網(wǎng)絡與信息安全問題已被列入國家安全的重要組成部分。特別是涉及到企業(yè)核心業(yè)務系統(tǒng)的敏感數(shù)據(jù)內(nèi)容安全管理，一直是很多企業(yè)在當今信息化發(fā)展時代的頭等大事。近日筆者走訪了數(shù)據(jù)泄露防護領航者，北京億賽通科技發(fā)展有限責任公司（簡稱“億賽通”）資深安全專家王維宏先生，就重要信息系統(tǒng)敏感數(shù)據(jù)內(nèi)容安全管理解決方案進行了詳細的探討。

王維宏先生首先就系統(tǒng)敏感數(shù)據(jù)內(nèi)容安全的威脅，以運營商為例進行了分析。他指出：今天談的主要是信息安全，涉密、非涉密，對企業(yè)來講是敏感與不敏感的問題，一般來講在運營商里面，會把信息系統(tǒng)分為管理類和運營類，不管是管理類、運營類內(nèi)部都要使用這個數(shù)據(jù)，傳播這個數(shù)據(jù)，甚至打印這個數(shù)據(jù)，這個數(shù)據(jù)因此會傳播出去。現(xiàn)在最多抱怨是我們個人信息在移動運營商那里被傳出去。這種情況下，實際上有多種數(shù)據(jù)信息需要保護，最主要問題是在運營商體系里面，重要信息系統(tǒng)業(yè)務訪問源眾多，形成整體的安全威脅，工信部對此也提出了要求。

 一、重要信息系統(tǒng)---面臨諸多安全隱患

1.不合法訪問造成非法竊取。

我們說結構化數(shù)據(jù)的后端數(shù)據(jù)庫，你要訪問怎么辦？首先得有合法的用戶身份，沒有合法用戶身份訪問不了，這是安全保障。但是現(xiàn)在黑客技術就是拿到你的合法用戶，甚至是你的高級用戶，這時雖然身份是合法的，但是人不合法，這種情況下，造成非法竊取系統(tǒng)身份。

2.移動終端造成數(shù)據(jù)泄露

移動終端如果我要從應用系統(tǒng)里面拿數(shù)據(jù)的時候，那個數(shù)據(jù)非常龐大，怎么辦？我會下載成文件，這在很多系統(tǒng)里面都有這種情況。我把一堆數(shù)據(jù)集成一個文件下載下來，下載完了之后，有一個是自用過程，里面的數(shù)據(jù)需要，我把它粘到別的地方去，那這個文件就出去了，還有一個就是打印。另外是傳播過程，我給了老張，老張給了老李，有的時候通過移動介質(zhì)給帶出去了，現(xiàn)在多頻時代的發(fā)展，用戶端非常多，移動終端也能拿到數(shù)據(jù)，而且能帶著走，帶著走給了誰，我也不知道。

3.文檔加密自身弱點

是文檔加密，文檔加密也有它自己的弱點，雖然是從源頭上做加密，但是它的弱點是會引發(fā)很多關聯(lián)系統(tǒng)的整合問題。這些解決方案都有它的優(yōu)勢和弱勢。

二、億賽通---敏感數(shù)據(jù)安全解決方案

接下來王維宏先生介紹了億賽通（www.esafenet.com）的系統(tǒng)數(shù)據(jù)內(nèi)容安全解決方案，他介紹說，我們今天提出的解決方案，要自上而下、逐層管控，防審結合。

1.億賽通一體化平臺，增強安全訪問

一體化平臺，我們稱之為數(shù)字資產(chǎn)內(nèi)容安全管理平臺。這個平臺首先要解決的是核心數(shù)據(jù)防護，通過數(shù)據(jù)通道加密，結合增強身份認證，實現(xiàn)系統(tǒng)數(shù)據(jù)使用邊界控制，第二是要實現(xiàn)離線數(shù)據(jù)防護，通過下載文件加密，結合增強身份認證，實現(xiàn)離線文件使用權限控制。第三是外發(fā)數(shù)據(jù)防護。

