文件服务器中的数据分析：洞察存储模式和用户行为 (文件服务器中无权限的文件夹)

文件服务器是一个用于存储和管理数据的集中式系统。通过分析文件服务器中的数据，我们可以获得有关存储模式和用户行为的宝贵见解。这些见解可用于优化存储资源、提高数据安全性并改进用户体验。

存储模式分析

存储模式分析可帮助我们了解文件存储的方式。以下是一些常见的存储模式：

• 集中存储：所有文件都存储在单个文件服务器上。
• 分布式存储：文件分布在多个文件服务器上。
• 副本存储：文件的副本存储在多个文件服务器上，以提高冗余。
• 归档存储：不经常访问的文件存储在低成本存储介质上，例如磁带。

通过分析文件服务器中的数据，我们可以确定使用的存储模式以及存储模式的效率。这些信息可用于优化存储资源并减少存储成本。

用，我们可以获得宝贵见解，并采取措施改善文件服务器的整体性能。随着数据分析技术的不断发展，我们有望获得更多见解并进一步提高文件服务器的效率和安全性。

服务器被攻击怎么解决方案服务器被攻击怎么解决方案视频

服务器被攻击怎么办？

安全永远是相对的，再安全的服务器也可能被攻击。作为安全运维人员，要把握的原则是:尽量做好系统安全防护，修复所有已知的危险行为，同时在系统受到攻击后，快速有效的处理攻击行为，将攻击对系统的影响降到最低。

首先，处理服务器攻击的一般思想

系统被攻击并不可怕。

可怕的是面对攻击你无能为力。

下面详细介绍一下服务器被攻击后的一般处理思路。

1.切断网络

所有的攻击都来自网络。

所以在得知系统被黑客攻击后，首先要做的就是断开服务器的网络连接，这样不仅可以切断攻击源，还可以保护服务器所在网络中的其他主机。

可以通过分析系统日志或登录日志文件来查看可疑信息，也可以查看系统中打开了哪些端口，运行了哪些进程，通过这些进程来分析哪些可疑程序。

这个过程要根据经验和综合判断能力进行追踪分析。

以下章节将详细介绍该流程的处理思路。

3.分析入侵的原因和途径。

既然系统被入侵了，原因有很多，可能是系统bug，也可能是程序bug。

我们必须找出是什么原因造成的，也要找出被攻击的方式，找出攻击的来源，因为只有知道被攻击的原因和方式，才能删除攻击的来源，同时修复bug。

4.备份用户数据

服务器被攻击后，需要立即备份服务器上的用户数据，检查这些数据中是否隐藏着攻击源。

如果攻击源在用户数据中，必须彻底删除，然后将用户数据备份到安全的地方。

5.重新安装系统

千万不要以为可以彻底清除攻击源，因为没有人比黑客更了解攻击程序。

服务器被攻击后，最安全最简单的方法就是重装系统，因为大部分攻击程序都会附着在系统文件或内核中，重装系统可以彻底清除攻击源。

6.修复程序或系统漏洞

在发现一个系统漏洞或者一个应用程序漏洞之后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有修复了程序漏洞，才能在服务器上正式运行。

7.恢复数据并连接到网络

将备份数据复制回新安装的服务器，然后启动服务，最后打开服务器的网络连接对外提供服务。

第二，检查并锁定可疑用户

当发现服务器受到攻击时，必须先切断网络连接。

但在某些情况下，比如无法立即切断网络连接时，就需要登录系统，看看是否有可疑用户。

如果有任何可疑用户登录系统，需要立即锁定该用户，然后断开该用户的远程连接。

1.登录系统查看可疑用户。

以root身份登录，然后执行“W”命令，列出所有登录过系统的用户，如下图所示。

通过这个输出，我们可以检查是否有可疑或不熟悉的用户登录，我们还可以根据他们的用户名，他们的源地址和他们的运行进程来判断他们是否是非法用户。

2.锁定可疑用户

一旦发现可疑用户，要立即锁定。比如执行上面的“W”命令后，发现nobody用户应该是一个可疑用户(因为nobody默认没有登录权限)，那么先锁定这个用户，进行如下操作:

[root@server~]#passwd-lnobody

锁定后，有可能这个用户还在登录，所以要把这个用户踢离线。

根据上面“W”命令的输出，可以得到这个用户登录的pid值。

操作如下所示:

[root@server~]#PS-efgrep@pts/3

019:23?00:00:00sshd:nobody@pts/3

[root@server~]#kill-

这使得可疑用户nobody下线。

如果该用户再次尝试登录，它将无法登录。

3.通过最后一个命令检查用户登录事件。

最后一个命令记录所有用户登录系统的日志，可以用来查找未授权用户的登录事件。

最后一个命令的输出结果来自于文件/var/log/wtmp，一些有经验的入侵者会删除/var/log/wtmp来清除自己的踪迹，但是这个文件里还是会有线索的。

第三，检查系统日志

查看系统日志是找到攻击来源的最佳方式。

可用的系统日志有/var/log/messages、/var/log/secure等。

这两个日志文件可以记录软件的运行状态和远程用户的登录状态。

您也可以查看。

bash_history文件，尤其是。

/根目录下的bash_history文件，记录了用户执行的所有历史命令。

第四，检查并关闭系统的可疑进程。

检查可疑进程的命令有很多，比如ps，top等。

，但是有时候只知道进程的名字却不知道路径。

此时，您可以通过以下命令来检查它:

首先，你可以通过pidof命令找到正在运行的进程的PID。例如，要查找sshd进程的PID，请执行以下命令:

然后进入内存目录查看对应PID目录下的exe文件信息:

这样就找到了流程对应的完整执行路径。如果您还有查看文件的句柄，可以查看以下目录:

[root@server~]#ls-al/proc//FD

这样基本上可以找到任何进程的完整执行信息。

此外，还有许多类似的命令可以帮助系统运维人员发现可疑进程。

例如，您可以通过指定端口或tcp和udp协议来找到进程PID，然后找到相关的进程:

有时候，攻击者的程序隐藏得很深，比如rootkits后门。

在这种情况下，ps、top、netstat等命令可能已被替换。

如果使用系统自己的命令来检查可疑程序，它将变得不可信。

这时候就需要借助第三方工具来检查系统的可疑程序，比如之前介绍过的chkrootkit和RKHunter。

通过这些工具，可以很容易地找到被系统替换或篡改的程序。

动词（verb的缩写）检查文件系统的完整性。

检查文件属性是否发生变化是验证文件系统完整性最简单、最直接的方法。

比如可以检查被入侵服务器上的/bin/ls文件大小是否与正常系统上的相同，以验证文件是否被替换，但这种方法比较低级。

此时，可以借助Linux下的工具rpm来完成验证。

操作如下所示:

输出中每个标记的含义描述如下:

s表示文件长度发生了变化，M表示文件的访问权限或文件类型发生了变化，5表示MD5校验和发生了变化，D表示设备节点的属性发生了变化，L表示文件的符号链接发生了变化，U表示文件/子目录/设备节点的所有者发生了变化，G表示文件/子目录/设备节点的组发生了变化，T表示文件的最后修改时间发生了变化。

