企业防范泄露措施

数据泄露事件常常让人防不胜防，意外操作或者非法攻击都有可能成为信息数据泄露的渠道，进而导致企业发生严重的直接经济损失，同时也会在社会公众形象、客户合作关系、品牌价值等多方面造成损害。所以，企业必须要依照自身实际情况，采取针对性的措施，做到有的放矢，彻底防范数据泄露事件发生。

1.合理部署解决方案

无论是杀毒工具、入侵检测、防火墙等传统安全系统，还是新兴的网络行为管理等系统，都已经通过事实证明，它们是不能防止数据泄露的。无论怎样严密监控企业网络端口，因为对数据本身没有进行安全处理，这就给数据泄密留下了很大的安全隐患，再高明的网络安全防范技术，都不能阻止企业内部人员各种有意、无意的泄密行为。那么，究竟该采取什么措施保护企业的重要数据不发生泄露呢？一种全新的保护方案就应运而生了，这就是数据泄露防护解决（DLP）方案。这种方案是通过一定的管理手段或技术，防范企业数据以各种形式泄露出去，从而实现更大范围的安全防护效果。

当然，要想在企业内网环境中合理部署好数据防泄露方案，也不是一件很简单的事情，因为在进行这种部署操作时，一定要认真考虑好该方案与已有安全方案的相互协作和共存问题，保证合理部署的防泄露方案不会影响其他安全措施。首先要从实际出发设计好总体策略。该策略要求企业先弄清楚哪些数据属于重点保护的内容，根据重要程度划出保护等级，确保防泄露方案在部署过程中有主有次，条理清晰；该策略必须制定好数据防泄露方案的实施效果评估指标，日后通过这些指标来界定方案的部署效果；该策略必须要评估出防泄露方案实施后，可能对企业的业务流程、员工的工作习惯和工作方式带来了哪些影响，以便确定对员工进行针对性培训，从而让员工不折不扣地遵守各种操作要求。其次要细化部署任务。为数据防泄露方案的部署实施配备工作人员，为每位人员设计好角色，并将工作任务细化到人，所有工作人员都是数据防泄露方案的设计、规划、实施以及执行主体。第三，按需选用数据防泄露产品。在企业内网环境中，根据特定位置的不同要求，有针对性选购基于网络的防泄露产品或基于主机的防泄露产品，确保每个产品高效安全工作。第四，规范数据防泄露方案的具体处理流程。为了让方案部署更加清晰明了，必须要明确方案以何种方式、何种步骤来进行，必须要明确什么位置由什么人来负责，更要明确设备、人员、物资怎么协作交流。第五，检测数据防泄露方案整体部署效果。根据数据防泄露产品类型的不同，选择不同的检测的细粒度和检测方式，来判断相关产品在监控和控制企业核心数据方面的效果，检测过程尽量要做到越严格越好，越细致越好。

值得注意的是，企业数据防泄露方案的部署不是一次性行为，它应该对应企业数据的产生、存储、使用、修改、流转和销毁等整个生命周期，在初次成功部署以后，还需要工作人员去管理和维护。所以，工作人员还要定期检验数据防泄露方案的执行效果，并依照检测结果来动态调整有关策略，确保该方案能达到更大范围的安全防护效果。

2.善用加密签名技术

数据泄露防护解决方案的部署与实施，难度大、要求高，中小企业使用该措施来预防数据泄露往往不太可行。目前，很多中小企业普遍认为数据加密技术，是预防数据泄露的最可靠、最有效的技术之一。正常来说，数据加密技术分为两种类型，一种是对文件和文件夹的加密保护，另外一种是对全盘数据进行加密。其中，前面一种加密类型可以保护特定文件和文件夹中的数据安全，它比较适合防护少量机密数据的泄露；而后面一种加密类型可以对整个磁盘中的数据进行保护，对于防止企业数据对外泄露十分有效。因为这两种类型的加密技术能解决不同的问题，很多企业往往会同时使用这两种技术。

