作者: 信宏四季    

     现在的企业对自身的数据安全越来越重视，都在选择安全产品防止企业数据的泄露。

     防止信息的泄露是一个系统管理，而不能靠哪一样功能来杜绝所有问题。那么如何构建企业的安全环境呢？

1 构建安全局域网环境目的

  防止企业的信息泄露(即DLP)是主要的原因, 这个关键点是构建网络环境和选择安全产品的唯一依据.

2 影响信息安全的因素

2.1 数据通过网络泄露出去

2.2 数据通过存储设备泄露出去

    其实数据泄露无外乎上面两种主要的方式

3 解决方案

  构建安全的局域网环境，防止信息的泄露，SecEInfo提出如下信息安全解决方案：

3.1  边界安全管理

     边界安全管理至关重要，它是受控网络与非受控网络的安全门户。

     企业网络边界一般分为两类：企业网络与Internet的边界；企业办公网与企业服务器区的边界。

     边界安全管理需要使用边界安全设备，边界安全设备主要有两类：防火墙和上网行为管理。

     防火墙：保护局域网与Internet的网络通信；保护服务器区与办公区的网络通信。

     上网行为管理：保护局域网与Internet的网络通信。

3.2  局域网准入管理

     对局域网的网络设备有效管理，防止外来的网络设备接入局域网，特别是使用服务器(如SAN存储)来管理资料的网络,更需要这方面的安全管理。

3.3  局域网准出管理

     对局域网中网络设备有效管理，防止内部的网络设备绕过安全保护接入非安全网络(如Internet).

     牢记一点: 局域网内任何一台计算机都可以当作一台路由器或者交换机。

3.4  本地文档加密管理

     对本地文档必须加密存储。

4 使用的技术

4.1 局域网准入管理

    SecEInfo的网络域功能能够有效管理网络准入管理，其使用了独创的三层网络安全协议技术，稳定、可靠和安全，支持Windows/Linux操作系统.

4.2 局域网准入管理

    SecEInfo的网络域功能能够有效管理网络准入管理，其使用了独创的三层网络安全协议技术，稳定、可靠和安全，支持Windows/Linux操作系统.

4.3 本地文档加密管理

    SecEInfo通过本地数据存储加密，外带数据加密，外发数据审核提供了一套有效的管理机制，有效保证数据安全。

    SecEInfo结合了单文档透明加密技术和磁盘透明加密技术，对存储设备划分三类：安全区，交换区和普通区。

    安全区：所有的办公文件都保存在该区，数据存储是加密的。该区可以使用真实的磁盘，也可以使用虚拟的磁盘。

    交换区：办公文件保存到该区后，会自动地文档加密；而非办公文件保存到该区后，不做任何加密处理。该区的加密的文档可以通过普通移动设备来交互数据。该区可以存在任何的磁盘中，包括系统盘。

    普通区：私有文档或者一般的参考文档，不加密该文档数据。

5 如何选择安全产品

  构建本地安全局域网网络，要从边界安全产品和具有3.2/3.3/3.4中的功能内网安全产品来选择。

  但是我们也看到，现在的安全产品功能五花八门，种类繁多，但是否都真的有意义呢，如何知道功能是否有作用呢？如此混乱不堪安全产品市场，为企业选择合适的安全产品带来很大的困难。

  这里给出几点建议，在选择安全产品的时候，多从下面角度考虑和问几个为什么，有助于您选择优质的产品。

  首先：牢记一点：安全产品目的是为了防止信息泄露。

  第二：产品的功能是否有助于防止信息泄露。

  第三：如第二条成立，则是否很容易绕过，即门槛太低，需要要技术性的操作就可以绕过。

  下面，我只出几个很简单的方法，没有太多技术含量的方式，看看是否能够绕过安全产品的保护：

5.1  安装虚拟机

     虚拟机的安装如此简单，那么在虚拟机里装上其他操作系统也不是困难的事情。

     如果主机安装了安全管理系统，但是对虚拟机里面的系统操作却无能为力，那这款产品不是太好的。

     因此，这也是我极力推荐不要把“上网行为管理”等放到终端的原因，漏洞太多，无法防止信息的泄露。

5.2  操作系统安全模式

     操作系统的安全模式也是漏洞之一。很多安全产品都是在注册表中把安全模式的项删除掉。

     不说这种方式很容易破解，单说如果安装了软件造成系统不能启动，如何解决系统启动问题呢？怕是只有重新安装操作系统了。   

5.3  安装第二操作系统

     安装第二操作系统，无论是Windows还是linux都可以。

     注意：现在Linux操作系统可以自由操作Windows操作系统下的文件系统，如果安装了Linux可以发现，已经安装的Windows下的磁盘都一览无遗出现在Linux操作系统中。

     如果安装了第二操作系统，但是对第二操作系统中读取文档等无法控制，那么这款产品不是太好的。

     因此，这也是我极力推荐本地数据要加密管理，否则从第二操作系统很容易的把数据拿走。

5.4  外来计算机安装有Web/Mail等服务器

     非企业的笔记本计算机安装了Web等服务，甚至第三方服务程序。

     如果外来计算机装有服务，但是安全产品确对网络通信协议无能为力，那么这款产品不是太好的。

     这也是我极力推荐网络要有准入和准出管理机制，否则数据很容易泄露。

5.5 使用网线直接连接“已安装了安全产品的计算机”和 “未安装产品的外来计算机”

    此时，察看是否能够通信，是否记录了有效的信息，是否对第三方的文件传输协议有有效的管理作用等等；更要考虑离线和在线的情况下策略是否都会发挥效果。

5.6 磁盘还原技术 

    断开安全产品与服务器的连接(如拔掉网线，或者直链计算机等)，启动磁盘还原系统，然后为所欲为。最后关闭磁盘还原，重新启动计算机，重新连接安全产品的服务器。

    按照上面步骤，哦，你的操作痕迹已经当然无存了。此时，安全产品更应进行有效的控制，如果没有，那么这款产品不是太好的。

     以上都是非技术手段来验证产品的安全性,如果使用技术手段那更是很多,这里就不在多多列举.

     SecEInfo(安极)系统具有先进的网络准入/网络准出/文档加密管理/身份认证等功能,能有效抵御上述任何的操作的攻击，为企业提供系统化的信息安全解决方案,为您的事业保驾护航.