数据泄露防护（DLP）分域安全简述(4)

四、数据泄露防护分域控制方案特例

基于动态加解密技术的数据泄露防护体系用途非常广泛，并可以针对各个网络域定制开发出相对应的产品。以下是数据泄露防护分域控制方案针对网络域的几种典型例子。 

1.移动存储设备

目前应用得最多的的移动存储设备是U盘和移动硬盘。针对这两种移动存储设备，目前通常采用的是磁盘分区加密技术，对磁盘分区或者扇区进行加密控制，所有从内部网络流转到移动存储设备的文档和数据都会自动加密保护。市面上有成熟的产品如安全U盘（UDiskSec）和安全移动硬盘(EDiskSec)可以选择。

2.数据库

使用数据库安全保密中间件对数据库进行加密是最简便直接的方法。主要是通过三种加密方式来实现：1.系统中加密，在系统中无法辨认数据库文件中的数据关系，将数据先在内存中进行加密，然后文件系统把每次加密后的内存数据写入到数据库文件中去，读入时再逆方面进行解密，2.DBMS内核层（服务器端）加密：在DBMS内核层实现加密需要对数据库管理系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。3.DBMS外层（客户端）加密：在DBMS外层实现加密的好处是不会加重数据库服务器的负载，并且可实现网上的传输，加密比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加解密处理。

针对以上三种数据加密方式的不足，目前已经有全新的数据库加密保护技术。通过磁盘全盘加密技术和端口防护技术，对数据库的载体（磁盘）进行全盘加密和数据流转途径（端口）进行控制，从而实现数据库加密保护。这种方式还能解决数据库加密方案最常见的问题——无法对数据库管理员进行管控。通过端口防护，即使数据库管理员能得到明文，但是因为端口已经被管控，所以数据依然不被外泄。

目前市场上成熟的产品有北京亿赛通公司的数据库加密防护系统（DataBaseSec）。

3.笔记本电脑

笔记本电脑在运输途中，比如在出租汽车、地铁、飞机上，经常会被遗失；在停放的汽车、办公桌、会议室甚至是家里，也常发生笔记本电脑被外贼或者家贼盗取；在笔记本电脑故障送修时，硬盘上的数据就完全裸露在维修人员面前。针对笔记本电脑数据保护，国际上通用的防护手段就是磁盘全盘加密技术。

硬盘生产厂商例如希捷、西部数据和富士通等都支持全盘加密技术，将全盘加密技术直接集成到硬盘的相关芯片当中，并且与可信计算机组（TCG）发布的加密标准相兼容。在软件系统方面，赛门铁克推出的Endpoint Encryption 6.0全盘版，以及McAfee的Total Protection for Data、PGP全盘加密和北京亿赛通公司的DiskSec，都是不错的选择。

五、总结

信息系统安全需要从多方面加以考虑，需要研究整个内部网络的安全策略，并在安全策略的指导下进行整体的安全建设。本文所介绍的是一个典型的分域安全控制方案，针对不同的网络区域采用不同的技术手段进行实现加密防护。