2.億賽通三重防御體系，增強數(shù)據(jù)安全

①核心數(shù)據(jù)安全防護

關于對于核心數(shù)據(jù)的訪問，他介紹說，中間加一個數(shù)據(jù)加解密網(wǎng)關，我的網(wǎng)關不在運營系統(tǒng)前端，整個數(shù)據(jù)庫是密的，雖然得到這個系統(tǒng)的用戶密碼，你就會發(fā)現(xiàn)你沒有幾乎用。對于合法用戶來說，用終端進行解密，這個時候數(shù)據(jù)窗體已經(jīng)被解密，同時能看到哪些人能夠打印，哪些人不能打印，打印的時候要加一個標。這是對核心數(shù)據(jù)。

②離線數(shù)據(jù)安全防護

關于離線數(shù)據(jù)，他介紹說，我們做了加密以后，非法用戶已經(jīng)無法訪問這個系統(tǒng)。下載數(shù)據(jù)的時候文件也是加密，渠道文件信息把文件做加密，所有用戶拿到文件的時候，不管是什么方式來接入，都會發(fā)現(xiàn)這個是密文，包括離開這個網(wǎng)絡，我這個東西是不是在服務器上認證的，充分考慮有沒有離網(wǎng)設置，但是非法用戶拿到這個文件打不開，因為沒有身份認證。同樣合法用戶在使用內(nèi)容的時候也要控制打印，沒有權限，這個工作是做不了的。對于移動用戶同樣采取相應的辦法，這樣即便通過移動終端設備也取得不了數(shù)據(jù)。

另外，在離線數(shù)據(jù)基礎上我們加了一個東西，離線下來的數(shù)據(jù)要做授權處理。領導看領導的，群眾看群眾的，領導能看群眾的，群眾的看不到領導的，A級的人能看到B、C、D級的，但是B級往上的就看不到的，我們這個是群組的，當然也可以疊加。由于這兩種權限的出現(xiàn)，會出現(xiàn)另外一個問題，說一定要劃開，因為業(yè)務需要要看文件，那我們就有一個跨級借閱，拿到文件以后，這個文件由上級授權給你，但是有一個時間的限制，超過了時間和次數(shù)之后，這個文件是不可用的，也打不開。當然也可以自主性授權，根據(jù)業(yè)務需要，對這個文件可以進行區(qū)分，這種授權我們提供系統(tǒng)接口，比如某個具體業(yè)務，某個具體文件做什么樣的權限，可以通過接口實現(xiàn)。

③外發(fā)文件使用控制

他介紹說，通過加密限制數(shù)據(jù)窗體，對文件進行分裝，由人來做分裝，由數(shù)據(jù)責任人來做分裝，分裝完以后有相應身份認證，通過身份認證以后，你會發(fā)現(xiàn)這個文件有點怪，這個文件打開以后可能不能打印。比如說合同系統(tǒng)，做好合同以后發(fā)給對方，他會發(fā)現(xiàn)這里除了打印，什么也不能干，而且這上面還有感光水印，這樣起到防偽作用，使用次數(shù)和時間也是受限的。同時，我們有三種認證方式，一個是密碼解密，二個是U-Key解密，發(fā)給你一個Key，Key聽起來很安全，但是要花時間。三個是機械解密，要打開文件，找發(fā)件部門要一個激活號?？梢酝ㄟ^手機短信來確認這個激活號，那就可以打開這個文件。這樣一來，三種防護體系基本上解決了數(shù)據(jù)窗體、下載文件和外發(fā)文件。

在最后他總結到：其實億賽通數(shù)據(jù)泄露防護系統(tǒng)是通過一個整體的對于應用系統(tǒng)周邊所有的應用進行防護，并且再加上一個操作來實現(xiàn)，形成一個安全屏障，主要防范的是數(shù)據(jù)內(nèi)容、數(shù)據(jù)加解密網(wǎng)關、綜合管理服務器、終端軟件數(shù)據(jù)內(nèi)容管理！