防主動泄密的兩種技術思路比較

筆者按：這是我2009.11.24應邀寫的一篇行業技術分析，現在有一些新的技術出現，但這些思路還是存在的。

防泄密，是信息安全行業中的一個重要領域。隨著各行業信息化的深入，數字化的機密信息已經成為企業和機構的核心資產，具有極高的價值。機密數據外泄，不外乎兩種情況。一種是位於企業和機構網路外部的黑客，通過各種攻擊和破壞手段，非法竊取到內部資料；一種是內部有權調取和查閱資料的人員，主動將資料外發或攜出。

近年，內外網邊界的安全防護措施受到前所未有的重視，防火牆、入侵檢測、訪問控制技術得到較大發展並廣泛應用，從外部突破竊取資料的難度已經越來越大。相比之下，內部人員的主動泄密成為重災區。內部泄密者作案難度更低，由於大多企業內部沒有任何防主動泄密的措施，他們可以隨時準確地得到企業最有價值的信息資料，並輕易通過網路外發或移動存儲介質攜出。據調查，僅2008年，內部人員泄密使美國商業損失額超過2500億美元。前不久鬧得沸沸揚揚的力拓商業間諜案，就是公司內部高層管理人員泄密。該事件導致我國在鋼鐵業的重大談判中處於被動，保密局透露，此事對中國造成的損失，高達驚人的7000億人民幣，相當於澳大利亞國內生產總值的10%。

為了防止內部主動泄密，經過長期的探索，目前信息安全業界已經擁有了較為成熟的技術應對手段。這些手段歸結起來，主要有兩種思路：一類是封堵的思路，一類是加密的思路。

封堵的思路

這種思路，我們可以理解為傳統生活中實物防盜搶思路的移植。現實中，以現金防盜搶為例：現金需要存放，則存放在堅固的金庫中，四周有重兵把守。現金需要運送，則用裝甲的運鈔車押運，保安荷槍實彈。有大量現金需要交易，則放在銀行櫃檯這樣的地方進行，四周布滿攝像頭，時刻處於警惕和監督之下。其思路總而言之，就是在被保護的物品與外部之間，形成屏障，使盜搶者無法靠近和觸及。

相應地，封堵的防泄密方法：在存放數據的伺服器或終端，用軟體控制或改造機箱的辦法，封鎖所有可能造成泄密的對外介面。數據在內網之間的傳送，則封鎖所有可能造成泄密的有線、無線的網路設備介面，甚至在人員進出大門時，也對是否攜帶存儲介質進行檢查。限制對外網的訪問，在內外網間設置過濾網關，當數據必須要帶出到外部時，則在專門的辦公地點，由專門的人員進行監督和審核。

加密的思路

這種思路，充分考慮了數字信息本身固有的特點。數字信息的加密變形，與傳統實物相比成本更低，容易實現。加密後的信息，即使流出到外部，仍無法打開。但這裡有兩個問題，一是每次進行手動加解密，使人們的操作負荷大大增加；二是需要查詢或編輯文檔的人員，仍能獲得文檔的明文，如果這些人要主動泄密，仍然非常容易。為了解決這兩個問題，一種叫做「透明加解密」的技術應運而生。透明加解密技術，有三個特點：

1．無手動加解密操作。每次需要打開文檔時，自動解密，呈現在界面上；需要保存時，自動加密，保存到介質上。加解密對用戶來說，是透明不可見的。

2．集群化密鑰環境。文檔在指定集群的範圍內，可以正常打開和編輯，一旦流出這個範圍，不管是通過網路外發，還是用移動存儲介質拷貝攜出，都不再可以打開。請注意，這是一個本質的改進，其原理是，文檔使用者並不擁有加解密的密鑰，許可權較高的密鑰管理者，卻不擁有文檔使用許可權，這自然形成了一種相互制約的關係。作為補充，密鑰管理可以使用二次加密變換機制，加之USBKey防分析自定義加解密演算法的應用，即使同時擁有了密鑰與文檔的人，要在外部環境打開已加密的文件也變得極其困難。當然，如果確有文檔外發需要，可以建立一定審批機制在內部解密成明文之後再發出。

3．防泄密的控制，細化到文檔。這種加解密，不是針對整個機器進行，而是有選擇地針對某些類或某些個文檔進行。

比較與結合

比較這兩種思路，可以發現它們各有優劣。隨著新技術不斷出現，數據傳輸方式和存儲手段呈多樣化的趨勢，封堵的思路受到嚴峻的挑戰，可謂堵不勝堵，防不勝防。對正常的數據傳送，處處封堵設防，也會嚴重地犧牲操作方便性。而加密的思路，多少會帶來一些性能影響，並且列印、防界面拷貝等方面加密比較困難。

基於這兩種思路，市面上的防主動泄密產品可以分為兩類。傳統的防水牆產品，主要採用封堵的技術路線，而新型防主動泄密產品則主要採用透明加解密的技術路線。但它們同時又是兩種技術思路結合的產物，比如一些防水牆產品在網路傳輸過程中也採用了加解密機制；而透明加解密產品，在控制列印和界面拷貝時也採用了封堵的技術。在產品的實際運用中，一般還會加入記錄文檔操作日誌進行事後審計的功能。

推薦閱讀：