如果输出结果中出现“M”标记，则相应的文件可能已被篡改或替换。

此时可以卸载这个rpm包，重新安装，清理被攻击的文件。

但是这个命令有一个限制，就是只能检查rpm包安装的所有文件，对于非rpm包安装的文件却无能为力。

同时，如果rpm工具也被替换，则不能采用这种方法。

此时可以从正常系统中复制一个rpm工具进行检测。

检查文件系统也可以通过两个工具来完成，chkrootkit和RKHunter。

chkrootkit和RKHunter的使用方法下次再介绍。

服务器被入侵怎么办？

发现服务器被入侵，应立即关闭所有网站服务

如果安装的是星外虚拟主机管理系统，则重装最新的受控端安装包，重新自动设置受控端网站，这样会自动更改密码。

为系统安装最新的补丁，当然还有所有运行着的服务器软件。

检查添加/删除程序里面是不是被人装了其他软件。

为网站目录重新配置权限，关闭删除可疑的系统账户。

升级PHP安装包到最新，升级软件到最新。

对于袭击服务器的黑客我们只能“预防为主，防治结合，综合处理”的态度,我们所能做的就是预防，在黑客袭击之前做好备份，把损失减到最少。

服务器受到攻击的几种方式？

常见的几种网络攻击形式就我们所知，被用来窃取口令的服务包括FTP、TFTP、邮件系统、Finger和Telnet等等。

换句话说，如果系统管理员在选择主机系统时不小心或不走运的话，攻击者要窃取口令文件就将易如反掌，所以防范的手段包括对软件的使用都要采取十分谨慎地态度，大家一定要记住：坏家伙只用成功一次就够了。

缺陷和后门事实上没有完美无缺的代码，也许系统的某处正潜伏着重大的缺陷或者后门等待人们的发现，区别只是在于谁先发现它。

只有本着怀疑一切的态度，从各个方面检查所输入信息的正确性，还是可以回避这些缺陷的。

比如说，如果程序有固定尺寸的缓冲区，无论是什么类型，一定要保证它不溢出；如果使用动态内存分配，一定要为内存或文件系统的耗尽做好准备，并且记住恢复策略可能也需要内存和磁盘空间。

鉴别失败即使是一个完善的机制在某些特定的情况下也会被攻破。

例如：源地址的校验可能正在某种条件下进行（如防火墙筛选伪造的数据包），但是黑客可以用程序Portmapper重传某一请求。

在这一情况下，服务器最终受到欺骗，报文表面上源于本地，实际上却源于其他地方。

协议失败寻找协议漏洞的游戏一直在黑客中长盛不衰，在密码学的领域尤其如此。

有时是由于密码生成者犯了错误，过于明了和简单。

更多的情况是由于不同的假设造成的，而证明密码交换的正确性是很困难的事。

信息泄漏大多数的协议都会泄漏某些信息。

高明的黑客并不需要知道你的局域网中有哪些计算机存在，他们只要通过地址空间和端口扫描，就能寻找到隐藏的主机和感兴趣的服务。

最好的防御方法是高性能的防火墙，如果黑客们不能向每一台机器发送数据包，该机器就不容易被入侵。

拒绝服务有的人喜欢刺破别人的车胎，有的人喜欢在墙上乱涂乱画，也有人特别喜欢把别人的机器搞瘫痪。

很多网络攻击者对这种损人不利己的行为乐此不疲真是令人费解。

这种捣乱的行为多种多样，但本质上都差不多，就是想将你的资源耗尽，从而让你的计算机系统瘫痪。

尽管主动的过滤可以在一定的程度上保护你，但是由于这种攻击不容易识别，往往让人防不胜防。

也许你还遇到过其他的攻击方式，我们在这里不能一一列举，总而言之一句话：网络之路，步步凶险。

服务器被攻击断网就好了吗？

是的

当我们了解到系统正在遭到黑客攻击时，第一件要做的事情就是断开服务器的网络连接，这样除了切断攻击源外，还可以保护服务器所在网络上的其他主机。

1、排查可疑用户。

2、从系统日志检查攻击情况。

3、检查和关闭系统的可疑程序。

4、检查文件系统是否完好。

服务器被木马攻击怎么办？

如果服务器（网站）被入侵或木马攻击了,一般都是服务器或者网站存在漏洞，被黑客利用并提权入侵的，导致服务器中木马，网站被挂黑链，被篡改，被挂马。解决办法：如果程序不是很大，可以自己比对以前程序的备份文件

深入解析Linux系统中的SELinux访问控制功能

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。

NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。

SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上，也可以作为其他发行版上容易安装的包得到。

SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。

对于目前可用的 Linux安全模块来说，SELinux 是功能最全面，而且测试最充分的，它是在 20 年的 MAC 研究基础上建立的。

SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略，并采用了基于角色的访问控制概念。

[1]

大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版，例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian或 Centos。

它们都是在内核中启用 SELinux 的，并且提供一个可定制的安全策略，还提供很多用户层的库和工具，它们都可以使用 SELinux 的功能。

SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统，它由NSA编写并设计成内核模块包含到内核中，相应的某些安全相关的应用也被打了SELinux的补丁，最后还有一个相应的安全策略。

任何程序对其资源享有完全的控制权。

假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下，那么在DAC情况下没人能阻止他。

SELinux提供了比传统的UNⅨ权限更好的访问控制。

1. 简介

SELinux带给Linux的主要价值是：提供了一个灵活的，可配置的MAC机制。

Security-Enhanced Linux (SELinux)由以下两部分组成：

1) Kernel SELinux模块(/kernel/security/selinux)

2) 用户态工具

SELinux是一个安全体系结构，它通过LSM(Linux Security Modules)框架被集成到Linux Kernel 2.6.x中。

它是NSA (United States National Security Agency)和SELinux社区的联合项目。

SELinux提供了一种灵活的强制访问控制(MAC)系统，且内嵌于Linux Kernel中。

SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限，然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互，安全策略指定如何严格或宽松地进行检查。

SELinux对系统用户(system users)是透明的，只有系统管理员需要考虑在他的服务器中如何制定严格的策略。

策略可以根据需要是严格的或宽松的。

只有同时满足了【标准Linux访问控制】和【SELinux访问控制】时，主体才能访问客体。

1.1 DAC与MAC的关键区别(root用户)

安 全增强型Linux(SELinux)开始是由NSA(国家安全局)启动并加入到Linux系统中的一套核心组件及用户工具，可以让应用程序运行在其所需的最低权限上。

未 经修改过的Linux系统是使用自主访问控制的，用户可以自己请求更高的权限，由此恶意软件几乎可以访问任何它想访问的文件，而如果你授予其root权 限，那它就无所不能了。

