引言

在企業局域網中，信息泄密是令企業老總和 CIO 們十分頭痛的問題。數據被泄密的途徑很多，數據流動是個主要的方面，在企業中數據流動的主要形式是局域網中存儲和分發。那如何從存儲和分發的角度來保護數據在流動中的安全呢？筆者結合自己的工作實際和大家探討企業局域網中數據存儲和轉發中的安全部署。

1 數據保護策略和技術

1.1 制定數據保護策略
作為企業的 CIO,要根據企業對信息安全的需求，制定數據安全策略，這些策略主要是：保護敏感的信息避免被未經授權的用戶訪問或共享；不僅控制數據訪問也控制如何使用和分發數據的能力，提供立體的全方位的數據保護；規定數據生命周期，對于過期的數據釆取相應的安全措施，防止垃圾數據滯留或被非法獲??；企業中要合理地對移動介質中的敏感文件采取保護策略，數據必須被加密，防止存儲介質丟失后造成數據的泄露；企業中的電腦和服務器中的數據，應該提供物理層面的縱深保護，防止數據的泄密。

1.2 數據的縱深保護
制定數據保護的策略后，就應該考慮如何在技術上進行部署，這種保護技術應該是縱深的、立體的，大致應有如下的加密要求：

基于軟件的加密，利用系統提供的或者第三方軟件進行文件的加密；基于硬件的加密，從硬件的角度加固數據的安全性；啟動前加密，數據的保護從操作系統啟動時就開始，以防系統被劫持，造成數據的泄密；啟動后加密，杜絕在進入系統后，信息被非法利用，造成泄露；應用程序級加密，比如利用 Office的加密功能對數據進行加密處理；文件\\(文件夾\\)級加密，有針對性地對敏感文件進行系統級\\(EFS\\)的加密保護措施；全卷加密，就某個卷中的所有文件進行加密保護；按用戶加密，文件的權限與用戶相關，預防不被授權的用戶非法利用數據，造成數據的泄密。

1.3 數據保護技術
基于以上數據保護的策略和縱深保護的要求，可以釆取如下的解決方案：

RMS：基于策略和定義實現的文檔內容保護，防止信息被越權、超地域范圍使用。

EFS：用戶文件的加密，防止非授權用戶非法獲得數據，造成數據的泄密。

BitLocker：基于硬件實現的物理加密措施，數據安全與物理硬件相關，防止數據外漏。

2 解決方案及其具體應用

2.1 RMS\\(RightsManagementService\\)方案
RMS 的主要特點，權限伴隨文檔，規定信息使用的權限和條件，并且權限信息加密。它的應用領域，保護企業環境下的電子郵件通信，防止用戶非法轉發；強制實施文檔權限，未經授權，該文檔就不能修改、復制，不能打印、分發，即使拷貝出去，也不能打開。RMS 還可以按用戶區分權限，防止未授權者查看，加密受保護的內容，提供內容過期，按信息內容、用途控制為閱讀、轉發、保存、修改或打印、將保護擴展到初始發布位置以外的地方。使用 RMS 的目的在于，輔助行政和法律措施實施安全策略，防止失誤操作造成的信息泄露。

RMS 必須有應用程序的支持，部署 RMS 服務器，然后與啟用 RMS 的應用程序協作以避免數據未經授權的使用?？梢钥刂莆臋n的打開、讀取、修改權限。office 文檔應該是企業中主要的信息載體,通過 RMS 可以對文檔的打幵、閱讀、修改、分發及其日期進行限定，杜絕數據因非法獲取而泄露。比如在企業中分發文檔時候，對文檔進行控制，它的特點是權限隨著文檔走，對其的整個生命周期進行管理。不管把文檔分發到任何地方去，文檔的權限始終和文檔捆綁在一起。另外，RMS 對于文檔權限的定義信息是加密的，這樣即使文檔被竊取，也無法打開。郵件的轉發也是企業中信息流動的一個重要方面，RMS可以控制郵件的各種權限，比如可以預防文檔被非法或者無意轉發出去，造成數據的泄露。通 RMS 權限設置 word 文檔就不能被轉發，修改等。

