队“飞云”一直致力信息安全防护，结合动态密码技术、生物识别技术，加密技术等信息安全保护技术为企业数据安全防护制定了多种安全防护方案，集成方便，管理简单且有专业技术支持。其次是企业数据安全管理方案的制定及后续的严格执行也是必不可少。例如数据资产分类管理、关键业务和核心数据独立存储、定期检查可能的数据泄露渠道、人员安全意识培养以及数据安全管理方案的持续的改进等。 技术的不断发展导致全面的数据安全防护不可能一劳永逸，无论企业还是安全厂商都只能在不断的实践与总结中不断完善。

 

　　受访人：东软网络安全事业部产品总监 杜强

 

　　Q:互联网企业以及传统企业对于数据安全防护的主要需求是什么?

 

　　A:如今，传统企业纷纷尝试基于互联网搭建在线的业务系统，进而推动业务的创新和发展。与此同时，计算机网络的开放互联却导致了业务系统容易遭受非法授权用户的攻击，引发敏感数据泄露。这使得企业数据安全防护的紧迫性和意义变得更加重要。通常来讲，数据安全防护的目标就是要确保数据的可用性、完整性和保密性，防止数据在存储和传输过程中出现增加、修改、丢失和泄露等异常情况。在数据存储过程中，主要通过现代信息存储手段实现安全备份、异地容灾等安全防护;在数据传输过程中，主要通过现代密码算法实现数据加密、数据完整性和身份认证等安全防护。

 

　　Q:数字证书、数字签名、应用安全网关等能否满足当前的数据安全需求?

 

　　A:数字签名基于“非对称密钥加解密”和“数字摘要“两项技术实现，可用于验证发送方身份，判断在传输过程中，数据是否被修改过，验证数据的完整性。但是，只有当密钥是真实可靠时，使用数字签名才是安全有效的。如果发送方的公钥是不可信的，那么仍然存在数据泄露的风险。为此，我们需要通过独立的证书权威机构(Certificate Authority, CA)统一对外发放可信公钥，即包含机构名称、签名信息和公钥在内的数字证书。由于安全形势日益复杂，传统单一功能的安全产品已经无法满足数据安全防护的需求，数据安全解决方案应当是一整套功能产品、以及综合安全防护措施的相互配合。应用安全网关就是各种数据安全防护技术的有机融合，具有从网络层到应用层全面的安全防护作用，能够更好地满足当前的数据安全防护需求。以东软推出的面向应用的高性能、智能化下一代集成安全网关NISG为例，它集防火墙、VPN、DoS/DDoS攻击防御、入侵防御、防病毒、防垃圾邮件、URL过滤、应用协议识别与控制等多项尖端安全技术于一身，可以为用户提供业界领先的一体化数据安全防护解决方案。

 

　　Q:.防火墙设备以及安全感知系统等防火措施能否保证用户数据安全?

 

　　A:防火墙设备通常作为第一道安全防护屏障，被部署在边界和入口位置，起到网络隔离和访问控制的作用。然而，用户的数据安全问题已经越来越多地产生于操作系统和应用程序的漏洞(如，缓冲区溢出、SQL注入等)，传统的防火墙设备在抵御此类攻击时，往往应对比较吃力。为了解决该问题，众多安全厂商纷纷推出了下一代应用防火墙产品，综合运用防火墙、VPN、入侵防御、防病毒、防垃圾邮件、应用控制等技术，增强应用层的数据安全防护能力。安全态势感知系统是在海量的网络数据中挖掘出有用的攻击信息，然后进行综合分析，预测网络安全的趋势。网络数据是态势感知的基础，没有这些数据，安全感知将无从谈起。同时，有了海量数据，计算资源也需要与之匹配，以便适应分析处理的需要，否则，安全感知系统的运转效率就会极大降低，无法适应防护需求。近年来，大数据、云计算的兴起使得海量数据的采集和计算成为了可能，更好地实现了安全态势感知、威胁预警等数据安全防护需求。

 

　　Q:对于企业用户来说，内网安全和数据传输安全的痛点在哪里?数据安全解决方案供应商如何解决这些问题?

 

　　A:虽然防火墙在边界防护上起到了较好的网络隔离和访问控制作用，但是已经难以满足用户网络全方位的数据安全防护需求。根据调查统计，企业和政府机构由于信息泄露所造成的损失已经超过黑客攻击所造成的损失。实际上，80%以上的安全威胁是来源于内网的。上网行为管理、终端接入监控、核心数据保护是内网安全需要着重解决的问题。上网行为管理系统是一种有效应对内网安全防护的产品。通过行为管控、应用控制、流量监控、终端接入控制、VPN等功能，上网行为管理系统可以防止内部员工进行与工作无关的上网行为，保障关键业务的带宽流量，防止信息泄露，保护数据传输安全。

 

　　Q:网络边界日渐模糊的今天，安全厂商如何从边界防护扩展到全面数据安全防护?

 

　　A:过去，企业用户的安全防护主要关注的是边界防御，将攻击威胁拦截于其进入企业网络之前。这样的防护思想固然重要，但是到了今天，云运算、移动设备，以及APT-高级持续性渗透攻击已经改变了网络边界的内涵，安全威胁的爆发点不再集中于企业网络的传统边界位置，边界安全防御设备(如，防火墙)也不再是数据安全解决方案的全部。为此，企业需要一种能够将安全防护从边界防护扩展到以数据为中心的全面安全防护解决方案。全面的数据安全防护应当聚焦于“内容”与“数据”本身的安全，可行的方案包括在访问控制、入侵防御的基础上，融合上网行为管理、安全态势感知和安全集中管理防护技术。其中，上网行为管理可以起到网络监管作用，杜绝滥用带宽资源，防止重要信息资产泄露;安全态势感知用于采集威胁信息，掌控数据使用状态，将安全防御可视化;而安全集中管理则可以在全局角度监管整个网络中的安全设备，实时监控设备运行状态，全网集中审计日志，统一更新规则，集中下发策略。

 

　　Q:数据加密技术作为保证数据安全的重要手段有哪些改进，核心防护机制是什么?

 

　　A:数据加密技术是保护数据传输和存储安全的重要手段，也是数据安全的核心。根据作用的不同，数据加密技术可划分为数据传输加密技术、数据存储加密技术、数据完整性鉴别技术和密钥管理技术。随着虚拟化、云计算的应用，以及智能移动终端的普及，面向虚拟化、云计算和移动终端的数据加密安全也开始纳入到了企业数据安全保护的范畴，开始出现智能动态加密以及加密与数据防泄漏(DLP)的融合趋势。

 

　　Q:如何在保证数据传输安全的同时解决终端设备数据传输安全问题?

 

　　A:随着越来越多的企业允许员工使用智能移动终端接入办公网络，企业数据安全管理方案也出现了较大改变，需要在保证智能移动终端安全接入的同时，保护业务系统和数据传输安全。一般来说，保护移动终端数据安全可以考虑对移动终端的接入进行认证，同时基于移动终端实施数据防泄漏(DLP)，通过数据传输隧道加密保护移动终端与业务系统之间的通信安全。通过上述防护功能的深度整合，可以充分保证终端设备的数据安全。