内网攻击是企业面临的最严重的网络安全威胁之一。在过去的十年里,成功的内网攻击案例增加了数倍,而由此带来的经济损失也数以亿计。在所有的对内网安全构成威胁的行为中,数据泄漏被视为会给企业带来巨大经济损失、最具破坏性的行为,它也是最难监测和阻止的行为,因为在大多数情况下,攻击者都具有合法的数据访问权限。如何阻止来自内网的攻击以及防止企业内部机密数据的泄漏,已经成为一个重要的信息安全问题。　　为了有效地防范企业内部机密数据的泄漏,有两个基本的问题,我们必须予以考虑。第一个问题是当机密数据从一个文件流向另一个文件或是流向网络套接字过程中,我们如何跟踪及防范。另一个问题就是如何保护存储在用户终端上的机密文件,防止其被用户有意或无意间泄漏出去。本文主要讲述如何解决这些问题。对于第一个问题,传统的方法是采用管理员动态配置策略的方式来跟踪机密数据,如通过正态表达式来跟踪信用卡号、身份证号等机密数据的流转,这种方法只适用于防范具有一定结构化特点的数据,对于像设计图纸、程序代码和财务报表等机密文档中包含的非结构化数据,传统的方法则失去作用。我们使用了一种新的跟踪机密数据在现有应用程序中流转的技术,采用应用层动态污点分析技术,时刻追踪机密数据或机密文档的具体流向。这样在不限制内网用户使用常用网络应用程序的同时,可有效跟踪机密数据流并防止这些数据被泄漏出去。对于第二个问题,常用的方法是依靠应用层对用户行为的监控和控制来阻止发生在用户终端上的泄密行为,但对于那些恶意的泄密行为来说,这些防范措施是很容易规避过去的,无法起到真正的防止数据泄漏的作用。我们采用新一代微过滤驱动(minifilter)开发框架,开发内核层文件系统过滤驱动,对存储在用户终端上的数据进行透明加解密处理,无需改变终端用户使用习惯的情况下,即可有效防止机密数据的泄漏。结合以上两种关键技术,将有效地防范企业机密信息被员工有意或无意泄漏出去。