揭秘國內(nèi)外數(shù)據(jù)防泄密解決方案“大閱兵”

揭秘國內(nèi)外數(shù)據(jù)防泄密解決方案“大閱兵”安全談：個人信息保護國內(nèi)外解決方案比較個人信息保護成為2012年業(yè)界熱點。隨著3.15晚會濟南移動垃圾短信事件的曝光，所有人都意識到個人信息保護不再是一個遙遠的話題，而是發(fā)生在我們每個人身邊。管理手段的孱弱，技術(shù)手段的缺失，導(dǎo)致數(shù)據(jù)泄漏事件的頻頻爆發(fā)，已經(jīng)成為國內(nèi)公共結(jié)構(gòu)的夢魘。針對越演越烈的數(shù)據(jù)泄漏事件，國內(nèi)外IT廠商紛紛推出關(guān)于數(shù)據(jù)泄漏防護的的解決方案。一、環(huán)境不同導(dǎo)致不同的產(chǎn)品設(shè)計理念在國外，個人信息一直受到法律的高度保護o1974年美國頒布《隱私權(quán)法》，德國1976年頒布《聯(lián)邦資料保護法》1984年英國制訂《數(shù)據(jù)保護法》1995年歐盟制訂了《關(guān)于個人信息運行和自由流動的保護指令》，1998年美國與歐盟簽訂了“安全港”協(xié)定(safeharbor)，而最近新加坡也出臺對垃圾信息給以高額處罰等等。對于侵犯個人信息保護法律的個人和單位，在國外都受到嚴厲的制裁。在強有力的法律手段保護下，任何單位和個人都不敢輕易碰觸法律這個高壓線。對單位來說，凡是違反此類法律的，其賠償金額是極為驚人的。2007年在美國TJX零售公司發(fā)生的4500多萬客戶的信息卡及保密資料丟失，導(dǎo)致其客戶和銀行業(yè)對其提起訴訟，最終TJX公司需要向客戶賠付1.01億美元，并承受嚴重的企業(yè)聲譽損失。國外個人信用體系的完備，也是防止個人從內(nèi)部泄密的主要原因。在美國敢于從內(nèi)部泄密獲利者，其下場是非常明顯的，很可能終身失業(yè)。國外法律環(huán)境的完善，比較有效地震懾內(nèi)部有意泄密者，所以在國外內(nèi)部有意泄密者較少。據(jù)此，國外關(guān)于個人信息保護的產(chǎn)品設(shè)計理念，立足在防止外部入侵和內(nèi)部無意的泄密。在國內(nèi)，法律法規(guī)不健全，不能有效追究內(nèi)部泄密者的責任，所以國內(nèi)個人信息保護基本形同虛設(shè)，內(nèi)部人員違法違規(guī)將內(nèi)部信息主動泄密，這是造成國內(nèi)個人信息保護不力的主要原因。因此，國內(nèi)IT廠商針對個人信息保護的解決方案，采用“事前主動防御，事中實時控制，事后及時追蹤，全面防止泄密”的設(shè)計理念，不僅防止外部入侵，更重要的是防止內(nèi)部泄密，包括有意泄密和無意泄密。二、國內(nèi)外主要解決方案比較在國外，基于防止外部入侵竊密和內(nèi)部無意泄密的需求，國外IT廠商紛紛推出數(shù)據(jù)泄漏防護(DLP)解決方案，其中主要的代表廠商有趨勢科技、賽門鐵克、RSA(EMC)、Websense、麥咖啡等。2008年6月17日，趨勢科技收購Provilla公司，推出數(shù)據(jù)外泄防護系統(tǒng)，當員工在對敏感文件進行不合適的操作時，該系統(tǒng)可以發(fā)出警報，這一警報將在員工電腦屏幕上以對話框的形式出現(xiàn)。這些警報框?qū)⒅笇?dǎo)員工如何處理機密信息，提高他們的安全意識并獲得他們的支持，從而防止數(shù)據(jù)“出門”。管理員可以對警報對話框進行詳細定制，當違規(guī)行為發(fā)生時，員工電腦屏幕上會彈出對話框，說明正在進行什么操作、為什么要這么操作以及到那里獲取詳細信息。管理員還有一種選擇是對敏感數(shù)據(jù)進行特定的操作之前，要求他們提供正當?shù)睦碛?。這種質(zhì)詢/應(yīng)答特性提供了另一層面的正確處理敏感數(shù)據(jù)的意識，而且如果該操作不是有意為之，還提供了取消這個操作的途徑。在國內(nèi)，2012年山麗網(wǎng)安推出了山麗防水墻信息防泄漏體系5.0。山麗網(wǎng)安以“全盤透明加密解密技術(shù)”為基礎(chǔ)，采用對應(yīng)中國用戶需求的各種策略，以透明加密和權(quán)限管理兩功能為核心，結(jié)合身份認證、日志審計、外設(shè)管理、密文燒錄管理、文檔自動備份等功能，建立完善的體系。在系統(tǒng)自身的安全性方面，還采用災(zāi)難恢復(fù)管理，確保系統(tǒng)可靠、安全地運行。山麗防水墻信息防泄漏體系對數(shù)據(jù)（文檔）安全進行全方位、多角度、全生命周期的保護，徹底實現(xiàn)數(shù)據(jù)保護的完整性、保持性和安全性。三、國內(nèi)外DLP解決方案比較從國內(nèi)外DLP解決方案來看，在解決數(shù)據(jù)泄漏防護需求的思路上，大體上是相同的。