利用數(shù)據(jù)泄漏防護(hù)保護(hù)企業(yè)數(shù)據(jù)安全信息安全基礎(chǔ)信息化884

1、利用數(shù)據(jù)泄漏防護(hù)保護(hù)企業(yè)數(shù)據(jù)安全_信息安全_基礎(chǔ)信息化1、背景對(duì)于現(xiàn)代企業(yè)而言，信息電子化的發(fā)展趨勢(shì)意味著數(shù)據(jù)就是資產(chǎn)，更是企業(yè)核心競(jìng)爭(zhēng)力的體現(xiàn)。對(duì)企業(yè)的關(guān)鍵敏感數(shù)據(jù)進(jìn)行有效保護(hù)，就能使企業(yè)自身在激烈的商業(yè)競(jìng)爭(zhēng)中立于不敗之地。在現(xiàn)實(shí)社會(huì)中，敏感數(shù)據(jù)的丟失對(duì)企業(yè)不但意味著經(jīng)濟(jì)損失，還可能給企業(yè)帶來(lái)更大的麻煩，比如讓企業(yè)陷入無(wú)休止的官司，甚至導(dǎo)致企業(yè)的破產(chǎn)。2007年美國(guó)tjx零售公司由于對(duì)4500多萬(wàn)客戶的信息卡及保密資料丟失負(fù)有責(zé)任，導(dǎo)致其客戶和銀行業(yè)對(duì)其提起訴訟，最終tjx公司需要向客戶賠付1.01億美元，并承受嚴(yán)重的企業(yè)聲譽(yù)損失。而且隨著互聯(lián)網(wǎng)的深入發(fā)展，企業(yè)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)邊界日益模糊，電

2、子郵件、即時(shí)通信將企業(yè)網(wǎng)絡(luò)與外界緊密連接在一起。傳統(tǒng)的以防火墻、入侵檢測(cè)、防病毒為代表的“老三樣”安全防護(hù)手段在應(yīng)對(duì)企業(yè)敏感數(shù)據(jù)保護(hù)方面，顯得力不從心。目前，越來(lái)越多的企業(yè)開(kāi)始重視敏感數(shù)據(jù)保護(hù)，特別是隨著有中國(guó)版“薩班斯法案”之稱的企業(yè)內(nèi)部控制基本規(guī)范頒布以后，數(shù)據(jù)保護(hù)引起了企業(yè)的普遍重視。而且從目前信息安全發(fā)展方向來(lái)看，重心已從單純針對(duì)系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面防護(hù)向關(guān)注應(yīng)用和數(shù)據(jù)層面的防護(hù)轉(zhuǎn)換，安全防護(hù)的對(duì)象從網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)上升到數(shù)據(jù)和應(yīng)用的層面。在這種背景之下，數(shù)據(jù)泄漏防護(hù)應(yīng)運(yùn)而生，承擔(dān)起對(duì)企業(yè)敏感數(shù)據(jù)整個(gè)生命周期內(nèi)行為強(qiáng)有力的監(jiān)測(cè)和保護(hù)的重任。2、數(shù)據(jù)泄漏防護(hù)簡(jiǎn)介數(shù)據(jù)泄露防護(hù)(data le

3、akage prevention，dlp)是一類產(chǎn)品的統(tǒng)稱，指根據(jù)企業(yè)制定的安全策略，采用集中管理的方式，通過(guò)深入的內(nèi)容分析和強(qiáng)健的事件處理流程識(shí)別、監(jiān)視和保護(hù)靜止的、活動(dòng)的以及使用中的數(shù)據(jù)，防止用戶的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式被有意或無(wú)意流出，同時(shí)為了適應(yīng)網(wǎng)絡(luò)中復(fù)雜的環(huán)境，dlp系統(tǒng)應(yīng)能跨越多個(gè)平臺(tái)和不同的地點(diǎn)。dlp作為新興的安全產(chǎn)品，以深入的內(nèi)容檢查和分析為基礎(chǔ)，不僅保護(hù)在網(wǎng)絡(luò)上移動(dòng)的數(shù)據(jù)，而且還保護(hù)存儲(chǔ)的靜止數(shù)據(jù)以及在臺(tái)式機(jī)中使用的數(shù)據(jù)。根據(jù)所部署位置的不同，數(shù)據(jù)泄漏防御的解決方案可以分成基于網(wǎng)絡(luò)的數(shù)據(jù)泄漏防御方案(ndlp)和基于主機(jī)的數(shù)據(jù)泄漏防御方案(hdlp)?；?/p>

