很多朋友向我抱怨过,他们公司的重要数据,如客户信息、产品价格等等保护的严严实实的,但是,在外面仍然流传着我们公司泄露出去的重要数据。该怎么有效的保护好公司的数据呢?要实现这个目标,我们首先要对数据的泄露渠道做一一分析。现在很多公司也采取了一些行之有效的保护措施,如禁用了公司所有的USB接口,对邮件也加强了检测,对于重要文件利用文件服务器进行统一管理,但是,文件泄露事件仍然不少。其实,他们是忽视了一个环节,就是文件在网络中传输时,是否有人在偷窥呢?
假设现在企业员工刚把从广交会上收集来的客户信息整理完毕,现在准备把客户信息发到文件服务器上,以便销售经理及销售总监进行查看。他们以为从自己的电脑发出的文件,在网络上传输肯定是比较安全的。但是,他们不知道,数据在网络传输的过程中,也有这么多人在虎视眈眈,在检测你的数据。若他们觉得数据有价值,就可以不通过文件服务器,而直接在网络传输的过程中,获得所需要的文件。如此,文件服务器上的权限控制、访问日志等等安全措施将会一无用处。
利用IPSec策略,可以非常轻松的解决这个问题。
IPsec 在 IP 层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。IPsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。
简单的说,IPSec能够对网络传输过程中的数据进行加密,即使有人在偷窥网络中传输的数据,但是,其得到的数据都是加密过后的内容,若不知道解密策略,则得到的都是一些乱码。如此,其即使得到文件,但是,也是一无用处。
当然,IPSec(IP安全策略)除了以上这个功能外,还有防止数据在传输过程中被更改、数据源认证等功能,不过对于企业来说,最实用的还是这个对于传输数据加密的的这个功能。
那他是怎么实现这个功能的呢?会不会增加员工操作的难度呢?
一、通讯之前会相互认证。
假设现在用户要向文件服务器上传一个重要文件。在用户进行上传请求时,用户所在的电脑,其会跟服务器进行一些相互之间的认证。
用户的电脑会查询服务器是否采用了IP安全策略,其是否可用等等。而服务器也会告诉用户电脑,说我现在已经启用了IP安全策略,而且,是强制性的,你如果要向我发送文件,必须也采用IP安全策略。否则,我就拒绝接收你发的文件。然后用户的电脑,若已经配置了IP安全策略的话,就会自动启用IP安全策略,若没有配置,则这个文件上传的动作就不会成功。
若我们假设用户的电脑也同意使用IP安全策略,则用户的电脑就会跟服务器协商,获得一组加密的密钥,然后,用户的电脑就用这组加密的密钥对要上传的文件进行加密。如此,就可以实现在传输过程中,对于网络中传输的数据进行加密传输。
这里要注意一点,就是在服务器端上,我们可以设置IP安全策略是可选的。也就是说,是否采用IP安全策略要看客户端来定。若用户电脑要求使用IP安全策略,则在传输过程中,就可以采用IP安全策略;若用户电脑没有启用IP安全策略,则在传输中就不会用IP安全策略进行保护。这跟强制性的IP安全策略比较,有个最明显的区别,就是强制性的话,通讯双方没有选择,若不采用IP安全策略的话,则通讯就不会成功,没有协商的余地。而若是选择性的,则双方可以相互协商,到底是否要采用IP安全策略进行保护。
