防止信息泄露的新方法20XX年个人信息泄露案件无论是主动防护还是被动防御传统的信息泄露防御技术在保证数据不被非授权访问和获取的同时都面临着越来越多的挑战用“终端无痕”防止网络信息泄露成为一种新选择。传统技术面临挑战对信息泄露防御（dataleakagepreventiondlp）的通常解释是：通过一定的技术或管理手段防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或意外流出。通俗地说就是防止对数据非授权的访问和获取。当前信息泄露防御主要分为两大类。一类是主动防护采用数据加密、信息拦截过滤技术对数据本身进行防护;另一类是被动防护采用访问控制和输出控制技术对访问数据的用户操作行为进行防护。主动防护根据所采用的技术又可以分为两种。信息拦截和数据加密。信息拦截过滤部署在网络出口和主机上对进出网络主机的数据进行过滤发现数据被违规转移时进行拦截和警报。然而信息拦截在防止数据泄露的过程中无法进行细粒度的权限验证这一问题越来越突出―只要数据接收者符合输出规定就允许数据流出却不能确定具体的接收者是否拥有数据接收的授权因此必须结合其他的信息防泄露技术加以补充和完善。数据加密技术采用密码技术首先对数据进行加密然后通过密钥管理和密钥的分发实现对数据解密的授权只有被授权的人才能解密和使用数据。但是数据加密是依托密码技术对数据进行保护的对数据在明文使用时产生的数据泄露无法进行保护;同时随着计算能力的不断提高密码破解的代价越来越低而且针对密钥的攻击也是破解密码的有效途径因此不可能完全依靠加密来防止信息泄露。被动防护是指采用访问控制和输出控制技术对访问数据的用户操作行为进行限制和防护大部分被动防护系统都是从身份认证、权限管理、输出控制这几个方面着手的。基于目前的应用结构被动防护面临很大挑战―大部分的输出控制和访问控制都是基于操作系统之上进行的防护从理论上讲都可以被拆卸、篡改或绕过。“终端无痕”防止信息泄露通过对现有信息防泄露技术的分析我们发现两个问题。首先目前信息防泄露技术没有将用户和数据结合起来进行统一考虑考虑问题的角度也不够全面;其次目前的信息防泄露技术是基于传统网络信息系统应用架构之上的信息数据分布在网络系统之中的各个角落安全防护的难度很大。尤其是在传统网络信息系统架构之中数据广泛分布和流动在整个网络空间的终端、服务器、网络设备之间数据流动空间大、范围广、环境复杂因此防泄露技术难度很高风险也很大。必须对传统网络应用模式进行改造将应用和数据集中存放和部署在服务器区域用户使用的应用软件也集中在服务器上运行。如此一来数据流动的范围就缩小到后台的少量服务器上将数据的应用环境固定化、简单化这有益于对数据进行安全保护以全面防止信息泄露。由于数据处理过程是在服务器上进行的数据从来没有进入过终端自然就没有信息痕迹这就实现了“终端无痕”用“终端无痕”防止信息泄露的解决方案如左图。五大优点值得应用采用数据集中存储、集中运算处理、用户与数据和应用之间安全隔离、用户细粒度授权访问控制、用户远程虚拟操作等一系列技术的“终端无痕”解决方案具备以下几大特点。安全边界小通过数据集中存储、应用集中部署和运行缩小了数据流动的范围将安全边界缩小到了服务器区域并在服务器与终端之间部署网络隔离对用户进行身份认证、授权访问控制、传输加密保护等以保护边界安全防止信息泄露。绕不过的强制性安全防护措施采用边界防护设备结合虚拟应用模式对用户进行强身份认证保证用户身份的真实性;同时应用授权发布机制限制了用户对数据的操作。数据的全生命周期的安全数据和应用集中在安全边界内的服务器上集中部署和运行数据从生成、编辑、阅读到删除的全生命周期受到了安全边界的防护。内外兼防用户与数据和应用之间进行网络隔离、虚拟应用、终端无痕迹既能有效地防止内部人员超越权限非法下载、打印、复制文件等不法企图;又能防止终端上病毒对数据残留信息的攻击造成信息泄露。解放了生产力提高了工作效率终端无痕迹就是终端没有数据内容和残留信息因此终端不需要使用涉密密码设备减少了涉密的管理工作。