在SELinux中没有root这个概念，安全策略是由管理员来定义的，任何软件都无法取代它。

这意味着那些潜在的恶意软件所能造成的损害可以被控制在最小。

一般情况下只有非常注重数据安全的企业级用户才会使用SELinux。

操作系统有两类访问控制：自主访问控制(DAC)和强制访问控制(MAC)。

标准Linux安全是一种DAC，SELinux为Linux增加了一个灵活的和可配置的的MAC。

所有DAC机制都有一个共同的弱点，就是它们不能识别自然人与计算机程序之间最基本的区别。

简单点说就是，如果一个用户被授权允许访问，意味着程序也被授权访问，如果程序被授权访问，那么恶意程序也将有同样的访问权。

DAC最根本的弱点是主体容易受到多种多样的恶意软件的攻击，MAC就是避免这些攻击的出路，大多数MAC特性组成了多层安全模型。

SELinux实现了一个更灵活的MAC形式，叫做类型强制(Type Enforcement)和一个非强制的多层安全形式(Multi-Level Security)。

在Android4.2中，SELinux是个可选项，谷歌并没有直接取消root权限或其他功能。

这是一个为企业级用户或是对隐私数据极为重视的用户提供的选项，普通消费者则完全可以关闭它。

2. SELinux的运行机制

SELinux决策过程如下图所示：

当一个subject(如: 一个应用)试图访问一个object(如：一个文件)，Kernel中的策略执行服务器将检查AVC (Access Vector Cache), 在AVC中，subject和object的权限被缓存(cached)。

如果基于AVC中的数据不能做出决定，则请求安全服务器，安全服务器在一个矩阵中查找“应用+文件”的安全环境。

然后根据查询结果允许或拒绝访问，拒绝消息细节位于/var/log/messages中。

3. SELinux伪文件系统

/selinux/伪文件系统kernel子系统通常使用的命令，它类似于/proc/伪文件系统。

系统管理员和用户不需要操作这部分。

/selinux/目录举例如下：

代码如下:

-rw-rw-rw- 1 root root 0 Sep 22 13:14 access

dr-xr-xr-x 1 root root 0 Sep 22 13:14 booleans

–w——- 1 root root 0 Sep 22 13:14 commit_pending_bools

-rw-rw-rw- 1 root root 0 Sep 22 13:14 context

-rw-rw-rw- 1 root root 0 Sep 22 13:14 create

–w——- 1 root root 0 Sep 22 13:14 disable

-rw-r–r– 1 root root 0 Sep 22 13:14 enforce

-rw——- 1 root root 0 Sep 22 13:14 load

-r–r–r– 1 root root 0 Sep 22 13:14 mls

-r–r–r– 1 root root 0 Sep 22 13:14 policyvers

-rw-rw-rw- 1 root root 0 Sep 22 13:14 relabel

-rw-rw-rw- 1 root root 0 Sep 22 13:14 user

如cat enforce其值可能如下：

1： enforcing mode

0： permissive mode

4. SELinux配置文件

SELinux配置文件(configuration)或策略文件(policy)位于/etc/目录下。

4.1 /etc/sysconfig/selinux配置文件

/etc/sysconfig/selinux是一个符号链接，真正的配置文件为：/etc/selinux/config

配置SELinux有如下两种方式：

1) 使用配置工具：Security Level Configuration Tool (system-config-selinux)

2) 编辑配置文件 (/etc/sysconfig/selinux).

/etc/sysconfig/selinux中包含如下配置选项：

1) 打开或关闭SELinux

2) 设置系统执行哪一个策略(policy)

3) 设置系统如何执行策略(policy)

4.2 配置文件选项

4.2.1 SELINUX

SELINUX=enforcing|permissive|disabled —定义SELinux的高级状态

• enforcing — The SELinux security policy is enforced.

• permissive — The SELinux system prints warnings but does not enforce policy.

• disabled — SELinux is fully disabled. SELinux hooks are disengaged from the kernel and the pseudo-file system is unregistered.

4.2.2 SELINUXTYPE(安全策略)

SELINUXTYPE=targeted|strict — 指定SELinux执行哪一个策略

• targeted — 只有目标网络daemons保护。

每个daemon是否执行策略，可通过system-config-selinux进行配置。

保护常见的网络服务，为SELinux默认值。

可使用如下工具设置每个daemon的布尔值：

1) getsebool -a： 列出SELinux的所有布尔值

2) setsebool： 设置SELinux布尔值，如：setsebool -P dhcpd_disable_trans=0，-P表示即使用reboot之后，仍然有效。

• strict — 对SELinux执行完全的保护。

为所有的subjects和objects定义安全环境，且每一个Action由策略执行服务器处理。

提供符合Role-based-Access Control(RBAC)之policy，具备完整的保护功能，保护网络服务、一般指令及应用程序。

4.2.3 SETLOCALDEFS

SETLOCALDEFS=0|1 — 控制如何设置本地定义(users and booleans)。

• 1：这些定义由load_policy控制，load_policy来自于文件/etc/selinux/

• 0：由semanage控制

4.3 /etc/selinux/目录

/etc/selinux/是存放所有策略文件和主要配置文件的目录。其例子如下：

代码如下:

-rw-r–r– 1 root root 448 Sep 22 17:34 config

drwxr-xr-x 5 root root 4096 Sep 22 17:27 strict

drwxr-xr-x 5 root root 4096 Sep 22 17:28 targeted

5. SELinux工具

1) /usr/sbin/setenforce — 修改SELinux运行模式，例子如下：

• setenforce 1 — SELinux以强制(enforcing)模式运行

• setenforce 0 — SELinux以警告(permissive)模式运行

为了关闭SELinux，你可以修改配置文件：/etc/selinux/config或/etc/sysconfig/selinux

2) /usr/sbin/sestatus -v — 显示系统的详细状态，例子如下：

SELinux status: enabled

SELinuxfs mount: /selinux

Current mode: enforcing

Mode from config file: enforcing

Policy version: 21

Policy from config file: targeted

Process contexts:

Current context: user_u:system_r:unconfined_t:s0

Init context: system_u:system_r:init_t:s0

/sbin/mingetty system_u:system_r:getty_t:s0

3) /usr/bin/newrole — 在一个新的context或role中运行一个新的shell

4) /sbin/restorecon — 通过为适当的文件或安全环境标记扩展属性，设置一个或多个文件的安全环境

5) /sbin/fixfiles — 检查或校正文件系统中的安全环境数据库

6) getsebool — getsebool -a：查看所有布尔值

7) setsebool — 参数-P，永久性设置

8) chcon 修改文件、目录的安全上下文

chcon –u[user]

chcon –r[role]

chcon –t[type]

chcon –R 递归

6. 类型强制的安全上下文(Type Enforcement Security Context)

安全上下文是一个简单的、一致的访问控制属性，在SELinux中，类型标识符是安全上下文的主要组成部分，由于历史原因，一个进程的类型通常被称为一个域(domain)，域和域类型意思都一样，我们不必苛刻地去区分或避免使用术语域，通常，我们认为【域】、【域类型】、【主体类型】和【进程类型】都是同义的，即都是安全上下文中的“TYPE”。

