前言
企業安全建設之淺談資料防洩露。 資料防洩露在每個公司都是很頭疼的事情,大大小小的洩露事件也總是不期而至。 本文結合我的使用經驗從使用的層面介紹常見的資料防洩露技術手段。
核心資料資產的定義
資料防洩露是一個非常複雜的工程,投入再多人力也不為過,但是互聯網公司的安全人力多是非常有限,所以大蛇打七寸,我們需要先定義清楚什麼是核心資料資產。 通常理解會包含以下幾大類:
以上只是舉例,具體公司情況都不太一樣,需要結合自生實際。 比如招聘類公司,簡歷就是十分重要的資產。
資料保護的生命週期
資料防洩露需要針對定義的核心資料的全生命週期進行保護。
資料防洩露的協定棧為:
這並非一個嚴格的劃分,只是便於把不同的資料防洩露產品和方案進行劃分。
設備級
0×01裝置加密
設備防丟失,主要是預防設備丟失後造成的資料洩露,最常見的就是U盤等移動存儲,京東上一搜一大片。
指紋保護的:
密碼保護的:
雖然保護方式不一樣,但是底層資料加密基本都是AES128或者256,可以提高設備丟失後資料洩漏的門檻,對於高手來說還是可以搞定的。
對於硬碟,也有一些解決方案。
硬碟密碼:
可以在bios裡面設置硬碟密碼,這樣每次開機都需要輸入硬碟密碼。
0×02硬碟加密
如果冠希老師看到這段估計會怪我寫晚了。。。 mac自帶的硬碟加密:
硬碟加密技術非常成熟了,商用產品非常多,不得不提的還有truecrypt,據說國內安全傳統四強之一就要求員工用這個。
truecrypt同時支援Windows Vista,7/XP, Mac OS X, Linux 等作業系統。 TrueCrypt不需要生成任何檔即可在硬碟上建立虛擬磁片,大家可以按照盤符進行訪問,所有虛擬磁片上的檔都被自動加密,需要通過密碼來進行訪問。 TrueCrypt 提供多種加密演算法,包括:AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish,其他特性還有支援FAT32和NTFS分區、隱藏標籤 、熱鍵啟動等,最關鍵它免費。 不過truecrypt被爆存在安全性漏洞,其開發者也承認存在安全問題,具體是否使用大家根據實際情況權衡。