利用數(shù)據(jù)泄漏防護保護企業(yè)數(shù)據(jù)安全信息安全基礎信息化884

1、利用數(shù)據(jù)泄漏防護保護企業(yè)數(shù)據(jù)安全_信息安全_基礎信息化1、背景對于現(xiàn)代企業(yè)而言，信息電子化的發(fā)展趨勢意味著數(shù)據(jù)就是資產(chǎn)，更是企業(yè)核心競爭力的體現(xiàn)。對企業(yè)的關鍵敏感數(shù)據(jù)進行有效保護，就能使企業(yè)自身在激烈的商業(yè)競爭中立于不敗之地。在現(xiàn)實社會中，敏感數(shù)據(jù)的丟失對企業(yè)不但意味著經(jīng)濟損失，還可能給企業(yè)帶來更大的麻煩，比如讓企業(yè)陷入無休止的官司，甚至導致企業(yè)的破產(chǎn)。2007年美國tjx零售公司由于對4500多萬客戶的信息卡及保密資料丟失負有責任，導致其客戶和銀行業(yè)對其提起訴訟，最終tjx公司需要向客戶賠付1.01億美元，并承受嚴重的企業(yè)聲譽損失。而且隨著互聯(lián)網(wǎng)的深入發(fā)展，企業(yè)網(wǎng)絡與外部網(wǎng)絡邊界日益模糊，電

2、子郵件、即時通信將企業(yè)網(wǎng)絡與外界緊密連接在一起。傳統(tǒng)的以防火墻、入侵檢測、防病毒為代表的“老三樣”安全防護手段在應對企業(yè)敏感數(shù)據(jù)保護方面，顯得力不從心。目前，越來越多的企業(yè)開始重視敏感數(shù)據(jù)保護，特別是隨著有中國版“薩班斯法案”之稱的企業(yè)內部控制基本規(guī)范頒布以后，數(shù)據(jù)保護引起了企業(yè)的普遍重視。而且從目前信息安全發(fā)展方向來看，重心已從單純針對系統(tǒng)與網(wǎng)絡基礎層面防護向關注應用和數(shù)據(jù)層面的防護轉換，安全防護的對象從網(wǎng)絡基礎設施保護上升到數(shù)據(jù)和應用的層面。在這種背景之下，數(shù)據(jù)泄漏防護應運而生，承擔起對企業(yè)敏感數(shù)據(jù)整個生命周期內行為強有力的監(jiān)測和保護的重任。2、數(shù)據(jù)泄漏防護簡介數(shù)據(jù)泄露防護(data le

3、akage prevention，dlp)是一類產(chǎn)品的統(tǒng)稱，指根據(jù)企業(yè)制定的安全策略，采用集中管理的方式，通過深入的內容分析和強健的事件處理流程識別、監(jiān)視和保護靜止的、活動的以及使用中的數(shù)據(jù)，防止用戶的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式被有意或無意流出，同時為了適應網(wǎng)絡中復雜的環(huán)境，dlp系統(tǒng)應能跨越多個平臺和不同的地點。dlp作為新興的安全產(chǎn)品，以深入的內容檢查和分析為基礎，不僅保護在網(wǎng)絡上移動的數(shù)據(jù)，而且還保護存儲的靜止數(shù)據(jù)以及在臺式機中使用的數(shù)據(jù)。根據(jù)所部署位置的不同，數(shù)據(jù)泄漏防御的解決方案可以分成基于網(wǎng)絡的數(shù)據(jù)泄漏防御方案(ndlp)和基于主機的數(shù)據(jù)泄漏防御方案(hdlp)?；?/p>

4、于網(wǎng)絡的數(shù)據(jù)泄漏防御方案通常部署內部網(wǎng)絡和外部網(wǎng)絡連接的出口處，對進出單位內部網(wǎng)絡的所有數(shù)據(jù)進行安全合規(guī)性檢查?；谥鳈C的數(shù)據(jù)泄露防御方案則部署在存放敏感數(shù)據(jù)的主機上，一旦發(fā)現(xiàn)被保護主機上的數(shù)據(jù)被違規(guī)轉移出主機時，hdlp會采取攔截或報警等行為。dlp作為信息安全發(fā)展的新方向，在原有安全技術基礎上發(fā)展形成了自身獨具特色的一套技術體系，其中所運用的關鍵技術包括內容分析、終端控制技術以及加解密技術。內容分析技術能夠對網(wǎng)絡流量和文件進行深入分析，根據(jù)預先制定的政策識別各種關鍵內容。內容分析使用了包括內容描述技術和內容登記技術。內容描述技術使用規(guī)則的表達式、關鍵詞、專業(yè)詞匯以及其他的類型來識別內容。使

