受访人：东软网络安全事业部产品总监 杜强

　　Q:互联网企业以及传统企业对于数据安全防护的主要需求是什么?

　　A:如今，传统企业纷纷尝试基于互联网搭建在线的业务系统，进而推动业务的创新和发展。与此同时，计算机网络的开放互联却导致了业务系统容易遭受非法授权用户的攻击，引发敏感数据泄露。这使得企业数据安全防护的紧迫性和意义变得更加重要。通常来讲，数据安全防护的目标就是要确保数据的可用性、完整性和保密性，防止数据在存储和传输过程中出现增加、修改、丢失和泄露等异常情况。在数据存储过程中，主要通过现代信息存储手段实现安全备份、异地容灾等安全防护;在数据传输过程中，主要通过现代密码算法实现数据加密、数据完整性和身份认证等安全防护。

　　Q:数字证书、数字签名、应用安全网关等能否满足当前的数据安全需求?

　　A:数字签名基于“非对称密钥加解密”和“数字摘要“两项技术实现，可用于验证发送方身份，判断在传输过程中，数据是否被修改过，验证数据的完整性。但是，只有当密钥是真实可靠时，使用数字签名才是安全有效的。如果发送方的公钥是不可信的，那么仍然存在数据泄露的风险。为此，我们需要通过独立的证书权威机构(Certificate Authority, CA)统一对外发放可信公钥，即包含机构名称、签名信息和公钥在内的数字证书。由于安全形势日益复杂，传统单一功能的安全产品已经无法满足数据安全防护的需求，数据安全解决方案应当是一整套功能产品、以及综合安全防护措施的相互配合。应用安全网关就是各种数据安全防护技术的有机融合，具有从网络层到应用层全面的安全防护作用，能够更好地满足当前的数据安全防护需求。以东软推出的面向应用的高性能、智能化下一代集成安全网关NISG为例，它集防火墙、VPN、DoS/DDoS攻击防御、入侵防御、防病毒、防垃圾邮件、URL过滤、应用协议识别与控制等多项尖端安全技术于一身，可以为用户提供业界领先的一体化数据安全防护解决方案。

　　Q:.防火墙设备以及安全感知系统等防火措施能否保证用户数据安全?

　　A:防火墙设备通常作为第一道安全防护屏障，被部署在边界和入口位置，起到网络隔离和访问控制的作用。然而，用户的数据安全问题已经越来越多地产生于操作系统和应用程序的漏洞(如，缓冲区溢出、SQL注入等)，传统的防火墙设备在抵御此类攻击时，往往应对比较吃力。为了解决该问题，众多安全厂商纷纷推出了下一代应用防火墙产品，综合运用防火墙、VPN、入侵防御、防病毒、防垃圾邮件、应用控制等技术，增强应用层的数据安全防护能力。安全态势感知系统是在海量的网络数据中挖掘出有用的攻击信息，然后进行综合分析，预测网络安全的趋势。网络数据是态势感知的基础，没有这些数据，安全感知将无从谈起。同时，有了海量数据，计算资源也需要与之匹配，以便适应分析处理的需要，否则，安全感知系统的运转效率就会极大降低，无法适应防护需求。近年来，大数据、云计算的兴起使得海量数据的采集和计算成为了可能，更好地实现了安全态势感知、威胁预警等数据安全防护需求。

　　Q:对于企业用户来说，内网安全和数据传输安全的痛点在哪里?数据安全解决方案供应商如何解决这些问题?

　　A:虽然防火墙在边界防护上起到了较好的网络隔离和访问控制作用，但是已经难以满足用户网络全方位的数据安全防护需求。根据调查统计，企业和政府机构由于信息泄露所造成的损失已经超过黑客攻击所造成的损失。实际上，80%以上的安全威胁是来源于内网的。上网行为管理、终端接入监控、核心数据保护是内网安全需要着重解决的问题。上网行为管理系统是一种有效应对内网安全防护的产品。通过行为管控、应用控制、流量监控、终端接入控制、VPN等功能，上网行为管理系统可以防止内部员工进行与工作无关的上网行为，保障关键业务的带宽流量，防止信息泄露，保护数据传输安全。

　　Q:网络边界日渐模糊的今天，安全厂商如何从边界防护扩展到全面数据安全防护?

　　A:过去，企业用户的安全防护主要关注的是边界防御，将攻击威胁拦截于其进入企业网络之前。这样的防护思想固然重要，但是到了今天，云运算、移动设备，以及APT-高级持续性渗透攻击已经改变了网络边界的内涵，安全威胁的爆发点不再集中于企业网络的传统边界位置，边界安全防御设备(如，防火墙)也不再是数据安全解决方案的全部。为此，企业需要一种能够将安全防护从边界防护扩展到以数据为中心的全面安全防护解决方案。全面的数据安全防护应当聚焦于“内容”与“数据”本身的安全，可行的方案包括在访问控制、入侵防御的基础上，融合上网行为管理、安全态势感知和安全集中管理防护技术。其中，上网行为管理可以起到网络监管作用，杜绝滥用带宽资源，防止重要信息资产泄露;安全态势感知用于采集威胁信息，掌控数据使用状态，将安全防御可视化;而安全集中管理则可以在全局角度监管整个网络中的安全设备，实时监控设备运行状态，全网集中审计日志，统一更新规则，集中下发策略。

　　Q:数据加密技术作为保证数据安全的重要手段有哪些改进，核心防护机制是什么?

　　A:数据加密技术是保护数据传输和存储安全的重要手段，也是数据安全的核心。根据作用的不同，数据加密技术可划分为数据传输加密技术、数据存储加密技术、数据完整性鉴别技术和密钥管理技术。随着虚拟化、云计算的应用，以及智能移动终端的普及，面向虚拟化、云计算和移动终端的数据加密安全也开始纳入到了企业数据安全保护的范畴，开始出现智能动态加密以及加密与数据防泄漏(DLP)的融合趋势。

　　Q:如何在保证数据传输安全的同时解决终端设备数据传输安全问题?

　　A:随着越来越多的企业允许员工使用智能移动终端接入办公网络，企业数据安全管理方案也出现了较大改变，需要在保证智能移动终端安全接入的同时，保护业务系统和数据传输安全。一般来说，保护移动终端数据安全可以考虑对移动终端的接入进行认证，同时基于移动终端实施数据防泄漏(DLP)，通过数据传输隧道加密保护移动终端与业务系统之间的通信安全。通过上述防护功能的深度整合，可以充分保证终端设备的数据安全。