10種防止資料外流的方法

來源：TechRepublic
翻譯：小乖
日期：2010年4月2日

未經許可請勿任意轉貼本文

使整個網路癱瘓的駭客攻擊是眾所關注的，所以許多公司通常會針對此類的威脅進行防範。
但如果你的組織只專注於這類的安全措施，那就像是將精力全用在防止炸彈狂轟炸建築物而忽略小偷走後門竊取所有有價值的東西。



非常可惜地，相同的安全警戒多於看重防止DoS攻擊，病毒，蠕蟲及其他高曝光率的攻擊並且可能注意到更加險惡的問題如：竊取公司資料及其他目的等行為。公司的交易紀錄等級密資料落入敵對公司手中或其他情報販等將可能造成比系統停擺更具威脅的傷害。

本文將探討您需要做哪些步驟防止資料外洩

1. 實踐最低權限及資料複寫規章的原則

目前有兩種權限管理型態，第一種是”完全開放型”，所有的資源都是開放的，除非有特殊資源需要特別上鎖，所有的人都能自由取得全部資源。第二種是”最低權限型”。此類型的資料管理預設所有的資料都是機密並對外封鎖，只有被賦予權限才能存取該資源。第二類的管理型態如政府機關”極須知道”的管理政策；只有使用者出示需求證明才會被給與權限存取原本無法取得的檔案。

您或許認為確認職員不把重要的公司檔案在未經許可下進行複製，帶回家或利用電子郵件寄送給公司外的收件者是理所當然的。但是，除非有白紙黑字的明文條例並有職員簽下同意書，否則沒有確實記載的條例是極難執行並且難以懲罰犯規者。

公司條例應該必須十分明確，具體，並舉例哪些行為是被禁止的。除非舉出實際案例，職員可能無法完全理解。譬如將公司極祕文件寄送到外網收件者形同將該文件放進USB隨身碟中帶離公司是同罪。當然，編寫條例的用詞應該強調其規章並不僅限於舉例中的情況。

2. 限制權限及存取審核

您不能單靠政策來保護資料。光是告訴職員什麼是不該做的並不能防止此類行為。將科技導入政策使他們沒有了選擇是否遵守的能力。第一步是在特定檔案及資料夾套用正確的權限設定。存於Windows網路中的檔案並不一定要使用NTFS格式的硬碟，所以您可套用任何NTFS權限與其他類型的分享權限。NTFS權限的設定比分享權限更加細微，並能同時管理使用者在單機電腦與網路存取的權限。沿用”最低權限”的概念，您應該給予使用者能夠完成工作的最低權限。譬如只給予使用者”讀取”的權限防止資料被進行修改等。

您同時也可在含有敏感內容的檔案及資料夾設定存取審核便於紀錄什麼人存取了該資料。欲瞭解更多Windows Server系列內建的控管審核請按此。其他第三方檔案控管方案亦可在數個檔案庫間管理存取：
 NTP Software File Auditor
 Blue Lance LT Auditor +
 isdecisions FileAudit for Windows

3. 使用加密

另一個使用NTFS檔案系統的好處是它能套用Encryption File System (EFS：加密檔案系統)。Windows 2000以上的系列作業系統都能支援EFS並防止其他有NTFS存取權限的人擅自開啟受加密的檔案。Windows XP/2003使用者更能透過權限設定允許特定使用者與其他人分享EFS加密的資料夾。

竊取資料的其中一種手段就是偷竊整台電腦，特別是筆記型電腦。Window Vista/7 商務版/旗艦版可使用BitLocker進行硬碟加密防止資料被竊取。欲瞭解更多EFS及BitLocker請參考Prevent data theft with Windows Vista’s Encrypted File System (EFS) and BitLocker

其他第三方加密工具也可列入考量如：
 PGP Whole Disk Encryption
 Check Point Full Disk Encryption Software Blade

4. 實施權力管理
上列方法可以防止資料竊賊等不該有權限的人存取資料，但若對象是必須給予權限的人呢？您可利用Office 2003/2007所支援的功能Windows Rights Management System (RMS：權力管理系統)及Information Rights Management (IRM：資訊權力管理)防止使用者透過電子郵件或其他管道散播您所寄送給他們的Office檔案如Word, Excel, Powerpoint等。若欲瞭解更多關於RMS/IRM資訊請參考：TechNet

5. 限制卸除式存取裝置的使用

其中一種最為熱門的竊取電子檔案方法就是是用卸除式存取媒體或裝置。USB隨身碟是便宜且容易使用的存取工具，大容量的SD卡及CF卡等快閃記憶體也能輕易存取大容量的資料。使用者也可以用iPod等MP3播放器或是CD/DVD光碟機將重要資料從系統取出帶走。您可在USB等卸除式媒體插孔上加蓋防止使用者使用此類存取工具，也可以利用軟體限制個別電腦與網路上此類型的存取。
Vista在群組原則中可限制卸除式裝置如USB，光碟燒錄機等工具的使用。其他作業系統也有第三方軟體如GFI所研發的Portable Storage Control (PSC)。

6. 掌握筆記型電腦的控制

另一個將檔案帶離網路的方法是透過筆記型電腦或掌上型電腦連線公司網路。您需要適當管理哪些電腦可以連至區域網路(LAN)哪些不行，無論是無線連接或透過集連器(Hub)等有線連至網路。

您也可用IPSec防止不屬於公司網域的電腦在未經過許可連至內網與其他電腦進行連結並存取公司資源。欲瞭解更多請見：Server and Domain Isolation Using IPsec and Group Policy

7. 設定對外連線(Outbound)內容規則

防火牆可達到不只是防止公司所不歡迎的外網內連行為，同時也能禁止特定資料傳輸離開內網。您的資料可由物理型態被帶離，也可能透過虛擬途徑如電子郵件，Peer-to-Peer(P2P)點對點分享軟體達到相同效果。您可設定防火牆擋下此類外傳行徑如P2P軟體。

您可設定電子郵件規則禁止流向外網的附件也可利用關鍵字過濾或過濾內容的軟體來防止資料外流。此外，下列服務也是可以考慮的管理方案：

 Microsoft ForeFront technologies
 McAfee’s MX Logic
 GFI Mail Security
 Google’s Postini

8. 控制無線網路通訊

就算是可以透過防火牆封鎖對外連線與傳輸，公司職員等特定人員依然可以將公司的電腦帶到其他沒有限制的網路進行連線，有時電腦也可能利用手機作為數據機連線上網。注意公司內可能有收到其他網路並適時遮蔽此類訊號將是可能需要的工作。

9. 控制遠端連線

使用者並不一定要在固定場所才能連至公司網路，由現今所流行的電信與移動式上網技術，使用者能隨時隨地與公司網路進行連線。

10. 小心防範創意性的資料竊盜手段

切記重要資料可以透過各種管道流出如列印，竊賊亦可在垃圾桶取得尚未毀滅的資料。哪怕您已經實施權力限制等機制，竊賊依然可以用數位相機拍攝重要資料或用筆抄下文件。務必隨時注意各種資料竊盜手段並採取行動阻止其行為。