網絡與信息安全問題已被列入國家安全的重要組成部分。特別是涉及到企業核心業務系統的敏感數據內容安全管理，一直是很多企業在當今信息化發展時代的頭等大事。近日筆者走訪了數據泄露防護領航者，北京億賽通科技發展有限責任公司（簡稱“億賽通”）資深安全專家王維宏先生，就重要信息系統敏感數據內容安全管理解決方案進行了詳細的探討。

王維宏先生首先就系統敏感數據內容安全的威脅，以運營商為例進行了分析。他指出：今天談的主要是信息安全，涉密、非涉密，對企業來講是敏感與不敏感的問題，一般來講在運營商里面，會把信息系統分為管理類和運營類，不管是管理類、運營類內部都要使用這個數據，傳播這個數據，甚至打印這個數據，這個數據因此會傳播出去。現在最多抱怨是我們個人信息在移動運營商那里被傳出去。這種情況下，實際上有多種數據信息需要保護，最主要問題是在運營商體系里面，重要信息系統業務訪問源眾多，形成整體的安全威脅，工信部對此也提出了要求。

 一、重要信息系統---面臨諸多安全隱患

1.不合法訪問造成非法竊取。

我們說結構化數據的后端數據庫，你要訪問怎么辦？首先得有合法的用戶身份，沒有合法用戶身份訪問不了，這是安全保障。但是現在黑客技術就是拿到你的合法用戶，甚至是你的高級用戶，這時雖然身份是合法的，但是人不合法，這種情況下，造成非法竊取系統身份。

2.移動終端造成數據泄露

移動終端如果我要從應用系統里面拿數據的時候，那個數據非常龐大，怎么辦？我會下載成文件，這在很多系統里面都有這種情況。我把一堆數據集成一個文件下載下來，下載完了之后，有一個是自用過程，里面的數據需要，我把它粘到別的地方去，那這個文件就出去了，還有一個就是打印。另外是傳播過程，我給了老張，老張給了老李，有的時候通過移動介質給帶出去了，現在多頻時代的發展，用戶端非常多，移動終端也能拿到數據，而且能帶著走，帶著走給了誰，我也不知道。

3.文檔加密自身弱點

是文檔加密，文檔加密也有它自己的弱點，雖然是從源頭上做加密，但是它的弱點是會引發很多關聯系統的整合問題。這些解決方案都有它的優勢和弱勢。

二、億賽通---敏感數據安全解決方案

接下來王維宏先生介紹了億賽通（www.esafenet.com）的系統數據內容安全解決方案，他介紹說，我們今天提出的解決方案，要自上而下、逐層管控，防審結合。

1.億賽通一體化平臺，增強安全訪問

一體化平臺，我們稱之為數字資產內容安全管理平臺。這個平臺首先要解決的是核心數據防護，通過數據通道加密，結合增強身份認證，實現系統數據使用邊界控制，第二是要實現離線數據防護，通過下載文件加密，結合增強身份認證，實現離線文件使用權限控制。第三是外發數據防護。

2.億賽通三重防御體系，增強數據安全

①核心數據安全防護

關于對于核心數據的訪問，他介紹說，中間加一個數據加解密網關，我的網關不在運營系統前端，整個數據庫是密的，雖然得到這個系統的用戶密碼，你就會發現你沒有幾乎用。對于合法用戶來說，用終端進行解密，這個時候數據窗體已經被解密，同時能看到哪些人能夠打印，哪些人不能打印，打印的時候要加一個標。這是對核心數據。

②離線數據安全防護

關于離線數據，他介紹說，我們做了加密以后，非法用戶已經無法訪問這個系統。下載數據的時候文件也是加密，渠道文件信息把文件做加密，所有用戶拿到文件的時候，不管是什么方式來接入，都會發現這個是密文，包括離開這個網絡，我這個東西是不是在服務器上認證的，充分考慮有沒有離網設置，但是非法用戶拿到這個文件打不開，因為沒有身份認證。同樣合法用戶在使用內容的時候也要控制打印，沒有權限，這個工作是做不了的。對于移動用戶同樣采取相應的辦法，這樣即便通過移動終端設備也取得不了數據。

另外，在離線數據基礎上我們加了一個東西，離線下來的數據要做授權處理。領導看領導的，群眾看群眾的，領導能看群眾的，群眾的看不到領導的，A級的人能看到B、C、D級的，但是B級往上的就看不到的，我們這個是群組的，當然也可以疊加。由于這兩種權限的出現，會出現另外一個問題，說一定要劃開，因為業務需要要看文件，那我們就有一個跨級借閱，拿到文件以后，這個文件由上級授權給你，但是有一個時間的限制，超過了時間和次數之后，這個文件是不可用的，也打不開。當然也可以自主性授權，根據業務需要，對這個文件可以進行區分，這種授權我們提供系統接口，比如某個具體業務，某個具體文件做什么樣的權限，可以通過接口實現。

③外發文件使用控制

他介紹說，通過加密限制數據窗體，對文件進行分裝，由人來做分裝，由數據責任人來做分裝，分裝完以后有相應身份認證，通過身份認證以后，你會發現這個文件有點怪，這個文件打開以后可能不能打印。比如說合同系統，做好合同以后發給對方，他會發現這里除了打印，什么也不能干，而且這上面還有感光水印，這樣起到防偽作用，使用次數和時間也是受限的。同時，我們有三種認證方式，一個是密碼解密，二個是U-Key解密，發給你一個Key，Key聽起來很安全，但是要花時間。三個是機械解密，要打開文件，找發件部門要一個激活號。可以通過手機短信來確認這個激活號，那就可以打開這個文件。這樣一來，三種防護體系基本上解決了數據窗體、下載文件和外發文件。

在最后他總結到：其實億賽通數據泄露防護系統是通過一個整體的對于應用系統周邊所有的應用進行防護，并且再加上一個操作來實現，形成一個安全屏障，主要防范的是數據內容、數據加解密網關、綜合管理服務器、終端軟件數據內容管理！