5、用規(guī)則/常規(guī)表達式進行類型匹配；使用包括預先設置的詞語和規(guī)則組合的概念分析進行特殊概念的匹配，并預先設定分類，比如個人識別信息等。內容登記技術依賴企業(yè)給系統(tǒng)提供的數(shù)據(jù)保護目標，包括全部的或者部分的文檔匹配；文件的散列組合數(shù)據(jù)庫指紋，通過散列現(xiàn)存的數(shù)據(jù)庫內容組合來識別匹配信息。終端控制技術是指部署在用戶計算機上的終端代理程序，代理程序能監(jiān)視網(wǎng)絡、文件和用戶活動，發(fā)現(xiàn)隱藏在筆記本計算機、桌面計算機和服務器等所有端點上的敏感數(shù)據(jù)；能夠通過文件監(jiān)視進行終端內容發(fā)現(xiàn)，通過內置的過濾模塊在數(shù)據(jù)被加密之前對其進行檢查并監(jiān)測(阻止)敏感數(shù)據(jù)被轉移到移動存儲設備中；在未經(jīng)授權的應用程序(比如加密或編碼軟件)中監(jiān)

6、測敏感內容；限制計算機終端對敏感數(shù)據(jù)的剪切和粘貼功能。dlp系統(tǒng)中采用的加解密技術主要對敏感數(shù)據(jù)進行加密的方式，加密對象可以是文檔或磁盤的特定區(qū)域。這種技術在國內的dlp解決方案提供廠商中被廣泛使用，國外dlp解決方案廠商限于國內密碼管理政策，所采用的密碼算法為國際通用算法。相比之下，國內dlp廠商所采用的國內商密算法安全強度相對較高。3、如何選擇合理的dlp解決方案一個好的dlp系統(tǒng)必須在敏感數(shù)據(jù)發(fā)現(xiàn)、內容分析、信息過濾、數(shù)據(jù)加解密方面為企業(yè)提供全面解決方案。但作為新興的安全產(chǎn)品，市場上存在多種解決方案，僅國內就有十幾套完整的dlp解決方案，所提供的功能從單純的數(shù)據(jù)加密到全套的dlp，這些方

7、案無?例外都宣稱具有dlp功能。那么企業(yè)作為用戶，該如何進行選擇?任何一個產(chǎn)品的應用，如果不與實際環(huán)境緊密結合，結果都將是成為擺設，沒有任何用處，尤其是作為深入到企業(yè)內部敏感數(shù)據(jù)保護的dlp的應用尤其如此。企業(yè)如何將dlp應用在日常工作中，最大程度發(fā)揮它的作用也是一客差囂翟然震霎霾霉嘉篙塞譬淼：的問題。在選擇并部署dlp之前，企業(yè)首先應該“自診”，自診的內容包含確定需要保護的目標、目標所在的位置以及目標可能的輸出途徑，完成這一步內容在dlp項目實施中至關重要。通過自診組要達到如下的目標：(1)確定企業(yè)數(shù)據(jù)保護的預期目標，決定什么內容需要保護，應該怎樣進行保護。保護內容需要召集包括it部門、業(yè)務

8、部門、財務部、人力資源部等相關主要部門的代表，共同討論確定保護的目標，包括保護的對象和實施方案；(2)確定數(shù)據(jù)分類定義：企業(yè)的it部門和業(yè)務部門必須緊密配合，根據(jù)敏感度和重要性不同對企業(yè)中的數(shù)據(jù)進行分類定義，在定義過程中，能夠整理敏感數(shù)據(jù)的關鍵詞或指定的文件格式、模板；(3)確定訪問權限分類：對企業(yè)中能夠訪問敏感數(shù)據(jù)的人員進行分類，根據(jù)敏感數(shù)據(jù)和有權限訪問數(shù)據(jù)的人員整理訪問權限的矩陣列表；(4)完成數(shù)據(jù)流轉分析：根據(jù)數(shù)據(jù)敏感程度的分類，對敏感數(shù)據(jù)在企業(yè)內網(wǎng)的流轉過程進行全面的分析，包括數(shù)據(jù)的生成、流轉方式、流轉控制以及數(shù)據(jù)的存儲方式和存儲位置等；(5)對企業(yè)內網(wǎng)數(shù)據(jù)的輸出形式進行分析，內部員工

