防水墙四招防失泄密

目前大多数企业或机构针对内部员工的泄密行为，所采取的措施包括禁止使用网络或严禁计算机上网，禁止使用可移动存储器等。现实发现，这些传统的防止信息泄露的手段已经不能满足要求。传统方法依靠内部人员的责任心、自觉性，对失、泄密行为难以做到有效的预防和检查。而且传统的解决办法还采用强制的管理方法，既增加成本，又不便于管理。

以防水墙为代表的防止内部信息泄漏的安全产品，就是在这种背景下应运而生的。中软公司在2002年提出防水墙概念之后，以防水墙为代表的一类防止内部信息泄漏的安全产品相继出现。目前市场上占主流的、也是最有代表性的产品就是防水墙WaterBox系统。“防水墙”的名字与“防火墙”相对，“Water”得名于安全技术的一个名词，可理解为流动的信息。“Box”这个词则象征防泄漏的手段和工具。类似的产品都是属于终端计算机防信息泄漏产品，对失泄密的途径进行了安全防护。针对四种常见的泄密方式，防水墙在技术和产品上都有相应的解决方案。

网络化造成的失泄密及对策

通常网络化造成失泄密途径有：内部人员通过SMTP、POP3、WebMail、FTP、PSTN等方式使用网络，有意或者无意将企业内部敏感信息或信息传送到外部造成失泄密；内部人员使用互联网传送秘密信息时被窃取；在互联网上，利用特洛伊木马技术，对网络进行控制，如BO、BO2000；

对网络失泄密进行防护，应该从网络层、传输层及应用层三个层面上进行控制。IP访问控制，TCP访问控制，UDP访问控制，对应用层的控制管理，应该对信息流出的方式进行考虑防护。针对这一失泄密方式，从控制粒度及全面性来说，防水墙系统占有优势。防水墙系统实现了从粗粒度到细粒度的控制，控制范围从网络层到应用层。控制策略有完全禁止、条件防护（黑名单、白名单）、自由访问。防水墙系统对通过网络造成失泄密的各种可能途径进行了有效的防护。

外部接口失泄密及对策

为了使用的便利，现代的计算机提供了大量的、各式各样的外设接口。而这些外设接口都可能是造成信息泄漏的途径。这些外设接口有：USB接口、串行总线、并行总线、红外接口、PCMCIA接口、软盘控制器、DVD/CD-ROM驱动器等等。

防水墙产品对目前常见的计算机外部接口要采取管理措施，采取了有效的防护。开关量的控制足以防护通过计算机外部接口造成的失泄密事件的发生。

移动介质失泄密及对策

越来越多的敏感信息、秘密数据和档案资料被存贮在计算机里，大量的秘密文件和资料变为磁性介质、光学介质，存贮在无保护的介质里。例如：非法拷贝秘密信息到移动介质中，存贮在媒体中的秘密信息通过互联网被泄露或被窃取，存贮在媒体中的秘密信息在进行人工交换时泄密，存有秘密信息的磁盘等媒体被盗等，有些秘密外泄的危害程度是难以估量的。各种存贮设备存贮量大，丢失后造成后果非常严重。

移动存储介质的防护不仅仅要实现开关量的控制，更要对拷贝到存储介质的文件进行管理，采取文件内容备份或是拷贝内容进行加密处理。在对移动存储介质进行防护时，在强调安全性的同时不可忽视易用性。

防水墙对移动存储介质的控制策略非常灵活、实用。控制策略有“禁止使用移动存储设备”、“自由使用移动存储设备”等等。这些控制策略设置方便、灵活、实用性强，能满足各种用户的需求。防水墙的加密功能可以为用户带来很大的方便，既可以在局域网内使用移动存储器，又可以防止敏感信息外泄，是防水墙的一大亮点。

打印机失泄密及对策

通过打印机打印文件所造成的信息失泄密也不能忽视。将打印的文件通过纸质形式带出，也会造成一些机密、秘密文件的外传泄漏。

对打印机的管理措施应该有开关量的控制，最好能实现对打印的文件内容进行备份，以便事后审计。在目前的产品中，防水墙系统对打印机的策略防护很合理。中软防水墙系统对打印机的策略有“禁止使用打印机”、“自由使用打印机”、“记录打印原文件或影像文件”。

除了上面针对失泄密的途径进行防护之外，防信息泄漏的产品基本上都有针对文件的控制策略。中软防水墙有文件保险箱的概念，同时系统内置了强大的安全文件交互系统、文件加密服务器。在防水墙系统管理域内进行文件交流时，可以选择个人、组内、全域、跨域个人的加密共享方式。相应的加密后的文件只有相关人员才可以浏览，查看、编辑这些文件时系统自动加解密。经过上述几种方式加密的文件，分别只能在个人、组内、全域内安装客户端机器上才能查看、编辑，离开了相应的环境，都不能正常浏览。