SELinux对系统中的许多命令做了修改，通过添加一个-Z选项显示客体和主体的安全上下文。

1) 系统根据PAM子系统中的pam_模块设定登录者运行程序的安全上下文;

2) 文件的Security Contex规则如下：

• rpm包安装的：会根据rpm包内记录来生成安全上下文;

• 手动创建的文件：会根据policy中规定的来设置安全上下文;

• cp：会重新生成安全上下文;

• mv：安全上下文则不变。

显示了你的shell的安全上下文;

检查进程的安全上下文;

检查文件、目录的安全上下文;

6.1 安全上下文格式

所有操作系统访问控制都是以关联的客体和主体的某种类型的访问控制属性为基础的。

在SELinux中，访问控制属性叫做安全上下文。

所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体(进程)都有与其关联的安全上下文，一个安全上下文由三部分组成：用户、角色和类型标识符。

常常用下面的格式指定或显示安全上下文：

USER：ROLE：TYPE[LEVEL[：CATEGORY]]

安全上下文中的用户和角色标识符除了对强制有一点约束之外对类型强制访问控制策略没什么影响，对于进程，用户和角色标识符显得更有意义，因为它们是用于控制类型和用户标识符的联合体，这样就会与Linux用户账号关联起来;然而，对于客体，用户和角色标识符几乎很少使用，为了规范管理，客体的角色常常是object_r，客体的用户常常是创建客体的进程的用户标识符，它们在访问控制上没什么作用。

标准Linux安全中的用户ID和安全上下文中的用户标识符之间的区别，就技术而论，它们是正交标识符，分别用于标准的和安全增强的访问控制机制，这两者之间的任一相互关联都是通过登陆进程按照规范严格规定的，而不是通过SELinux策略直接强制实施的。

1) user identity：类似Linux系统中的UID，提供身份识别，用来记录身份;安全上下文的一部分;

2) 三种常见的 user:

• user_u ：普通用户登录系统后的预设;

• system_u ：开机过程中系统进程的预设;

• root ：root 登录后的预设;

3) 在 targeted policy 中 users 不是很重要;

4) 在strict policy 中比较重要，所有预设的 SELinux Users 都是以 “_u” 结尾的，root 除外。

1) 文件、目录和设备的role：通常是 object_r;

2) 程序的role：通常是 system_r;

3) 用户的role：targeted policy为system_r; strict policy为sysadm_r、staff_r、user_r;用户的role，类似系统中的GID，不同角色具备不同的的权限;用户可以具备多个role;但是同一时间内只能使用一个role;

4) 使用基于RBAC(Roles Based Access Control) 的strict和mls策略中，用来存储角色信息

1) type：用来将主体(subject)和客体(object)划分为不同的组，给每个主体和系统中的客体定义了一个类型;为进程运行提供最低的权限环境;

2) 当一个类型与执行中的进程相关联时，其type也称为domain;

3) type是SElinux security context 中最重要的部位，是 SELinux Type Enforcement 的心脏，预设值以_t结尾;

LEVEL和CATEGORY：定义层次和分类，只用于mls策略中

• LEVEL：代表安全等级,目前已经定义的安全等级为s0-s15,等级越来越高

• CATEGORY：代表分类，目前已经定义的分类为c0-c1023

6.2 对比SELinux和标准Linux的访问控制属性

在标准Linux中，主体的访问控制属性是与进程通过在内核中的进程结构关联的真实有效的用户和组ID，这些属性通过内核利用大量工具进行保护，包括登陆进程和setuid程序，对于客体(如文件)，文件的inode包括一套访问模式位、文件用户和组ID。

以前的访问控制基于读/写/执行这三个控制位，文件所有者、文件所有者所属组、其他人各一套。

在SELinux中，访问控制属性总是安全上下文三人组(用户：角色：类型)形式，所有客体和主体都有一个关联的安全上下文。

需要特别指出的是，因为SELinux的主要访问控制特性是类型强制，安全上下文中的类型标识符决定了访问权。

注意：SELinux是在标准Linux基础上增加了类型强制(TE: Type Enforcement)，这就意味着标准Linux和SELinux访问控制都必须满足先要能访问一个客体，例如：如果我们对某个文件有SELinux写入权限，但我们没有该文件的w许可，那么我们也不能写该文件。下表总结了标准Linux和SELinux之间访问控制属性的对比：

标准Linux SELInux 进程安全属性 真实有效的用户和组ID 安全上下文 客体安全属性 访问模式、文件用户和组ID 安全上下文 访问控制基础 进程用户/组ID和文件的访问模式，

此访问模式基于文件的用户/组ID 在进程类型和文件类型

之间允许的许可

6.3 小结

1) 系统中每个文件、目录、网络端口等都被指定一个安全上下文，policy 则给出各安全上下文之间的作用规则。

2) SELinux根据policy及security context规则来决定存取行为是否可执行;

3) Subject(主体)：系统进程，比如/usr/sbin/httpd;

4) Object(客体)：被存取的项目，比如File、Directory、IP、Socket等;

7. 类型强制(TE)访问控制

在SELinux中，所有访问都必须明确授权，SELinux默认不允许任何访问，不管Linux用户/组ID是什么。这就意味着在SELinux中，没有默认的超级用户了，与标准Linux中的root不一样，通过指定主体类型(即域)和客体类型使用allow规则授予访问权限，allow规则由四部分组成：

• 源类型(Source type(s) ) 通常是尝试访问的进程的域类型

• 目标类型(Target type(s) ) 被进程访问的客体的类型

• 客体类别(Object class(es)) 指定允许访问的客体的类型

• 许可(Permission(s)) 象征目标类型允许源类型访问客体类型的访问种类

举例如下：

代码如下:

allow user_t bin_t : file {read execute getattr};

这个例子显示了TE allow规则的基础语法，这个规则包含了两个类型标识符：源类型(或主体类型或域)user_t，目标类型(或客体类型)bin_t。标识符file是定义在策略中的客体类别名称(在这里，表示一个普通的文件)，大括号中包括的许可是文件客体类别有效许可的一个子集，这个规则解释如下：

拥有域类型user_t的进程可以读/执行或获取具有bin_t类型的文件客体的属性。

SELinux allow规则如之前的例子在SELinux中实际上都是授予访问权的，真正的挑战是如何保证数以万计的访问正确授权，只授予必须的权限，实现尽可能的安全。

7.1 标准Linux安全中的setuid程序

精通用户joe想安全地修改现有的密码问题，Linux解决这个问题的方法是通过给passwd赋一个setuid值，使其执行时具有root权限，如果你在一个普通Linux系统上列出密码文件，你看到的会是：

复制代码

代码如下:

# ls -l /usr/bin/passwd

-rwsr-xr-x. 1 root root Sep 7 2012 /usr/bin/passwd

这里注意两件事，第一个是在所有者权限的x位置被设置为s了，这就是所谓的setuid位，意思是任何执行这个文件的进程，它的有效UID(即用户ID)将会被改为文件所有者。