9、足否可利用網(wǎng)絡、外設存儲設備或打印設備輸出信息。在完成以上工作后，企業(yè)可以開始著手選擇dlp解決方案。目前市場上提供的完整的dlp解決方案可能包括內容分析技術、覆蓋范圍(網(wǎng)絡/存儲/終端)、基礎設施一體化、工作流程等等。企業(yè)應該根據(jù)“自診”中確定的保護目標決定是需要選擇整套的dlp解決方案，還是只需要一個專用的dlp方案或者只是一些具有dlp功能的現(xiàn)有產(chǎn)品。對于企業(yè)內網(wǎng)與互聯(lián)網(wǎng)絡或其他網(wǎng)絡連通的情況，應選用基于網(wǎng)絡的數(shù)據(jù)泄漏防御系統(tǒng)，在網(wǎng)絡邊界處進行合規(guī)性檢查。這類設備作為被動網(wǎng)絡監(jiān)視工具，根據(jù)企業(yè)內部敏感信息的關鍵字詞、特定的文件模板或特定的文件格式生成信息過濾的指紋庫，在企業(yè)內網(wǎng)與外部網(wǎng)絡

10、互聯(lián)的通信通道上監(jiān)測信息泄露，在敏感數(shù)據(jù)泄漏之前中止網(wǎng)絡通信，保證數(shù)據(jù)不能違規(guī)流傳到互聯(lián)網(wǎng)絡。這類產(chǎn)品作為dlp系統(tǒng)較早期的成員，所支持的網(wǎng)絡協(xié)議種類是衡量該類產(chǎn)品的重要指標。在選擇該類產(chǎn)品時主要關注產(chǎn)品是只支持通用協(xié)議如電子郵件、ftp和iittp還是支持互聯(lián)網(wǎng)絡常見的協(xié)議如即時通訊等并具有提供持續(xù)升級能力；在協(xié)議族方面是能夠監(jiān)測所有的協(xié)議還是只能監(jiān)測一個協(xié)議的子集；在端口監(jiān)測方面是需要硬編碼端口和協(xié)議的組合還是能夠監(jiān)測非標準端口上的網(wǎng)絡流量。在性能選擇方面，企業(yè)沒有必要一味追求高性能，只需要考慮內網(wǎng)與外部的通信流量。一一般來說，普通大型企業(yè)監(jiān)視的速度最多也就需要300 mbps到500 m

11、bps，而中型企業(yè)為100 mbps左右，小型企業(yè)只需要5 mbps?；谥鳈C的數(shù)據(jù)泄漏防御系統(tǒng)作為整個dlp中重要的環(huán)節(jié)，能對主機中關于敏感數(shù)據(jù)的操作包括復制/粘貼等行為進行合規(guī)性檢查；對于企業(yè)內網(wǎng)計算機終端開放外設接口，用戶可以隨意使用移動存儲介質或其他設備，如無線、紅外設備的情況，應選擇包含外設管理功能的主機數(shù)據(jù)泄漏防御系統(tǒng)。這類系統(tǒng)根據(jù)企業(yè)管理的松緊度，能完全禁止使用移動存儲介質或者只是控制將敏感數(shù)據(jù)拷貝到移動存儲介質，當然更大的靈活度會帶來系統(tǒng)更復雜的設計以及對終端更多的性能消耗。衡量這類產(chǎn)品的一個重要指標是系統(tǒng)對終端環(huán)境的兼容性以及對終端資源的占用程度。企業(yè)在選擇這類產(chǎn)品之前，應該

12、進行充分的測試，測試的環(huán)境包括系統(tǒng)與企業(yè)目前使用的殺毒軟件，應用軟件包含辦公oa系統(tǒng)、設計軟件以及財務軟件等的兼容性；同時，這類系統(tǒng)自身的保護強度是衡量的另一個重要指標，終端的安全機制不能被繞過，代理程序不能被惡意用戶主觀卸載，以及管理中心能夠對終端代理程序狀態(tài)進行檢測都是必須具備的安全功能。加密技術是目前國內dlp廠商普遍采用的手段，對被保護對象進行加密是最有效也是最直接的方式。企業(yè)在選擇包含這類功能的dlp時，主要對加密的效率、加密所采用的算法進行考慮，同時對于部署在計算機終端的加密軟件也需要考慮與終端環(huán)境的兼容性和對終端資源的占用程度。對于企業(yè)而言，在dlp實施過程中一步到位固然是好，但是采用漸進的策略能夠讓企業(yè)更好地理解新技術，調整內部工作流程并進行優(yōu)化。一般來說，企業(yè)可以先進行基本的網(wǎng)絡監(jiān)控，然后再對服務器或數(shù)據(jù)存儲中的敏感數(shù)據(jù)進行保護，并對計算機終端進行控制。在dlp解決方案提供廠商中，比較著名的包括國外信息安全廠商如賽門鐵克、mcafee、emc(rsa)、趨勢科技、websense以及國內信息安全廠商如北京億賽通、深圳虹安等。不管是國內產(chǎn)品還是國外產(chǎn)品，只有真正能融入到企業(yè)實際工作流程中發(fā)揮出作用的產(chǎn)品才是好的產(chǎn)品，企業(yè)在dlp項目建設中應該檫亮眼睛，根據(jù)