虽然知道使用加密技术可以限制对重要数据的访问，阻止非授权访问数据，保护机密数据不被恶意侵犯，但是怎样对数据进行加密却是一个不小的问题，因为企业数据会被频繁地访问和处理，加密数据必须要在不影响工作效率的前提下进行，确保在工作效率和数据安全之间取得平衡。而且企业数据所处位置十分复杂，它们不单单位于数据库之中，还位于移动存储设备、应用系统、网络平台和普通终端计算机等物理位置。而不同的物理位置，数据的表现状态也是不一样的，这就要求数据加密操作，要针对不同位置来分别进行。

除了采用加密技术外，也可以使用签名技术，来保护重要数据的完整性和不可否认性。通过摘要算法计算重要数据的摘要，同时使用私有密钥加密摘要，确保重要数据不被轻易泄露。

3.进行访问权限控制

通过加密、签名等技术保护机密数据，看上去防护效果很好，可简单地对所有数据进行加密、签名，不利于数据的高效流转传输，系统平台也无法承受这么大的负荷，而且这种措施并不能有效预防可信任用户对外泄露数据。其实，很多企业的网络安全防护系统没有将内部人员作为防护对象，如此一来可信任用户泄露数据的现象就不能得到控制。为了切断可信任用户对外泄露数据的通道，不少企业最初尝试对可信任用户进行全面管控，禁止将移动设备带到内网环境，禁止在网络上发布任何与工作有关的信息，禁止访问外网内容等等。然而，这些管控措施不仅没有达到很好的防泄露效果，还影响了用户的工作效率。

为了解决上述难题，很多企业经常在内网环境中设置访问权限，来对重要数据进行授权访问控制，对于不同职能的用户，指定不同的访问权限，在用户需要访问重要数据前对其身份的合法性进行认证。例如，有的企业在内网环境中部署了权限管理系统，该系统要求可信任用户一定要先在权限管理系统中注册，以获得合法的身份认证账号，通过该账号完成身份验证后，系统能自动下载控制代码到可信任用户桌面，日后他们每次访问数据文件时，自动下载的控制代码将会通过网络访问数据权限管理系统，对可信任用户的数据访问行为进行再次身份认证，之后从对应平台中自动下载密钥来对特定数据执行解密操作，并对数据访问行为提出严格限制，授权可信任用户可以进行哪些操作，不能进行哪些操作等等。

4.强化员工防护培训

数据安全是企业信息化建设的重要保障，安全观念和意识一定要成为企业信息化建设中的一部分，企业和员工要共同承担数据防泄露责任。这就要求企业定期组织各种形式的数据防泄露知识培训，尽可能提升员工的数据防护意识，让员工知道哪些数据能够在线访问或处理，哪些数据不能在线访问或处理，哪些操作是可以做的，哪些操作是不可以做的，使员工对数据安全、自身利益与企业发展之间的关系有更加清晰的认识。

5.建设数据管理制度

对于重要数据的泄露事件，技术手段防护毕竟能力有限，可以说技术防三分，七分还是要靠规章制度来管理，毕竟不少企业的数据泄露大都缘起于企业内部的泄露，数据管理工作的不到位是企业面临的主要问题之一。在建设数据管理制度时，至少要包含下面一些内容：首先要明确管理制度体系的组织结构和责任，机构的责任落实能确保数据管理制度的有效执行，同时形成监督机制；其次要明确界定机密数据范围，这对平时的数据管理具有十分重要的指导意义，同时能有效避免日后遇到问题时相互扯皮的现象；第三对重要数据的访问操作进行严格规范：根据机密数据的界定范围，从技术层面和操作层面进行限制管理，例如针对移动智能终端出台专门的管理办法，要求在移动智能终端上只能使用特定客户端程序连接企业网络，成功完成身份认证后才能访问数据，禁止在移动智能终端上存储企业机密数据，禁止离线处理企业数据。此外，对临时性数据访问行为，也要进行严格规范，例如必须有审核批准，必须保证临时性接入设备自身的安全，企业外部人员必须事先签定数据防泄露合同，没有经过授权的不得越权访问数据等等。最后要有对违规访问数据行为的处罚办法，以便对违规用户起到警示作用，同时做到处罚时有规可查。

