企业局域网中安全实现文件的存储与分发（1）

在企业局域网中，信息泄密是令企业老总和CIO们十分头痛的问题。数据被泄密的途径很多，数据流动是个主要的方面，在企业中数据流动的主要形式是局域网中存储和分发。那如何从存储和分发的角度来保护数据在流动中的安全呢？我将结合自己的工作实际和大家探讨企业局域网中数据存储和转发中的安全部署。

　　一、数据保护策略和技术

　　1、制定数据保护策略

　　作为企业的CIO，要根据企业对信息安全的需求，制定数据安全策略，这些策略主要包括以下几方面：

　　保护敏感的信息避免被未经授权的用户访问或共享;不仅控制数据访问也控制如何使用和分发数据的能力，提供立体的全方位的数据保护;规定数据生命周期，对于过期的数据采取相应的安全措施，防止垃圾数据滞留或被非法获取;企业中要合理地对移动介质中的敏感文件采取保护策略，数据必须被加密，防止存储介质丢失后造成数据的泄露;企业中的电脑和服务器中的数据，应该提供物理层面的纵深保护，防止数据的泄密。

　　2、数据的纵深保护

　　制定数据保护的策略后，就应该考虑如何在技术上进行部署，这种保护技术应该是纵深的、立体的：

　　基于软件的加密，利用系统提供的或者第三方软件进行文件的加密;基于硬件的加密 ，从硬件的角度加固数据的安全性;启动前加密，数据的保护从操作系统启动时就开始，以防系统被劫持，造成数据的泄密;启动后加密 ，杜绝在进入系统后，信息被非法利用，造成泄露;应用程序级加密 ，比如利用Office的加密功能对数据进行加密处理;文件(文件夹)级加密，有针对性地对敏感文件进行系统级(EFS)的加密保护措施;全卷加密，就某个卷中的所有文件进行加密保护;按用户加密，文件的权限与用户相关，预防不被授权的用户非法利用数据，造成数据的泄密。

　　3、数据保护技术

　　基于以上数据保护的策略和纵深保护的要求，可以采取如下的解决方案：

　　RMS：基于策略和定义实现的文档内容保护，防止信息被越权、超地域范围使用。

　　EFS：用户文件的加密，防止非授权用户非法获得数据，造成数据的泄密。

　　BitLocker：基于硬件实现的物理加密措施，数据安全与物理硬件相关，防止数据外漏。

　　二、解决方案及其具体应用

　　1、RMS(Rights Management Service)方案

　　RMS的主要特点，权限伴随文档，规定信息使用的权限和条件，并且权限信息加密。它的应用领域，保护企业环境下的电子邮件通信，防止用户非法转发;强制实施文档权限，未经授权，该文档就不能修改、复制，不能打印、分发，即使拷贝出去，也不能打开。RMS还可以按用户区分权限，防止未授权的查看，加密受保护的内容，提供内容过期，按信息内容、用途控制为阅读、转发、保存、修改或打印、将保护扩展到初始发布位置以外的地方。使用RMS的目的在于，辅助行政和法律措施实施安全策略，防止失误操作造成的信息泄露。