4、于網(wǎng)絡(luò)的數(shù)據(jù)泄漏防御方案通常部署內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接的出口處，對(duì)進(jìn)出單位內(nèi)部網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行安全合規(guī)性檢查?；谥鳈C(jī)的數(shù)據(jù)泄露防御方案則部署在存放敏感數(shù)據(jù)的主機(jī)上，一旦發(fā)現(xiàn)被保護(hù)主機(jī)上的數(shù)據(jù)被違規(guī)轉(zhuǎn)移出主機(jī)時(shí)，hdlp會(huì)采取攔截或報(bào)警等行為。dlp作為信息安全發(fā)展的新方向，在原有安全技術(shù)基礎(chǔ)上發(fā)展形成了自身獨(dú)具特色的一套技術(shù)體系，其中所運(yùn)用的關(guān)鍵技術(shù)包括內(nèi)容分析、終端控制技術(shù)以及加解密技術(shù)。內(nèi)容分析技術(shù)能夠?qū)W(wǎng)絡(luò)流量和文件進(jìn)行深入分析，根據(jù)預(yù)先制定的政策識(shí)別各種關(guān)鍵內(nèi)容。內(nèi)容分析使用了包括內(nèi)容描述技術(shù)和內(nèi)容登記技術(shù)。內(nèi)容描述技術(shù)使用規(guī)則的表達(dá)式、關(guān)鍵詞、專業(yè)詞匯以及其他的類型來(lái)識(shí)別內(nèi)容。使

5、用規(guī)則/常規(guī)表達(dá)式進(jìn)行類型匹配；使用包括預(yù)先設(shè)置的詞語(yǔ)和規(guī)則組合的概念分析進(jìn)行特殊概念的匹配，并預(yù)先設(shè)定分類，比如個(gè)人識(shí)別信息等。內(nèi)容登記技術(shù)依賴企業(yè)給系統(tǒng)提供的數(shù)據(jù)保護(hù)目標(biāo)，包括全部的或者部分的文檔匹配；文件的散列組合數(shù)據(jù)庫(kù)指紋，通過(guò)散列現(xiàn)存的數(shù)據(jù)庫(kù)內(nèi)容組合來(lái)識(shí)別匹配信息。終端控制技術(shù)是指部署在用戶計(jì)算機(jī)上的終端代理程序，代理程序能監(jiān)視網(wǎng)絡(luò)、文件和用戶活動(dòng)，發(fā)現(xiàn)隱藏在筆記本計(jì)算機(jī)、桌面計(jì)算機(jī)和服務(wù)器等所有端點(diǎn)上的敏感數(shù)據(jù)；能夠通過(guò)文件監(jiān)視進(jìn)行終端內(nèi)容發(fā)現(xiàn)，通過(guò)內(nèi)置的過(guò)濾模塊在數(shù)據(jù)被加密之前對(duì)其進(jìn)行檢查并監(jiān)測(cè)(阻止)敏感數(shù)據(jù)被轉(zhuǎn)移到移動(dòng)存儲(chǔ)設(shè)備中；在未經(jīng)授權(quán)的應(yīng)用程序(比如加密或編碼軟件)中監(jiān)

6、測(cè)敏感內(nèi)容；限制計(jì)算機(jī)終端對(duì)敏感數(shù)據(jù)的剪切和粘貼功能。dlp系統(tǒng)中采用的加解密技術(shù)主要對(duì)敏感數(shù)據(jù)進(jìn)行加密的方式，加密對(duì)象可以是文檔或磁盤(pán)的特定區(qū)域。這種技術(shù)在國(guó)內(nèi)的dlp解決方案提供廠商中被廣泛使用，國(guó)外dlp解決方案廠商限于國(guó)內(nèi)密碼管理政策，所采用的密碼算法為國(guó)際通用算法。相比之下，國(guó)內(nèi)dlp廠商所采用的國(guó)內(nèi)商密算法安全強(qiáng)度相對(duì)較高。3、如何選擇合理的dlp解決方案一個(gè)好的dlp系統(tǒng)必須在敏感數(shù)據(jù)發(fā)現(xiàn)、內(nèi)容分析、信息過(guò)濾、數(shù)據(jù)加解密方面為企業(yè)提供全面解決方案。但作為新興的安全產(chǎn)品，市場(chǎng)上存在多種解決方案，僅國(guó)內(nèi)就有十幾套完整的dlp解決方案，所提供的功能從單純的數(shù)據(jù)加密到全套的dlp，這些方