这里，root是文件所有者，因此当执行密码程序时实际上将会以root用户的ID运行。

其执行过程如下图所示：

从上面的分析中可以看出，passwd以root权限的身份运行， 它可以访问系统的任何资源，这给系统带来了安全问题，其实它只需要访问shadow及其相关的文件就可以了。

而且shadow只需要接受passwd的访问即可。

这在标准Linux中是无法做到的，而TE(类型强制)可实现此功能。

8. 基于角色的访问控制

SELinux也提供了一种基于角色的访问控制(RBAC)，SELinux的RBAC特性是依靠类型强制建立的，SELinux中的访问控制主要是通过类型实现的，角色基于进程安全上下文中的角色标识符限制进程可以转变的类型，如此，策略编写器可以创建一个角色，允许它转变为一套域类型(假设类型强制规则允许转变)，从而定义角色的限制。

9. SELinux中的多级安全(Multi-Level Security)

类型强制(Type Enforcement)无疑是SELinux引入的最重要的强制访问控制(MAC)机制，然而，在某些情况下，主要是保密控制应用程序的一个子集，传统的多级安全(MLS)MAC与类型强制一起使用显得更有价值，在这些情况下，SELinux总是包括某种格式的MLS功能，MLS特性是可选的，在SELinux的两个MAC机制中，它通常不是最重要的那个，对大多数安全应用程序而言，包括许多非保密数据应用程序，类型强制是最适合的安全增强的机制，尽管如此，MLS对部分应用程序还是增强了安全性。

在大多数SELinux策略中，敏感度(s0，s1，…)和范畴(c0，c1，…)使用通配名，将它留给用户空间程序和程序库，以指定有意义的用户名。(例如：s0可能与UNCLASSIFIED 关联，s1可能与SECRET关联)

为了支持MLS，安全上下文被扩展了，包括了安全级别，如：

复制代码

代码如下:

user:role:type:sensitivity[:category,…] [-sensitivity[:category,…]]

例子如下所示：

复制代码

代码如下:

root@luohj-virtual-machine:~# ps -aZ

LABEL PID TTY TIME CMD

unconfined_u:system_r:insmod_t:s0-s0:c0.c255 4940 pts/0 00:00:00 passwd

注意MLS安全上下文至少必须有一个安全级别(它由单个敏感度和0个或多个范畴组成)，但可以包括两个安全级别，这两个安全级别分别被叫做低(或进程趋势)和高(或进程间隙)，如果高安全级别丢失，它会被认为与低安全级别的值是相同的(最常见的情况)，实际上，对于客体和进程而言，低和高安全级别通常都是相同的，通常用于进程的级别范围被认为是受信任的主体(即进程信任降级信息)或多层客体，如一个目录，它又包括了不同安全级别的客体。

为了使描述简单，假设所有的进程和客体都只有一个安全级别。

10. 策略分析工具apol

apol(即analyze policy【分析策略】)工具是一个成熟的SELinux策略分析工具，它位于setools工具包中。

使用它打开文件即可分析所有的相关策略。

xx为策略编译器(checkpolicy)的版本号。

11. 小结

SELinux访问控制是基于与所有系统资源(包括进程)关联的安全上下文的，安全上下文包括三个组件：用户、角色和类型标识符。

类型标识符是访问控制的主要基础。

在SELinux中，访问控制的主要特性是类型强制，在主体(即进程)与客体之间通过指定allow规则(主体的类型【也叫做域类型】是源，客体的类型是目标)进行访问授权，访问被授予特定的客体类别，为每个客体类别设置细粒度的许可。

类型强制的一个关键优势是它可以控制哪个程序可能运行在给定的域类型上，因此，它允许对单个程序进行访问控制(比起用户级的安全控制要安全得多了)，使程序进入另一个域(即以一个给定的进程类型运行)叫做域转变，它是通过SELinux的allow规则紧密控制的，SELinux也允许通过type_transition 文件使域转变自动发生。

SELinux在访问控制安全上下文中不直接使用角色标识符，相反，所有的访问都是基于类型的，角色用于关联允许的域类型，这样可以设置类型强制允许的功能组合到一起，将用户作为一个角色进行认证。

SELinux提供了一个可选的MLS访问控制机制，它提供了更多的访问限制，MLS特性依靠TE机制建立起来的，MLS扩展了安全上下文的内容，包括了一个当前的(或低)安全级别和一个可选的高安全级别。

泄密的种类有哪些?泄密的防范主要从哪些方面着手?防介质泄密技术有哪些?

现在的企业要想防范其机密数据不丢失，并不是一个轻而易举就能解决的任务。

主要原因有3个：1、 第一个原因就是随着企业和信息化应用规模的不断扩大，在企业的信息化应用过程中会产生大量的机密数据。

而企业信息化应用规模的不断扩大，也就意味着网络结构越来越复杂，再加上现大各种可移动存储设备，例如笔记本电脑、 PDA、智能手机和U盘等，以及WIFI无线的应用，就使得企业的信息化应用结构也越来越复杂。

当这些企业机密数据在复杂的信息化系统结构中不断流转时，就会给我们控制机密数据的使用增加了难度，也就相应地增加了机密数据丢失的风险。

2、 第二个原因就是现在的企业所处的网络环境中存在越来越多的安全威胁，例如黑客入侵、特洛伊木马和网络嗅探等，这些安全威胁的攻击水平和攻击破坏力也在不断地提高。

并且，现在的企业还面临一个更加严重的问题，就是企业原本部署的传统安全防范设备，只能用来防范来自企业外部的安全威胁，而现在企业数据丢失的主要原因却来自企业的内部。

这是因为企业内部的员工已经处于企业网络内部，拥有一定的访问企业网络资源的权限，并且，他们知道企业中的机密数据主要分布在什么位置的什么设备之中。

而且，他们对企业内部已经部署的安全防范措施有了一定的了解，更加容易知道其安全防范的死角在什么地方，也就更加容易找到突破口来得到企业中的机密数据。

这个问题在经济危机时期显得更加明显，主要是一些企业开始大规模地裁员，而这些离职的员工手上拥有大量的与企业相关的机密数据。

一旦企业不能够及时妥善地处理好这些离职员工的帐户和权限，那么企业中的机密数据就有可能通过离职员工流出到竞争企业或互联网等公共场所。

3、 最后的一个原因就是企业现在正处于经济危机时期，为了能够生存下去正在想方设法地缩减各种成本。

而现在许多企业原有的安全防范措施根本不能达到保护数据安全的要求，也就意味着需要企业增加相应的安全投入。

增加投入也就是会增加企业的成本，这不仅与企业缩减成本的近期发展策略相互冲突，而且在追加数据保护措施时有可能会影响现在的业务。

这样一来，也就将企业推到了一个两难的选择境地：到底是选择增加安全投入，还是保持现状?虽然企业在防范数据丢失的过程中还存在上述所示的诸多问题，但是，很幸运的是，现在有一些企业已经成功地在其信息化结构中部署好了防范数据丢失的解决方案，并且取得了良好的效果。

