三、数据泄露防护分域控制方案

    在数据泄露防护方面，可以从不同角度来保证安全。单一针对某个局部的防护技术可能导致系统安全的盲目性，这种盲目是对系统的某个或某些方面的区域采取了安全措施而对其它方面有所忽视。因而，针对数据安全，我们采用分域控制方案，将整个网络分为终端、端口、磁盘、内部网络四种域，进而对各域的安全采取不同的技术措施。

    1.终端

    终端是指在接入内部网络的各个操作终端。为了保证安全，可以从四个方面采取措施：

    1).针对研发类、技术类局域网终端，可以采用文档透明加密系统加以控制。

    2).针对研发设计类之外的局域网终端，可以采用文档权限管理系统加以控制。

    3).从局域网发往外部网路的文档，可以采用文档外发控制系统加以控制。

    4).针对整个局域网内部文档和数据安全，可以采用文档安全管理系统加以控制。

    2.端口

    局域网和外部网络之间的网络端口，局域网各个终端的移动设备接入端口，以及各个终端的信息发送端口，可以采用两种方式加以控制：

    1)端口控制

    对移动储存设备、软盘驱动器、光盘驱动器、本地打印机、数码图形仪、调制解调器、串行通讯口、并行通讯口、1394、红外通讯口、wifi无线网卡、无线蓝牙等进行启用和禁用/禁止手机同步等。

    应用端口控制技术，可以使所有从端口输出的文档和数据自动加密，防止明文出口。

    2)移动设备接入控制

    通过对外部移动设备接入访问控制，防止非法接入。

    3.磁盘

    所有的文档和数据都必须保存在存储介质上。存储介质主要包括PC机硬盘、工作站硬盘、笔记本电脑硬盘，移动存储设备（主要是U盘和移动硬盘）。对这些存储设备的磁盘和扇区进行控制，主要可以采用磁盘全盘加密技术和磁盘分区加密（虚拟磁盘加密）技术。

    1)磁盘全盘加密

    磁盘全盘加密技术（FDE）是目前已经非常成熟的一项技术，能对磁盘上所有数据（进行动态加解密。包括操作系统、应用程序和数据文件都可以被加密。通常这个加密解决方案在系统启动时就进行加密验证，一个没有授权的用户，如果不提供正确的密码，就不可能绕过数据加密机制获取系统中的任何信息。

    2)磁盘分区加密

    磁盘分区加密，顾名思义，就是对磁盘的某一个分区（扇区）进行加密。目前比较流行的虚拟磁盘加密就是对分区进行磁盘级加密的技术。这种技术在国内比较多，一般用于个人级的免费产品。

    相应的产品有文档保险柜DocSec。

     4.服务器

    同样是应用文档级加密的数据泄露防护体系，针对服务器防护已有专门的产品。通常，用户的服务器有资源服务器（文档服务器等）和应用服务器（PDM、OA、ERP等服务器），对这些服务器，可以采用网关级产品来进行保护。部署实施文档级安全网关之后，所有上传到服务器上的文档和数据都自动解密为明文，所有从服务器上下载的文档和数据都自动加密为密文。

    目前市面上唯一的一款专业文档安全网关系统（DNetSec），由北京亿赛通开发研制。

    5.内部网络

    内部网络主要由各个终端和连接各个终端的网络组成。通过对各个终端硬盘和终端端口的加密管控，足以对内部网络进行全面控制，形成有效的内部网络防护体系。这种解决方案，其实是把磁盘全盘加密技术与网络端口防护技术相结合，形成整体一致的防护系统。相应的产品有磁盘全盘加密防护系统(TerminalSec)。