信息泄密是令企业老总和ICO们十分头痛的问题，数据被泄密的途径虽然很多，但是企业数据流动的主要形式是存储和分发，那如何从存储和分发的角度来保护数据在流动中的安全就显得尤为重要。

一、数据保护策略和技术

1、制定数据保护策略

 作为企业的CIO，要根据企业对信息安全的需求，制定数据安全策略，这些策略主要包括：保护敏感的信息避免被未经授权的用户访问或共享；不仅控制数据访问也控制如何使用和分发数据的能力，提供立体的全方位的数据保护；规定数据生命周期，对于过期的数据采取相应的安全措施，防止垃圾数据滞留或被非法获取；企业中要合理地对移动介质中的敏感文件采取保护策略，数据必须被加密，防止存储介质丢失后造成的数据泄露；企业中的电脑和服务器中的数据，应该提供物理层面的纵深保护，防止数据的泄密。

2、数据的纵深保护

    制定数据保护的策略后，就应该考虑如何在技术上进行部署，这种保护技术应该是纵深的、立体的：基于软件的加密，利用系统提供的或者第三方软件进行文件的加密；基于硬件的加密 ，从硬件的角度加固数据的安全性；启动前加密，数据的保护从操作系统启动时就开始，以防系统被劫持，造成数据的泄密；启动后加密 ，杜绝在进入系统后，信息被非法利用，造成泄露；应用程序级加密 ，比如利用Office的加密功能对数据进行加密处理；文件（文件夹）级加密，有针对性地对敏感文件进行系统级（EFS）的加密保护措施；全卷加密，就某个卷中的所有文件进行加密保护；按用户加密，文件的权限与用户相关，预防不被授权的用户非法利用数据，造成数据的泄密。

3、数据保护技术

    基于以上数据保护的策略和纵深保护的要求，可以采取如下的解决方案：

RMS：基于策略和定义实现的文档内容保护，防止信息被越权、超地域范围使用。
EFS：用户文件的加密，防止非授权用户非法获得数据，造成数据的泄密。
BitLocker：基于硬件实现的物理加密措施，数据安全与物理硬件相关，防止数据外漏。

二、解决方案及其具体应用

1、RMS（Rights Management Service）方案

    RMS的主要特点：权限伴随文档，规定信息使用的权限和条件，并且权限信息加密。它的应用领域，保护企业环境下的电子邮件通信，防止用户非法转发；强制实施文档权限，未经授权，该文档就不能修改、复制，不能打印、分发，即使拷贝出去，也不能打开。RMS还可以按用户区分权限，防止未授权的查看，加密受保护的内容，提供内容过期，按信息内容、用途控制为阅读、转发、保存、修改或打印、将保护扩展到初始发布位置以外的地方。使用RMS的目的在于，辅助行政和法律措施实施安全策略，防止失误操作造成的信息泄露。

    RMS必须有应用程序的支持，部署RMS服务器，然后与启用RMS的应用程序协作以避免数据未经授权的使用。可以控制文档的打开、读取、修改权限。office文档应该是企业中主要的信息载体，通过RMMS可以对文档的打开、阅读、修改、分发及其日期进行限定，杜绝数据因非法获取而泄露。比如在企业中分发文档时候，对文档进行控制，它的特点是权限随着文档走，对其的整个生命周期进行管理。不管把文档分发到任何地方去，文档的权限始终和文档捆绑在一起。另外，RMS对于文档权限的定义信息是加密的，这样即使文档被窃取，也无法打开。邮件的转发也是企业中信息流动的一个重要方面，RMS可以控制邮件的各种权限，比如可以预防文档被非法或者无意转发出去，造成数据的泄露。通RMS权限设置word文档就不能被转发，修改等。（图1） 

    当然RMS也有缺陷，不能提供主动抵挡攻击者对系统的攻击，也无法抵御模拟攻击，如使用数码相机或第三方屏幕拷贝、记忆传播等。

[1] [2] [3] 下一页

【责编:Chuan】