7、案無(wú)?例外都宣稱具有dlp功能。那么企業(yè)作為用戶，該如何進(jìn)行選擇?任何一個(gè)產(chǎn)品的應(yīng)用，如果不與實(shí)際環(huán)境緊密結(jié)合，結(jié)果都將是成為擺設(shè)，沒(méi)有任何用處，尤其是作為深入到企業(yè)內(nèi)部敏感數(shù)據(jù)保護(hù)的dlp的應(yīng)用尤其如此。企業(yè)如何將dlp應(yīng)用在日常工作中，最大程度發(fā)揮它的作用也是一客差囂翟然震霎霾霉嘉篙塞譬淼：的問(wèn)題。在選擇并部署dlp之前，企業(yè)首先應(yīng)該“自診”，自診的內(nèi)容包含確定需要保護(hù)的目標(biāo)、目標(biāo)所在的位置以及目標(biāo)可能的輸出途徑，完成這一步內(nèi)容在dlp項(xiàng)目實(shí)施中至關(guān)重要。通過(guò)自診組要達(dá)到如下的目標(biāo)：(1)確定企業(yè)數(shù)據(jù)保護(hù)的預(yù)期目標(biāo)，決定什么內(nèi)容需要保護(hù)，應(yīng)該怎樣進(jìn)行保護(hù)。保護(hù)內(nèi)容需要召集包括it部門、業(yè)務(wù)

8、部門、財(cái)務(wù)部、人力資源部等相關(guān)主要部門的代表，共同討論確定保護(hù)的目標(biāo)，包括保護(hù)的對(duì)象和實(shí)施方案；(2)確定數(shù)據(jù)分類定義：企業(yè)的it部門和業(yè)務(wù)部門必須緊密配合，根據(jù)敏感度和重要性不同對(duì)企業(yè)中的數(shù)據(jù)進(jìn)行分類定義，在定義過(guò)程中，能夠整理敏感數(shù)據(jù)的關(guān)鍵詞或指定的文件格式、模板；(3)確定訪問(wèn)權(quán)限分類：對(duì)企業(yè)中能夠訪問(wèn)敏感數(shù)據(jù)的人員進(jìn)行分類，根據(jù)敏感數(shù)據(jù)和有權(quán)限訪問(wèn)數(shù)據(jù)的人員整理訪問(wèn)權(quán)限的矩陣列表；(4)完成數(shù)據(jù)流轉(zhuǎn)分析：根據(jù)數(shù)據(jù)敏感程度的分類，對(duì)敏感數(shù)據(jù)在企業(yè)內(nèi)網(wǎng)的流轉(zhuǎn)過(guò)程進(jìn)行全面的分析，包括數(shù)據(jù)的生成、流轉(zhuǎn)方式、流轉(zhuǎn)控制以及數(shù)據(jù)的存儲(chǔ)方式和存儲(chǔ)位置等；(5)對(duì)企業(yè)內(nèi)網(wǎng)數(shù)據(jù)的輸出形式進(jìn)行分析，內(nèi)部員工

9、足否可利用網(wǎng)絡(luò)、外設(shè)存儲(chǔ)設(shè)備或打印設(shè)備輸出信息。在完成以上工作后，企業(yè)可以開(kāi)始著手選擇dlp解決方案。目前市場(chǎng)上提供的完整的dlp解決方案可能包括內(nèi)容分析技術(shù)、覆蓋范圍(網(wǎng)絡(luò)/存儲(chǔ)/終端)、基礎(chǔ)設(shè)施一體化、工作流程等等。企業(yè)應(yīng)該根據(jù)“自診”中確定的保護(hù)目標(biāo)決定是需要選擇整套的dlp解決方案，還是只需要一個(gè)專用的dlp方案或者只是一些具有dlp功能的現(xiàn)有產(chǎn)品。對(duì)于企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)絡(luò)或其他網(wǎng)絡(luò)連通的情況，應(yīng)選用基于網(wǎng)絡(luò)的數(shù)據(jù)泄漏防御系統(tǒng)，在網(wǎng)絡(luò)邊界處進(jìn)行合規(guī)性檢查。這類設(shè)備作為被動(dòng)網(wǎng)絡(luò)監(jiān)視工具，根據(jù)企業(yè)內(nèi)部敏感信息的關(guān)鍵字詞、特定的文件模板或特定的文件格式生成信息過(guò)濾的指紋庫(kù)，在企業(yè)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)

10、互聯(lián)的通信通道上監(jiān)測(cè)信息泄露，在敏感數(shù)據(jù)泄漏之前中止網(wǎng)絡(luò)通信，保證數(shù)據(jù)不能違規(guī)流傳到互聯(lián)網(wǎng)絡(luò)。這類產(chǎn)品作為dlp系統(tǒng)較早期的成員，所支持的網(wǎng)絡(luò)協(xié)議種類是衡量該類產(chǎn)品的重要指標(biāo)。在選擇該類產(chǎn)品時(shí)主要關(guān)注產(chǎn)品是只支持通用協(xié)議如電子郵件、ftp和iittp還是支持互聯(lián)網(wǎng)絡(luò)常見(jiàn)的協(xié)議如即時(shí)通訊等并具有提供持續(xù)升級(jí)能力；在協(xié)議族方面是能夠監(jiān)測(cè)所有的協(xié)議還是只能監(jiān)測(cè)一個(gè)協(xié)議的子集；在端口監(jiān)測(cè)方面是需要硬編碼端口和協(xié)議的組合還是能夠監(jiān)測(cè)非標(biāo)準(zhǔn)端口上的網(wǎng)絡(luò)流量。在性能選擇方面，企業(yè)沒(méi)有必要一味追求高性能，只需要考慮內(nèi)網(wǎng)與外部的通信流量。一一般來(lái)說(shuō)，普通大型企業(yè)監(jiān)視的速度最多也就需要300 mbps到500 m