當然 RMS 也有缺陷，不能提供主動抵擋攻擊者對系統的攻擊，也無法抵御模擬攻擊，如使用數碼相機或第三方屏幕拷貝、記憶傳播等。

2.2 EFS\\(EncryptingFileSystem\\)方案
EFS 提供 NTFS 分區中文件級別的加密技術，基于公鑰策略，使用公鑰/私鑰密鑰對文檔進行加密。這種加密對用戶是透明的，它是用公鑰加密，用私鑰解密，安全性極高。使用智能卡上直接存儲的加密密鑰進行 EFS 加密，基于向導將舊智能卡中的文件遷移到新智能卡中，啟用 EFS 時加密系統頁面文件，增加了新的“組策略’’選項。EFS 可以加密系統的頁面文件，這樣防止系統被脫機攻擊，造成 EFS 加密被破解。還可以選擇EFS 密鑰的長度強制加密“我的文件夾”。

EFS 的限制，如果用戶的私鑰丟失，則數據將永遠丟失，私鑰很重要，千萬不能丟失。EFS 加密的強度非常高，私鑰丟失，文件無法打幵。因此要安全部署，防止惡意加密。比如，在企業中有這樣的員工，因對企業不滿，在離幵前惡意加密了某些文件，然后把帳戶刪除，這樣就造成了數據的無法打開。

針對這種惡意的加密用以下兩個方法來解決：其一，修改注冊表，防止加密。其二，部署 DRA\\(數據恢復代理\\)。

在企業中基于數據的安全性考慮，應用 EFS 方案要遵循這幾點：部署盡可能少的 DRA;至少有一個 DRA;DRA 使用后刪除私鑰；加密文件夾而不是單個文件。

EFS 加密是基于操作系統的，如果系統在啟動前已經被攻破的話，那他就沒法實現自己的功能，因此在數據縱深保護中下面這個環節非常重要。

2.3 BitLocker 方案
Windows BitLocker 驅動器加密通過加密 Windows 操作系統卷上存儲的所有數據可以更好地保護計算機中的數據。

BitLocker 使用 TPM 幫助保護 Windows 操作系統和用戶數據，并幫助確保計算機即使在無人參與、丟失或被盜的情況下也不會被篡改。

Windows 8.1 必定是未來系統的主流，在企業中部署Windows 8.1 就能在很大程度上加固數據的安全，防止泄密。

Windows 8.1 提供的 BitLocker 技術是基于硬件的加密技術，它能為計算機提供脫機數據和操作系統保護，很好地解決了對EFS 加密的脫機攻擊。另外 BitLocker 是一種全卷加密技術，能夠確保早期啟動組件的完整性，能通過加密整個卷來幫助防止數據被盜或未經授權查看。

BitLocker 很好地解決了企業環境下的來自于硬件的泄密，它給予數據操作系統之下的安全屏障，啟動時自動提供解密密鑰，保護系統分區，保護用戶數據，保護注冊表，與操作系統無縫的集成，保護引導分區，杜絕離線攻擊，提供系統啟動前蕋于數據的保護。

比如現代企業中每年都會淘汰一部分電腦，如果處理不當，這部分電腦就成了信息的泄露源，利用 BitLocker 技術可以通過銷毀 RootKey 的方式快速地使電腦上的數據失效，防止了數據的泄露。系統啟動故障，也容易造成數據的泄密，BitLocker 可以確保啟動過程的完整性。因為在系統啟動時驗證各個啟動組件的完整性，防止對啟動組件的惡意修改；任何以其他途徑啟動，都無法訪問和修改被加密的系統卷；如果竊密者保護的卷做了改動，會導致系統無法正常啟動。桌面安全也是企業信息泄露的一個途徑，BitLocker 在離線狀態下保證系統和數據的安全,加密整個 Windows 的安裝卷和其中所有用戶的數據，該卷在未正常啟動的情況下不可讀。

在企業數據存儲和分發的流動過程中，會面臨來自各方面的威脅。本文討論的 RMS、EFS、BitLocker 都是從技術的角度來保護數據的安全，防止泄密。要更好地保護企業的數據，只有技術和制度互相結合，才能發揮更大威力。