个人防范泄露措施

1.彻底删除存储数据

为了防止数据泄露现象，我们常常需要将保存在硬盘或优盘中的重要数据彻底删除掉。这种数据删除操作看似简单，其实，很多删除操作并没有改变数据存储区域，数据内容依然保存在磁盘的特定位置中，不法分子借助外力工具还可以获取隐私数据。

为了避免删除后的数据被泄露出去，我们可以使用“R-Wipe&Clean”这款数据擦除软件，将存储介质中剩余空间内容擦除干净。开启“R-Wipe&Clean”工具的运行状态，单击主界面导航栏中的“Unused Space”选项，在对应选项设置区域，指定好存储介质所在的分区符号，按下“Settings”按钮，在其后弹出的设置对话框中，切换到“Disks and Files”标签页面，在这里设置好需要擦除的分区文件和剩余空间。之后，打开擦除算法下拉列表，选择合适的擦除算法。一般来说，普通数据可以选用填充随机数和清零的算法，因为它们的擦除速度比较快；如果数据相当重要，对安全性要求很高，那需要选用后面三种数据擦除方法，因为它们清除得相当彻底，只是擦除速度有点缓慢。完成有关配置操作后，单击“Wipe Now”按钮，就能实现磁盘数据的彻底清除操作了。

2.按需灵活加密数据

在公共场合下，如果担心自己的重要数据被他人偷窥，不妨通过“大狼狗加密专家”这款外力工具，来按需灵活加密特定数据。该工具通过高强度PKI加密技术，支持文件夹加密、文件加密、磁盘保险箱（磁盘加密）、安全文件夹、指定解密人、制作自解密文件等多种工作方式，能够高效地防护重要数据的泄露。

在对重要数据加密保护之前，先要申请注册获得合法登录用户名和密码，并用合法账号登录进入加密系统。打开常规选项页面，选中“随Windows启动”选项，让“大狼狗加密专家”工具随计算机可以自动启动运行，确保重要数据随时受到安全保护。这款工具利用磁盘保险箱方式来加密重要数据，该方式在存储介质中划出一块独立区域，保存在这个区域的重要数据会被自动加密，该区域对应的磁盘分区也会被自动隐藏，让不法分子无法轻易找到。

第一次使用保险箱加密数据时，“大狼狗加密专家”工具会自动出现向导提示，根据提示手工创建好保险箱文件，设置好它的存储路径，建议该路径不要直接指向系统分区，以防系统瘫痪现象发生。之后，逐一点击“开始”、“程序”、“附件”、“Windows资源管理器”选项，打开系统资源管理器窗口，从中可以看到保险箱对应的磁盘分区，访问该分区中的内容时，操作方法与普通分区访问完全一样。比方说，要将重要数据添加到保险箱时，只要先用双击鼠标方式进入磁盘保险箱，再通过剪切、复制方式，也可以直接通过拖拽鼠标方式，将特定数据文件转移到保险箱的某个文件夹中。

将重要数据添加到保险箱后，必须记得及时关闭对应窗口，或者通过“大狼狗加密专家”工具自动关闭功能，强制计算机在空闲时间自动关闭保险箱窗口。而关闭的磁盘保险箱，会自动被隐藏起来，任何用户在“我的电脑”窗口，或系统磁盘管理器窗口，都无法找到保险箱的“身影”，这样存储在其中的重要数据，自然就不容易被人窃取了。以后，用户自己想访问保险箱中的重要数据时，必须先用合法账号登录进入“大狼狗加密专家”加密系统，切换到保险箱选项页面，按下“打开已有保险箱”按钮，这时就可以从“我的电脑”或“计算机”窗口中，发现保险箱的“身影”，进入保险箱窗口就能正常访问加密的重要数据了。

此外，我们也可以使用“大狼狗加密专家”工具的“数字信封”技术，来对单个文件或文件夹进行加密保护，甚至可以为重要数据设置一个或多个解密人，只有知道解密账号的用户才能访问重要数据。这种加密操作很简单，只要在系统资源管理器窗口中，选中待保护的重要数据文件，点击快捷菜单中的“加密”或“解密”命令，选中授权用户账号，就能实现重要数据文件的加密或解密目的。