11、bps，而中型企業(yè)為100 mbps左右，小型企業(yè)只需要5 mbps?；谥鳈C(jī)的數(shù)據(jù)泄漏防御系統(tǒng)作為整個(gè)dlp中重要的環(huán)節(jié)，能對(duì)主機(jī)中關(guān)于敏感數(shù)據(jù)的操作包括復(fù)制/粘貼等行為進(jìn)行合規(guī)性檢查；對(duì)于企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)終端開(kāi)放外設(shè)接口，用戶可以隨意使用移動(dòng)存儲(chǔ)介質(zhì)或其他設(shè)備，如無(wú)線、紅外設(shè)備的情況，應(yīng)選擇包含外設(shè)管理功能的主機(jī)數(shù)據(jù)泄漏防御系統(tǒng)。這類系統(tǒng)根據(jù)企業(yè)管理的松緊度，能完全禁止使用移動(dòng)存儲(chǔ)介質(zhì)或者只是控制將敏感數(shù)據(jù)拷貝到移動(dòng)存儲(chǔ)介質(zhì)，當(dāng)然更大的靈活度會(huì)帶來(lái)系統(tǒng)更復(fù)雜的設(shè)計(jì)以及對(duì)終端更多的性能消耗。衡量這類產(chǎn)品的一個(gè)重要指標(biāo)是系統(tǒng)對(duì)終端環(huán)境的兼容性以及對(duì)終端資源的占用程度。企業(yè)在選擇這類產(chǎn)品之前，應(yīng)該

12、進(jìn)行充分的測(cè)試，測(cè)試的環(huán)境包括系統(tǒng)與企業(yè)目前使用的殺毒軟件，應(yīng)用軟件包含辦公oa系統(tǒng)、設(shè)計(jì)軟件以及財(cái)務(wù)軟件等的兼容性；同時(shí)，這類系統(tǒng)自身的保護(hù)強(qiáng)度是衡量的另一個(gè)重要指標(biāo)，終端的安全機(jī)制不能被繞過(guò)，代理程序不能被惡意用戶主觀卸載，以及管理中心能夠?qū)K端代理程序狀態(tài)進(jìn)行檢測(cè)都是必須具備的安全功能。加密技術(shù)是目前國(guó)內(nèi)dlp廠商普遍采用的手段，對(duì)被保護(hù)對(duì)象進(jìn)行加密是最有效也是最直接的方式。企業(yè)在選擇包含這類功能的dlp時(shí)，主要對(duì)加密的效率、加密所采用的算法進(jìn)行考慮，同時(shí)對(duì)于部署在計(jì)算機(jī)終端的加密軟件也需要考慮與終端環(huán)境的兼容性和對(duì)終端資源的占用程度。對(duì)于企業(yè)而言，在dlp實(shí)施過(guò)程中一步到位固然是好，但是采用漸進(jìn)的策略能夠讓企業(yè)更好地理解新技術(shù)，調(diào)整內(nèi)部工作流程并進(jìn)行優(yōu)化。一般來(lái)說(shuō)，企業(yè)可以先進(jìn)行基本的網(wǎng)絡(luò)監(jiān)控，然后再對(duì)服務(wù)器或數(shù)據(jù)存儲(chǔ)中的敏感數(shù)據(jù)進(jìn)行保護(hù)，并對(duì)計(jì)算機(jī)終端進(jìn)行控制。在dlp解決方案提供廠商中，比較著名的包括國(guó)外信息安全廠商如賽門鐵克、mcafee、emc(rsa)、趨勢(shì)科技、websense以及國(guó)內(nèi)信息安全廠商如北京億賽通、深圳虹安等。不管是國(guó)內(nèi)產(chǎn)品還是國(guó)外產(chǎn)品，只有真正能融入到企業(yè)實(shí)際工作流程中發(fā)揮出作用的產(chǎn)品才是好的產(chǎn)品，企業(yè)在dlp項(xiàng)目建設(shè)中應(yīng)該檫亮眼睛，根據(jù)