因此，我们完全可以吸取这些企业在保护数据安全方面取得的成功经验，来为我们防范企业机密数据丢失提供相应的实践指导。

防范企业机密数据丢失的成功经验主要包括6个最佳做法：了解企业中有哪些机密数据，并按重要程度进行分类、了解企业中的机密数据都驻留在什么位置及设备当中、识别造成数据丢失的风险来源和性质、制定一个适合自身需的数据控制策略、集中化管理控制和安全审计。

下面我就分别详细说明这6个防范数据丢失的最佳做法到底该如何具体地去完成。

一、 了解企业中有哪些机密数据，并按重要程度进行分类从安全的观点来看，企业中所有的机密数据并不会具有同样的重要程度。

因而，要防范企业中的机密数据丢失，首先要做的就是了解企业中哪些机密数据是最重要的，或者可以理解为企业中的哪些数据对企业业务来说是最重要的，并且受到安全威胁的可能性也是最大的。

通过确定企业网络中最重要的机密数据，就可以在建立数据保护策略时，在其中按数据的重要程度规定不同的防范等级。

那么，企业要如何做才能将企业网络中所有的机密数据按重要程度为类呢?要回答这个问题，首先我们需要了解企业的业务结构，调查各个部门和企业的整个业务流程等等，并且，还要明白企业中各个部门的数据是否需要遵从企业所在位置的某个数据保护法规。

例如，一些在美国上市的国内企业的财务数据就必需遵从萨班斯(Sarbanes-Oxley)法案，而销售部门可能就需要遵从另外一个法案，例如国外的PCI法案，而且还必需遵从我国制定的相关法案，例如即将执行的《企业内部基本控制规范》等。

一旦我们了解了企业各个部门需要遵从的数据保护法规要求，接下来就可以将各个部门的数据分成三个主要的类别：最高限制级(例如企业的财务报表、新产品研发资料等);敏感级，例如企业的销售计划等;以及普通敏感级，例如各供应商分布位置和产品运费等。

下一步，就是确定每一类数据的具体类别、内容和属主。

这要求我们根据数据对企业业务的重要程度，以及对法规的遵从要求来划分。

例如，我们可以将供应商的基本资料作为限制级别的数据，同时要明确这些基本资料中包含哪些具体的内容，例如原材料的供应价格等;然后，还要了解这些限制级别的数据是由企业中哪个部门中的哪个具体的员工负责生成和维护的，也就是确定其操作的属主。

我们可以为这些数据建立一个具体的表格，用来详细说明数据的类别、内容和属主。

在这里，要明白的是，这个我们制定的表格也应该将它作为限制级别的机密数据进行妥善的保护。

这是由于这个表格中包含有企业中所有机密数据的类型、内容和具体的操作属主等信息，一旦这些资料落入攻击者的手中，他们就可以从这个表格中了解企业的机密数据分布情况，了解这些数据由哪些员工保管，然后就可以具体针对某个员工的弱点来进行相应的社会工程攻击或其它入侵手段。

当我们将这企业中的机密数据调查清楚并划分保护等级后，我们还应当制定一个操作这些机密数据的具体规范。

在这个规范当中应当明确规定企业中的哪些员工可以访问这些机密数据和员工的访问权限，以及应该如何、何时及从什么位置可以访问它们等等。

例如，对于限制级别的数据，只有少数一部分核心员工可以访问，而且，这些员工的访问权限各不相同，有些是只读，有些具有写权限。

还可以规定访问这些数据时的具体时间段，例如限制级别的机密数据只可以在上午10点整到11点整，以及下午15点整到17点整这两个时间段允许特殊权限的人员访问。

并且，还可以明确员工只能通过某台具体的工作站才能访问这些数据，而且不能以直接接触的方式去访问它们等等。

二、 了解企业中的机密数据都驻留在什么位置及设备当中对于这个问题，一些读者可能会认为它很容易回答：“企业中的机密数据驻留在什么位置，这不是显而易见嘛，那当然是保存在数据库服务器或文件服务器之中了。

”这样的回答也对，但回答的内容只是企业机密数据可能驻留位置中的一小部分而已。

企业数据库中保存的机密数据充其量也只是整个企业机密数据中的一小部分。

尤其是在今天这个企业2.0和WEB2.0大行其道的时期，各种移动存储设备在企业信息化应用环境中大量使用，造成大量的机密数据就有可能驻留在笔记本电脑、智能手机、PDA和U盘等可移动存储设备，以及有可能保存在访问这些数据的应用程序、文件服务器和协同办公服务器之中，还有可能驻留在电子邮件服务器和WEB服务器等位置。

当然，机密数据还可以以数据包的形式存在于企业内部网络传输介质、互联网传输通道和WIFI电波当中，更有可能保存在企业或员工的网络博客、WIKI，以及社交网站及Twitter等网站之中。

对于如些众多的可以驻留企业机密数据的位置和设备，我们该使用什么样的方法去发现保存在这些位置和设备上的机密数据呢?要回答这个问题并不容易，但这又是必需详细完成的任务。

因此，对于大多数企业来说，必需花一定的时间来作一次全面的机密数据发现之旅，以便企业能够将所有可能驻留机密数据的位置和设备全部标识出来，并绘制一张相应的机密数据驻留位置结构原理图。

但是，现在的一些企业，由于不想花费一定的时间来解决这个问题，他们通常用下列的3种方式来对待企业中的机密数据：1、 保护企业中所有数据的安全。

这种做法从现实来说是不太现实的，而且，就算真的要去实现，也是相当昂贵的。

绝大多数企业更本没有这么多的预算和技术力量来完成这个不可能完成的任务。

2、对企业中的所有数据听之任之不加保护。

这种方式在我国许多的中小企业当中仍然普遍存在。

他们不知道如何保护数据安全，也不去想如何去保护它们的安全，更不想花钱去做这样的事。

但是，一旦与企业相关的机密数据丢失或泄漏后，对这些企业的打击往往是最致命的，可能会让他们从此一厥不振。

3、对企业中的部分数据进行保护。

这种方式在我国大多数据企业中存在，企业使用一种并不全面的数据保护方式，例如应用某种数据加密产品来保护企业中某个设备当中的某些数据的安全，然后就认为整个企业中的机密数据都已经安全了。

这样的数据保护方式往往让企业产生一种侥幸心理，但是这往往完全忽略了其它威胁企业机密数据的安全威胁，使这种侥幸的数据保护方式在某个时候变得不堪一击。

为了防止企业还使用上述的方式来对待企业中的机密数据，我们必需超出以前错误的数据保护方式，在实施具体的数据保护解决方案之前，先使用一个完整的机密数据发现过程来回答下列的一连串问题：1、 是否有机密数据保存在数据库当中?如果有，那么这些机密数据是存在于数据表、列还是字段当中?2、 是否有机密数据处于共享状态?如果是，那么这些机密数据是存在于共享文件夹之中，还是以单独的文件方式提供共享?3、 是否有高度机密的数据存储在笔记本电脑等可移动设备当中?如果有，那么这些保存有机密数据的笔记本等移动存储设备的使用者是谁?4、 是否有高度机密的数据需要在局域网内部及互联网上传输?例如电子邮件，如果有，那么现在这些机密数据在传输过程中是否经过了加密或其它方式的保护?5、 是滞有高度机密的数据可能会保存在WEB服务器或博客等互联网之中?如果有，这些机密数据存储的位置是企业提供还是由员工自己提供?是以什么方式存在?是否经过了保护?接下来，我们还需要了解企业中的机密数据目前是如何被使用的，以及企业中的员工还存在哪些违反数据安全操作规程的行为。

