近期一系列企業數據受到黑客重創，并成為頭條新聞，引發人們深思。痛定思痛之后，如何保護企業重要數據，有沒有一個行之有效的方法，將是人們需要重點思考與行動的方向。

數據安全的重要性

數據泄漏的代價驚人，尤其是當這些數據泄漏關系到我們身邊的每個人。2009年，美國加利福利亞大學的研究人員攔截了一個正在活動從事犯罪的僵尸網絡(botnet)。僅僅八天，這個僵尸網絡就竊取了70 G大小的財務數據，估計其價值達到830萬美元。2011年4月，索尼公司披露，網絡罪犯們盜竊了索尼 PlayStation Network 和索尼在線娛樂網（Sony Online Entertainment）的用戶賬戶信息，受害用戶超過1億；失竊的數據包括用戶信用卡和借記卡號碼。專家估計，該次泄露事件將為索尼和信用卡簽發方造成10到20億美元的損失。

以下是兩組數據：

1） 國際開放安全基金會 (Open Security Foundation) 的資料顯示，2010年一共報告了 451,000 起涉及敏感信息被盜竊、丟失或意外泄露的事件。從2005年到2009年，僅上市公司報告的、因犯罪性數據泄露造成的經濟損失就達1390億美元。不論是犯罪性的還是意外發生的，  數據丟失已成為大問題，它每年造成了上百億美元的損失。

2） 各類網站和存儲設備構成數據記錄失竊或意外泄露的主要部分，造成了巨大的經濟損失。失竊或被濫用的信息占全部泄露的16%，而丟失的或失竊的備份磁帶及其它介質占數據泄露損失記錄的3%。另外，網頁攻擊最普遍且造成的損失最大。這些攻擊造成94%的數據被盜用，平均每次失竊給受害組織造成 143,209 美元的損失。還有，它們主要來自 SQL 注入式攻擊。通過比較可以看出，惡意代碼所造成的平均損失為 124,083 美元，而內部人員每次惡意盜竊造成的平均損失為 100,300 美元。

上述兩組數據均顯示，一旦發生數據泄露事件，將給企業帶來巨大的經濟損失和難以彌補的災難性損害。然而，在受訪統計的企業中，了解到“企業數據的安全性”并未得到真正意義上的重視，其中，采取了具體的措施來防備數據丟失的企業最多只占25%。更多組織沒有有效采取具體措施來防止數據丟失。同時大多數企業依然存在認為傳統網絡防火墻足以保護數據資產的誤區，。事實上，由于網絡防火墻無法對應用程序、電子郵件以及其他應用協議進行監測，從而使其成為實施攻擊、竊取數據最有效的攻擊方向。另外，許多企業將網絡運營外包給第三方公司，錯誤地以為，服務合同中已包含了防止數據丟失的安全性措施。

數據泄漏的安全防護

數據泄漏防護 (DLP) 提供一系列正規的的數據防護手段，其基礎是識別敏感數據并保護其免于失竊或泄露。梭子魚專業研究團隊——梭子魚實驗室的資料顯示，從2010 年始，來自這方面威脅情況發生了重大變化。其中，來自電子郵件方面的安全威脅降低了一半，垃圾郵件總量從每月檢測到 的520 億封下降到每月 260 億封。而利用搜索引擎和社交網站的網絡攻擊來傳染用戶電腦的發生率增長了55%。以前用于傳播垃圾電子郵件的僵尸網站，被重新設置了功能，用來查找網絡應用程序中的漏洞以及用于其它自動攻擊。

針對這一研究，梭子魚公司DLP 解決方案增強和綜合了防護性能，同時能積極智能識別導致數據泄露的攻擊并給予實時阻止。它們還監視特定信息的出站通訊，例如信用卡號碼、社保號碼、電子郵件地址和其它類型的敏感數據，防止這些信息傳入網絡。提供安全的訪問數據的方式。

針對企業數據泄露防護，梭子魚認為，不僅僅是某一款設備能簡單解決的問題，它需要一個綜合系統性解決方案，從多維度解決問題，梭子魚針對上述，提供以下四個方面指南建議：

首先，從“網絡應用”層面，規避數據泄露風險。梭子魚web應用程序防火墻（WAF）提供網絡應用層 DLP 解決方案，主要用于防止網絡數據泄露。網頁應用程序引導數據量通過三層網絡防火墻，一段安全的應用程序中能在最大程度上防止因用戶輸入而造成的數據泄露。然而，一個程序中有數千行代碼，而代碼漏洞往往非常細微，難以識別，所以單純依賴完善代碼來防止數據泄露，本身就存在風險。梭子魚WAF可對所有 Web 應用程序的輸入項進行掃描，搜索可能存在的威脅，例如 SQL 注入、跨站點腳本攻擊 (XSS)、OS 命令注入、站點勘察、會話劫持、惡意探測/爬網程序、cookie/會話竄改以及路徑遍歷。梭子魚WAF可立即阻止檢測到的各類攻擊，同時掃描所有的出站數據信息，防止泄漏任何敏感數據— 這是最典型的 DLP 形式。另外，由于梭子魚WAF具有綜合的記錄和報告功能，因此攻擊一旦發生，將會保留一切證據供分析。

其次，從“電子郵件”層面，規避與切斷數據泄露途徑。梭子魚反垃圾郵件和病毒防火墻（BSF）可阻止外網傳入的、利用電子郵件為網絡切入點的惡意軟件和間諜軟件攻擊，同時還能掃描出站電子郵件和附件，以防止敏感數據遭遇惡意（故意）盜竊和意外泄露。梭子魚BSF還具有電子郵件加密服務，用戶可免費加密郵件，防止意外泄露敏感數據。

第三，針對“遠程用戶”層面，多維度防范數據泄露。梭子魚SSL VPN使遠程用戶能夠對企業內部網絡資源進行安全訪問。在外公干過程中或在不受保護的客戶機上操作的授權客戶，才可安全訪問和使用網絡應用程序、文件和其它內部資源，不會造成敏感數據的泄漏。

第四，隨著“云”的發展與逐步落地，需要更長遠的部署防數據泄露策略，確保數據安全。

梭子魚Web安全網關（BWF）和 梭子魚web安全云解決方案（BWSF） 是保護終端用戶，如臺式機，筆記本系統免于成為數據泄漏切入點的兩種技術。惡意軟件的設計目的是盜竊信息。但是，BWF作為一種工具，BWSF作為一種基于云計算的 SaaS，都能執行雙向惡意程序掃描，免受網絡中其它受感染系統傳入的攻擊；同時，對出去的信息進行掃描，以防止因內部系統受到感染或其它途徑造成的數據丟失。梭子魚間諜程序刪除工具是 BWF 的一部分，對系統進行分析，并隔離可疑項，刪除其上發現的所有間諜軟件。

結論

由于數據泄露的后果通常非常嚴重，加之網絡犯罪越來越趨于自動式掃描攻擊，建議各個企業將 DLP 防護設為最高優先級，并給予重視，能夠更加系統與專業的處理 DLP的相關問題。梭子魚公司戰略性地將 DLP 特性與以下產品或服務相結合：數據傳輸過程DLP 的Web 應用程序防火墻和病毒及垃圾郵件防火墻； 數據訪問過程DLP的梭子魚 SSL VPN、梭子魚Web 安全網關和梭子魚Web安全云服務；使企業能在整個網絡層中開發出一種無縫 式DLP 結構。真正確保數據的安全性。