独家解析：如何抵御企业数据泄漏

首页 >> IT商务 >> 信息安全

责任编辑：杨鑫

独家解析：如何抵御企业数据泄漏

发表时间：2009-05-08 10:04:48.0 作者：CBISMB编辑来源:中小企业IT采购

当前，造成数据泄露事故发生的因素多种多样，本文将帮助你了解网络现有的资源以及如何才能最好保护数
据。其他泄漏问题，如丢失、未加密USB或者笔记本等问题引起的数据泄漏本文将将不进行讨论。

　　首先有这样一个问题，你最后一次好好检查网络是什么时候?这听起来可能像是浪费时间的行为，但事实
却非如此。

　　打开任何符合你要求的工具(Windows或者Mac Explorer、Samba等)，并花一些时间研究这些工具。可能
企业会有这样一份资产清单，总是需要最新更新并占用很多资源，但是有时候我们需要用不同的方式或者不
同的角度来理解这些工具。

　　浏览工具手册同样可以帮助你了解平常不太关注资产管理系统，如检查开放文件共享或者其他提供数据
的资源等。多用途扫描/传真/打印机等，并没有像数据库等资源一样授予权限，但是其中确实也包含很多数据信息。

　　如果没时间浏览这些手册，那nmap怎么样呢?nmap是一款知名的网络探测和安全扫描程序，它有很多用

途，其中一个用途就是扫描整个网络。例如，如果你想查看特定使用Ping的B级子网上的哪些系统是有效的?
你可以使用以下命令：

nmap -v -sP 10.150.1-255.1.255 -oN scan_results

　　然后nmap将返回一份主机报告清单(上升或者下降的情况)，清单将位于名为“scan_results”的文件中，
清单的内容将如下所示：

Host 10.150.9.153 appears to be down.
　　Host monkey (10.150.9.154) appears to be up.
　　MAC Address: 00:13:21:60:17:28 (Hewlett Packard)

　　任何与主机没有直接关系的IP地址会显示为下降，第二条中的monkey在该IP地址下对探针发出了相应，在这种情况下，
因为我们与扫描的网络相同的子网上，MAC地址显示的相关的卡制造商。现在，通过这种简单
的扫描，我们就已经了解到很多网络内的信息。而这仅仅是开始。
　　如果由于某种原因，ping功能不能正常工作，还可以使用nmap提供的其他功能来审查网站上的信息，
或者运行nmap_h获取帮助文件。Nmap在*nix框中或者在windows上运行。
　我们已经知道网络的大致情况了，将所有信息视觉化地展现处理将有助于注重重点。
　　此时就可以使用zenmap工具了，这是GUI版本的nmap。Zenmap有个很有用的功能叫做Fisheye，
可以帮助你视觉性地管理你在nmap扫描中发现的主机。有时候，将对网络的扫描情况展现在一张图中可以帮助你看出某些趋势发展。
　　Zenmap还可以帮助你以概括式的方式规划服务和开放端口的范围。最后，你还可以使用漏洞扫描攻击(如MBSA或者Nessus)来了解哪些是有效的服务，
最好还要配合定期漏洞扫描进程。
　　应用程序
　　在寻找潜在数据泄漏问题时，有个经常被忽视的重要方面。你真的知道你的网络上安装了哪些应用程序
吗?nmap和漏洞扫描可以帮助你确定开放端口，反过来，也可以帮助你了解你可能不知道的网络中存在的应用程序。
例如，下面是网络应用程序的应用程序日志示例：
　　这些看起来让人眼花缭乱，不过其中可能有些你不知道的东西，如IP地址71.**.56实际上实在晚上8点30访问的该页面。在这种情况下，
你可能没有发生数据泄漏，但是你能够看到很多发生的状况，也许还可以进一步了解访问页面的帐户等信息，以避免不必要的数据泄漏。

　　电子邮件问题

　　虽然查看日志文件可以提供与数据泄漏有关的重要信息，但是电子邮件又是另一个需要特别关注的领域。
你有没有对发出的电子邮件进行监控过呢?很多企业可能需要专业的设备来实现这一点。如果你没有这种设备，
那么也可以选择使用开源入侵检测系统来进行电子邮件过滤。

　　让我们以Snort为例。Snort是一种最原始的基于签名的开源软件，现在可以将其加入IPS/IDS系统发挥更大的功能。
开源社区已经出台了各种规则以限制数据以文本的形式在网络中传输。例如，如果你担心社会安全号码或者信用卡号信息存留在网络中，那么使用签名把。

# The word "private"
　　#alert tcp $SMTP_SERVERS any -> $EXTERNAL_NET 25 (msg:"ET POLICY SMTP Private"; flow:to_server,established;
content:"Subject|3A|"; pcre:"/\Wprivate\W(?!/(25)?X[1-9])/ism"; classtype:policy-violation;
reference:url,doc.emergingthreats.net/bin/view/Main/2002458;
reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_Classified_Information; sid:2002458; rev:3;)

　　这种特殊的规则转为寻找电子邮件中标签为private的数据，但是还有很多其他标签也可以用，如保密、限制、和最高机密等词。
当为数据加上签名标签后，就可以将这些规则应用于其他区域了。

　　保护机密信息

　　现在可以开始设立计划来开始保护和检测发现的机密信息了。

　　首先第一件事情：这些数据的真正位置就是你所发现的位置吗?发现和验证数据后，你可以看看这些数据
周围的进程(例如，是否有开发或者QA环境? 有没有数据实时备份?这些数据的备份和复本在其他哪些地
方?)，并加强这些数据位置的控制。这是很困难的部分，需要强加很多规则。

　　请记住，当你使用的是免费工具，你需要验证你所看见的东西。此外，在开始进行数据保护前，最好进

行数据分类，确定优先次序。

　　当你发现确实存在问题时，你将需要优先考虑数据保护计划的重要部分，因为你不能在短时间内面面俱
到。看看数据分类政策，首先处理最重要的数据。

　　最主要的工作就是将数据转移到安全的位置，还将需要确保关键数据的副本被删除或者移动到更安全的位置。
此外，还需要教授员工如何妥善保护数据。

　　确定数据的位置后，你需要确保哪些人可以访问数据。你需要问自己下面几个问题：

　　* 谁拥有这些数据?

　　* 数据拥有者检查过哪些人访问过数据吗?

　　* 这些人拥有访问权吗?

　　* 他们应该拥有怎样的权限?

　　深入审查将有助于了解部署的政策和权限是否合适，然后测试，并定期进行同样的测试。确保控制是在
不断更新的，这样才能保证数据的安全。来源：IT专家网