对于目前的企业来说，我们必需重点调查下列所示的违规行为：1、调查企业中的员工是否在公共场合谈论与企业数据安全相关的话题，以及是否将企业的机密数据无意泄漏到互联网等公共场合。

例如，企业中有些员工在电话中、即时聊天软件或在酒吧等场合，与在场的人大谈其企业的安全防范体系是如何好，使用了什么样的安全产品，安全防范体系如何强大，其本意可能是为了以此来提高自己的话语权和受到大家的关注。

但是说者无意，听者却有心。

这就有可能将企业中使用的安全防范设备的类型，以及安全防范结构等信息透露给了攻击者，也就让一些攻击者毫不费力地将企业的安全防范体系摸了个清清楚楚。

2、调查我们所在企业当中是否存在轻易将一些机密数据，不经过审核或审计就随意复制到笔记本电脑、U盘或PDA等可移动存储设备中的行为，并且，还要了解这类设备是否经常离开企业的保护范围进入公共场所?3、调查企业中的客户信息是否从数据库或文件服务器，以不安全的方式发送到其它位置，或者可以随意被任何用户打开读取?4、调查企业中的机密数据在备份的过程中，是否真的会畅通无阻地到达预定的位置的指定备份存储媒介当中，是否能保证整个备份过程中不会被干扰?我们可以通过数据发现处理过程，来建立一张企业机密数据的分布位置图，并以此来作为制定数据保护策略的重要依据。

机密数据发现过程是一个相当繁琐的过程，通过手工方式将让我们无法承受，也可能不能得到全面的结果，因而，我们在这个阶段可以通过使用一些免费或商业的软件来进行。

对于现在大部分的数据丢失防范产品来说，都已经将数据发现功能作为一个重要的构成部分包含在产品当中，这个功能也是我们在选择相应产品时需要考虑的功能之一。

而且，我们必需明白的是，数据发现是一个长期的持续过程，它应当与数据的整个生命周期相对应，而不是一次性事件。

因为数据在其整个生命周期当中并不总是一成不变的，它会随着其使用以不同的类型，不同的方式存在于不同的位置和设备当中。

三、 识别造成数据丢失的风险来源和性质相对于了解企业中机密数据的分布和使用情况来说，认识企业数据正面临的安全风险和其性质是同样重要的。

我们只有了解了企业数据目前面临的安全风险，才能知道要防范的是什么，才能知道以什么方式去应对?同时，我们还应当了解企业在发生数据丢失的安全事件后，可能会给企业造成的损失和影响的大小，以及这些损失企业是否可以承受?对于当前针对数据的安全威胁类型，在一些安全网站上会每天进行公布，我们完全可以去这些网站当中订购一份邮件列表，然后我们每天就会收到这些网站发送给我们的最新安全威胁、漏洞及补丁更新等信息了。

提供这些邮件列表的网站有等。

另外，一些调查机构每年都会针对数据安全风险的来源作具体的调查分析，我们也可以到这些调查机构的网站阅读这些调查报告，来了解当前主要的外部和内部威胁了。

这样网站有。

在这里要明白的是，最大的安全风险并不是来自企业的外部，而是来自企业内部。

例如，员工的误操作，或者故意的攻击行为等等。

这些来自内部的安全威胁所造成的损失要比来自外部的风险大得多，这些威胁的攻击成功率也高得多。

因而，按前面所述的方式调查企业内部员工的违规行为也同样重要。

但是，并不是每个企业当中都会存在同样的安全威胁。

这是由于每个企业的网络结构不同，网络应用的目的不同，因此网络中使用的设备和软件也不会相同，以及企业中员工的安全意识和忠诚度也不相同，也就决定了每个企业中的数据安全威胁的类型和多少也不会相同。

因此，我们必需结合企业自身的实际情况，以相应的安全威胁调查报告为参考，得出自己所在企业可能会面临的风险类型、数量及性质。

当然，能够准确了解到企业可能会面临的数据安全风险，能够让我们做到有的放矢，也能为安全投入节省成本。

但是，威胁是会不断地产生的，而且我们也不可能做到预测完全准确。

因此，在考虑企业可能会面临的数据安全威胁时，应按宁可错杀一千，不可放过一个的方式进行。

对于企业机密数据可能会面临的安全风险，我们也可以为此构建一个风险模型来实时分析风险的类型、数量和性质。

下面是目前最常见的数据安全风险：1、 数据存储媒介丢失或被盗。

这些存储媒介包括磁盘、磁带、笔记本电脑、PDA、U盘等设备。

造成丢失的原因可能是员工无意中丢失，也可能是被攻击者故意盗走。

丢失的位置也可能是在员工出差的途中，或者存放这些设备的位置，例如员工家中、出差所住的宾馆，以及备份媒介保存的机房，企业内部保管室等位置。

如果这些丢失的设备中包含机密的数据，攻击者就能将它们出售，以便获得非法利益。

2、 员工故意违反。

一些企业的员工，尤其是手中掌握大量机密信息的特权员工， 例如数据库管理员，或网络管理员，甚至是企业的营销人员手中握有大量的客户资料。

他们可能将手中的机密信息出信给企业的竞争对手，也可能将它直接出售给黑客，以此获得非法的利益。

例如今年央视3.15晚会上所揭露的某些地方的移动公司员工将用户隐私信息出售的事件，就是一个非常明显的员工利用自身特权违反企业数据保护条例的行为。

3、 机密数据无意公布出去。

例如企业员工无意将一封包含机密信息的电子邮件，没有加密就发送给一个非授权用户，以及一些员工无意将一些企业的机密信息贴到自己的网络博客或WIKI当中，或者通过Twitter或即时聊天的方式发布到公共网络环境当中。

4、 黑客攻击。

内部黑客攻击者利用自己已经拥有的某种访问权限，通过一些非常规的手段以获得企业的机密数据。

例如使用网络嗅探、中间人攻击等方式来得到在企业内部局域网中传输的机密数据。

以及通过物理接触的方式直接拷贝机密数据到可移动存储设备中。

在使用无线局域网的企业当中，内部攻击者还可以通过无线网卡加软件的形式构造一个非法无线AP，以欺骗一些内部员工将其无线设备连接到这个非法无线AP上。

而一些外部黑客也可以通过社会工程方式利益企业内部员工，或使用网络钓鱼方式欺骗内部员工感染木马，然后从内部开始入侵企业数据库或文件服务器，或者使用网络嗅探来得到机密数据。