3.谨防共享泄露数据

在局域网工作环境中，共享访问正变得越来越方便，也越来越简单。不过，这种访问方式也会在不经意间，泄露重要隐私数据。为了谨防共享方式对外泄露数据，我们可以强制进行身份验证：使用“Win+R”快捷键，调出系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。依次展开“本地计算机策略”、“计算机配置”、“Windows 设 置”、“安 全设置”、“本地策略”、“安全选项”分支，打开该分支下的“网络访问: 本地帐户的共享和安全模型”组策略属性框，选中“经典—对本地用户进行身份验证，不改变其本来身份”选项，确认后保存设置即可。

当然，也可以对重要共享数据设置合适访问权限，以防非授权用户随意访问。在为重要共享数据设置访问权限时，首先以管理员权限登录计算机系统，打开资源管理器窗口，选中特定数据文件夹，点击右键菜单中的“属性”命令，选择“安全”选项卡，在选项设置页面“组或用户名”列表处，删除所有无关账号，再点击“编辑”、“添加”按钮，在用户账户添加对话框中，添加导入合法的账户名称。选中合法用户账号，在权限列表中，设置好合适的访问权限，确认后保存设置操作。这样，合法用户日后就能对重要共享数据进行限制式访问了，其他用户则无权访问。

4.限制使用移动设备

要想限制不法分子通过移动设备带走自己的重要数据，不妨请“USB Block”这款工具，来为重要数据树立隐形安全隔离屏障。下载安装好“USB Block”工具后，先为其设置一个复杂的管理密码，避免不法分子随意关闭甚至卸载该工具。在进行这种设置时，点击主程序界面中的“Control Center”按钮，选中界面中的“Block USB Devices”选项，开启USB设备加锁功能。此时，当用户将移动设备插入到计算机USB接口时，系统将不能显示它们的分区符号。

当用户自己日后想在本地使用移动设备时，只要先进入设备身份认证对话框，输入之前设定的管理密码即可。为了避免不法分子随意关闭或卸载监控工具，我们不妨开启“USB Block”程序的隐藏工作模式，让不法分子不清楚自己正被监控管理。点击主界面中 的“Program Options”按钮，选中其后界面中的“Active Stealth Mode”选项，确认后就能让目标工具处于隐藏工作状态了。日后，通过默认的“Ctrl+Alt+Shift+D”操作热键，就可以强制“USB Block”工具在显示和隐藏工作模式之间不停切换了。当然，用户也能根据平时的操作习惯，自行定义好启用热键。

写在最后

近年来，伴随着中国网络规模的持续增长，应用的不断丰富以及电子商务的逐步普及，互联网安全的严峻形势正日益凸显，互联网安全事件时有发生。同时，移动互联网，三网融合，云计算，IPV6……不断创新发展的技术都在为网络安全提出新的挑战。

在互联网时代，个人信息被收集和使用无法避免，网民处于被动地位。要使用网络服务，不得不将自己的私人信息与公共空间进行连接。这个过程中，用户无法知道其个人信息确切的存放位置，对其个人信息的采集、存储、使用、分享也无法有效控制。个人对网络个人信息的管理和监督的作用非常有限，必须依赖具有强制力和技术水平的第三方手段。事实上，进入“云服务”时代，如何有效地保护好这些个人信息，防范信息泄露，在业内甚至仍是棘手的问题。事实上，用户数据信息已成为网络攻击者和安全捍卫者之间激烈角逐的焦点。安全防卫必须运筹帷幄，配合超前的信息化发展规划，积极应对用户敏感信息泄密隐患。

信息化社会，保护企业和个人信息安全不止关乎企业和个人，或仅仅是一个技术难题，它应当是整个社会的责任。安全问题为什么难，就在于安全问题的本质是人与人之间的斗智斗勇问题，如果在一个广阔的舞台上，人与人之间的斗智斗勇永远不会有结果。总结一句话：安全是一种事业，不是一个解决方案。