网络与信息安全问题已被列入国家安全的重要组成部分。特别是涉及到企业核心业务系统的敏感数据内容安全管理，一直是很多企业在当今信息化发展时代的头等大事。近日笔者走访了数据泄露防护领航者，北京亿赛通科技发展有限责任公司(简称“亿赛通”)资深安全专家王维宏先生，就重要信息系统敏感数据内容安全管理解决方案进行了详细的探讨。

王维宏先生首先就系统敏感数据内容安全的威胁，以运营商为例进行了分析。他指出：今天谈的主要是信息安全，涉密、非涉密，对企业来讲是敏感与不敏感的问题，一般来讲在运营商里面，会把信息系统分为管理类和运营类，不管是管理类、运营类内部都要使用这个数据，传播这个数据，甚至打印这个数据，这个数据因此会传播出去。现在最多抱怨是我们个人信息在移动运营商那里被传出去。这种情况下，实际上有多种数据信息需要保护，最主要问题是在运营商体系里面，重要信息系统业务访问源众多，形成整体的安全威胁，工信部对此也提出了要求。

一、重要信息系统---面临诸多安全隐患

1.不合法访问造成非法窃取。

我们说结构化数据的后端数据库，你要访问怎么办?首先得有合法的用户身份，没有合法用户身份访问不了，这是安全保障。但是现在黑客技术就是拿到你的合法用户，甚至是你的高级用户，这时虽然身份是合法的，但是人不合法，这种情况下，造成非法窃取系统身份。

2.移动终端造成数据泄露

移动终端如果我要从应用系统里面拿数据的时候，那个数据非常庞大，怎么办?我会下载成文件，这在很多系统里面都有这种情况。我把一堆数据集成一个文件下载下来，下载完了之后，有一个是自用过程，里面的数据需要，我把它粘到别的地方去，那这个文件就出去了，还有一个就是打印。另外是传播过程，我给了老张，老张给了老李，有的时候通过移动介质给带出去了，现在多频时代的发展，用户端非常多，移动终端也能拿到数据，而且能带着走，带着走给了谁，我也不知道。

3.文档加密自身弱点

是文档加密，文档加密也有它自己的弱点，虽然是从源头上做加密，但是它的弱点是会引发很多关联系统的整合问题。这些解决方案都有它的优势和弱势。

二、亿赛通---敏感数据安全解决方案

接下来王维宏先生介绍了亿赛通(www.esafenet.com)的系统数据内容安全解决方案，他介绍说，我们今天提出的解决方案，要自上而下、逐层管控，防审结合。

1.亿赛通一体化平台，增强安全访问

一体化平台，我们称之为数字资产内容安全管理平台。这个平台首先要解决的是核心数据防护，通过数据通道加密，结合增强身份认证，实现系统数据使用边界控制，第二是要实现离线数据防护，通过下载文件加密，结合增强身份认证，实现离线文件使用权限控制。第三是外发数据防护。

2.亿赛通三重防御体系，增强数据安全

①核心数据安全防护

关于对于核心数据的访问，他介绍说，中间加一个数据加解密网关，我的网关不在运营系统前端，整个数据库是密的，虽然得到这个系统的用户密码，你就会发现你没有几乎用。对于合法用户来说，用终端进行解密，这个时候数据窗体已经被解密，同时能看到哪些人能够打印，哪些人不能打印，打印的时候要加一个标。这是对核心数据。

②离线数据安全防护

关于离线数据，他介绍说，我们做了加密以后，非法用户已经无法访问这个系统。下载数据的时候文件也是加密，渠道文件信息把文件做加密，所有用户拿到文件的时候，不管是什么方式来接入，都会发现这个是密文，包括离开这个网络，我这个东西是不是在服务器上认证的，充分考虑有没有离网设置，但是非法用户拿到这个文件打不开，因为没有身份认证。同样合法用户在使用内容的时候也要控制打印，没有权限，这个工作是做不了的。对于移动用户同样采取相应的办法，这样即便通过移动终端设备也取得不了数据。

另外，在离线数据基础上我们加了一个东西，离线下来的数据要做授权处理。领导看领导的，群众看群众的，领导能看群众的，群众的看不到领导的，A级的人能看到B、C、D级的，但是B级往上的就看不到的，我们这个是群组的，当然也可以叠加。由于这两种权限的出现，会出现另外一个问题，说一定要划开，因为业务需要要看文件，那我们就有一个跨级借阅，拿到文件以后，这个文件由上级授权给你，但是有一个时间的限制，超过了时间和次数之后，这个文件是不可用的，也打不开。当然也可以自主性授权，根据业务需要，对这个文件可以进行区分，这种授权我们提供系统接口，比如某个具体业务，某个具体文件做什么样的权限，可以通过接口实现。

③外发文件使用控制

他介绍说，通过加密限制数据窗体，对文件进行分装，由人来做分装，由数据责任人来做分装，分装完以后有相应身份认证，通过身份认证以后，你会发现这个文件有点怪，这个文件打开以后可能不能打印。比如说合同系统，做好合同以后发给对方，他会发现这里除了打印，什么也不能干，而且这上面还有感光水印，这样起到防伪作用，使用次数和时间也是受限的。同时，我们有三种认证方式，一个是密码解密，二个是U-Key解密，发给你一个Key，Key听起来很安全，但是要花时间。三个是机械解密，要打开文件，找发件部门要一个激活号。可以通过手机短信来确认这个激活号，那就可以打开这个文件。这样一来，三种防护体系基本上解决了数据窗体、下载文件和外发文件。

在最后他总结到：其实亿赛通数据泄露防护系统是通过一个整体的对于应用系统周边所有的应用进行防护，并且再加上一个操作来实现，形成一个安全屏障，主要防范的是数据内容、数据加解密网关、综合管理服务器、终端软件数据内容管理!