在无线局域网中，外部攻击者通过使用无线嗅探软件的方式得到经过WEP加密的机密数据是很容易的。

5、 直接物理接触方式攻击。

这种攻击方式大部分也是内自企业内部。

这是由于企业内部员工本身已经身处企业内部，他只需要使用一些小小的计谋，就可能会直接接触到保存有机密数据的设备位置，通过拷贝、打印、拍照、复印，发送电子邮件，甚至直接将存储媒介拆走的方式来得到机密数据。

一些外部攻击者，也可以通过社会工程的方式，欺骗企业保安人员和内部员工相信他是某种身份，然后它就可以直接进入企业内部进行数据盗取操作。

这样的情景我通过在一些间谍和智力犯罪的电影中看到，例如非常出名的十一罗汉系列，以及越狱等电影及电视剧中经常会出现这样的镜头。

四、 建立一个适合自身需求的数据控制策略当我们完成了上述三个步骤中的任务，接下来要做的就是根据上面得到的内容来制定一个数据安全风险控制策略，在这个策略当中应当包括数据安全控制的具体操作流程和使用的安全技术和产品。

一个具体的数据保护策略应当由两个主要部分构成：其一就是控制机制，也就是具体的控制类型;另一个就是控制点，也就是具体要控制的对象，例如，存储设备、数据库、文件服务器、应用程序、网络设备和终端设备等。

一个全面的深度数据安全保护体系应当由下列三个部分构成：1、 访问控制访问控制包括两个方面：认证，也就是通过一种验证机制来证明访问数据的用户就是用户申明的他自己;另一个方面就是授权，也就是当用户通过认证后，授予给他的权限，这个权限中规定了用户可以对数据进行什么样的操作。

现在，许多安全产品和应用程序都使用了这种访问控制方式，例如WEB访问、双因素认证等。

2、 数据控制数据控制就是控制数据本身不被违规。

数据控制包括相应的技术和产品，例如应用数据加密和加密密钥管理，数据丢失防范(DLP)产品和企业信息权限管理(RMS)。

3、 审计审计的目的是为了提供一种反馈机制，用来确定数据保护策略和实施的数据保护解决方案果真按我们设置的方式在运行。

现在也将这种方式称为安全信息和事件管理(SIEM)。

审计控制功能通过会包含在一些相应的数据保护产品当中，也可能以单独的产品形式存在，它们为我们的数据使用情况提供一种反馈和记录机制，以确保所有的数据操作行为都在预期的控制范围内进行。

现在，越来越多的企业开始在企业当中部署应用数据加密解决方案，或者数据丢失防范解决方案，让它们来防范数据丢失。

这是由于数据加密和数据丢失防范产品都能够提供一种保护机密数据的方式，而不论机密数据是否在静止状态、在移动过程中，还是存储于终端设备之中都能够被很好地保护。

数据加密能够保护数据在传输过程中不被泄漏，也能防止存储设备丢失后不会泄漏其中的机密数据。

而数据丢失防范产品不仅包含数据加密功能，还提供其它的数据控制方式来确保数据的安全，例如网络型的DLP产品通常部署在企业网关的出口位置，它们可以对离开企业的所有数据进行基于策略和基于内容和上下文的检测，以防止包含机密数据的电子邮件或即时聊天信息，以及其它信息未经授权和加密保护就离开企业。

并且会记录这些数据由哪台主机发出，什么时候发现，发送到什么位置等信息。

而一些基于主机的DLP产品，却会对运行它的主机系统上的一切数据进行安全防范，包括主机当中可以使用的各类接品。

例如，主机型DLP 产品可以监控在这台主机上可以使用的接口类型，例如USB接口，以及可以在这个USB接口上使用的可移动存储设备，未经授权的相应设备在插入这个接口是不起任何作用。

而当授权设备使用时，还会记录是由哪个用户什么时候使用，复制了哪些机密数据等信息。

这是为什么越来越多的企业使用DLP解决方案来保护其机密数据和遵从数据保护安全法规的主要原因所在。

五、 集中化管理控制与其它任何因素比较，管理控制机制将直接影响控制效率和企业总体拥有成本。

可是，现在许多企业却错误地将整个管理控制机制分散成几个不同的控制机制，这样做带来的后果就是：使企业的安全防范策略失去原有的作用;使企业的管理成本不断升高;以及影响企业业务的连接性等等。

为了避免上述这些问题的产生，第一个需要集中化管理的方面就是企业应当将数据安全控制集中化管理，以确保安全防范策略能够由上至下全面贯彻执行。

这样就更能通过集中化管理工具来全面自动化地监控安全策略的执行，并且防止违反安全策略的操作事件发生。

另外，集中化管理控制更加有利于确保所有员工始终遵从企业制定的数据应用规则，防止机密数据在无意中被泄漏出去。

第二个需要集中化管理的方面就是加密密钥的管理。

对加密密钥进行集中化管理可以防止由于人为错误而造成加密密钥的丢失带来的数据安全风险，以及防止与其它的加密策略相互冲突和不兼容。

例如，如果企业在不同的部门或不同的设备上，虽然使用的是同一种加密产品，但是每个部门之间进行独立的加密管理，这样就给加密管理带来了更多的工作量和复杂度，也就会增加管理成本。

而且，如果让员工自己去决定使用什么样的加密方式，就有可能产生许多不安全的因素，同时还会增加管理成本。

无论如何，不集中化管理加密密钥会给企业带来意想不到的安全风险，甚至会影响企业的正常业务。

例如员工中的一方使用一种加密方式，却没有将解密密钥交付给解密方，这样当解密方收到这个加密文件后会要求得到解密密钥，这样就会影响正常的业务。

而且，如果员工将解密密钥错误地发送给一个非授权员工，又会造成机密数据的泄漏。

总的来说，对数据的安全控制进行集中化管理，是一件即能解决数据安全控制的复杂性，又能降低管理成本，节省管理时间和人力开销的主要途径。

六、 安全审计安全审计可以用来不断改善现有的数据安全防范策略，调整数据安全防范方案和安全产品的设置，以保证数据在企业发展的各个时期都是安全的。

对于任何企业来说，在安全防范过程中都需要提供一种检验方式来反馈安全防范解决方案是否真的符合安全防范的需求，以及了解安全产品目前所处的保护状态。

企业的商务活动不是一成不变的，企业的数据安全防范工作也不是一成不变的。

我们必需使用一种机制或技术来检验、跟踪当前数据的安全状况，以及跟踪当前企业已经发生或正在发生的数据安全事件，以便企业能够迅速对各种数据安全事件做出正确的响应，对现有的安全策略做出相应的调整来应对各种安全威胁的变化。

安全信息和事件管理(Security Information and Event Management(SIEM))系统能够帮助我们分析和报告安全日志和进行实时事件分析。

一个SIEM系统可帮助我们完成下列所示的工作：1、 事故调查和取证;2、 事件响应和补救;3、 遵守法规和标准;4、 为法律诉讼提供证据;5、 审计和执行数据安全策略