通常認為，DLP可分為6個步驟：（一）企業(yè)先將數(shù)據(jù)進行分類，同時預(yù)先對“涉密數(shù)據(jù)”進行定義，然后確定哪些數(shù)據(jù)需要保護；（二）確定涉密數(shù)據(jù)在企業(yè)系統(tǒng)中的存放位置，企業(yè)確定有多少數(shù)據(jù)存放在員工的計算機、公司的服務(wù)器或數(shù)據(jù)庫等；（三）清楚掌握數(shù)據(jù)的位置，便能為數(shù)據(jù)的流出、流入提供實時的監(jiān)控及保護，包括經(jīng)電子郵件、http、即時消息等途徑發(fā)放的資料；（四）數(shù)據(jù)泄漏多數(shù)是人為所致，因此企業(yè)必須制定員工傳送機密數(shù)據(jù)的權(quán)限；（五）企業(yè)亦需監(jiān)控數(shù)據(jù)被送達的地方是否安全，如商業(yè)伙伴或網(wǎng)上電子郵件等；（六）企業(yè)必需注意員工運用什么途徑傳送檔案，這些途徑包括所有移動儲存硬盤和點對點傳送等。四、國內(nèi)外DLP解決方案不同之處分析國內(nèi)外個人信息保護解決方案，我們可以發(fā)現(xiàn)其不同之處：1、設(shè)計理念不同國外DLP基于良好的法律環(huán)境，內(nèi)部有意泄密相對極少，對內(nèi)部人員確認為可信，數(shù)據(jù)泄漏主要來自外部入侵和內(nèi)部無意間的泄密。因此，國外DLP主要用來防止外部入侵和內(nèi)部無意間泄密。國內(nèi)DLP主要基于國內(nèi)環(huán)境，法律威懾力小，追蹤難度大，泄密者比較容易逃脫法律制裁，犯罪成本比較小；同時，國內(nèi)各種管理制度不完善，內(nèi)部人員無意間失密的概率也比較大。所以國內(nèi)DLP既能防止內(nèi)部泄密，包括內(nèi)部有意泄密和無意泄密，同時也能防止外部入侵竊密。2、主要功能不同從趨勢科技、賽門鐵克、RSA（EMC）、Websense、麥咖啡等發(fā)布的產(chǎn)品來看，國外DLP產(chǎn)品主要包含的功能模塊有：內(nèi)容識別分類、輸出內(nèi)容監(jiān)控、敏感信息阻截、審計、移動設(shè)備管理。這些功能對于內(nèi)部無意間泄密基本上是滿足需求的，但是對于外部入侵防護的效果相當有限。這里還有一個比較大的問題在于內(nèi)容識別分類。內(nèi)容識別分類是國外DLP產(chǎn)品的核心功能，但是這項功能的有效性還有待改進。結(jié)構(gòu)化數(shù)據(jù)相對來說比較容易被識別和分類，但對于非結(jié)構(gòu)化數(shù)據(jù)來說，有效性不高，這是目前國外DLP比較致命的缺陷之一。從總體上說，國外DLP產(chǎn)品還是采用被動防范的手段來解決。國內(nèi)DLP產(chǎn)品以透明加密和權(quán)限管理為核心，結(jié)合身份認證、日志審計、文檔自動備份、文檔外發(fā)管理、設(shè)備安全管理、磁盤全盤加密等功能，其實是針對文檔（數(shù)據(jù)）采用雙重保護手段。一是文件級的加密權(quán)限保護，二是磁盤級的加密保護。其中防水墻文檔透明加密子系統(tǒng)、防水墻文檔權(quán)限管理子系統(tǒng)、防水墻文檔安全管理子系統(tǒng)、防水墻文檔外發(fā)管理子系統(tǒng)是文件級加密權(quán)限保護，全盤加密系統(tǒng)和加密安全網(wǎng)關(guān)是磁盤級加密保護。國內(nèi)DLP是從主動防范的立足點來解決問題的。3、產(chǎn)品適用范圍不同國外DLP基本實施在中國的外企。這是由于外企在國外總部基本采用了國外DLP產(chǎn)品，在中國只是延續(xù)其總部的防范手段。從目前的市場應(yīng)用來看，一部分外企比較容易接受國外DLP產(chǎn)品，并有實施。國內(nèi)DLP考慮中國特殊國情，基于國內(nèi)環(huán)境設(shè)計，所以其適用范圍相當廣泛。以山麗網(wǎng)安防水墻為例，當前主要適用目標客戶群在于：軍工、政府、企業(yè)。包括各國家部委、金融、電力、電信、軍工集團、大型企業(yè)（集團），并向中小企業(yè)及個人用戶拓展，銷售主體為政府用戶、金融和軍工和大型企業(yè)集團用戶。山麗網(wǎng)安防水墻為豐田汽車、貝卡爾特、凸版印刷、中國銀行等多家世界五百強企業(yè)成功部署了數(shù)據(jù)泄漏防護解決方案,同時還為2010年上海世博會、2010廣州亞運會等國際級大型活動提供過數(shù)據(jù)安全保障支持。4、產(chǎn)品實施后效果不同國外DLP在中國存在普遍的水土不服現(xiàn)象，主要原因還是在防內(nèi)和防外的問題上。國外DLP無法防止內(nèi)部主動泄密。國內(nèi)DLP以加密權(quán)限為核心，從主動預(yù)防的立足點來防止數(shù)據(jù)泄漏，對數(shù)據(jù)（文檔）進行加密，從源頭上進行控制。即使內(nèi)部數(shù)據(jù)流失到外部，也因為已被加密而無法使用，從而保證了數(shù)據(jù)（文檔）的安全。五、國內(nèi)DLP解決方案總體上優(yōu)于國外DLP綜上所述，國內(nèi)DLP解決方案的優(yōu)勢是顯而易見的。從技術(shù)上講，國內(nèi)DLP完全能防止數(shù)據(jù)（文檔）的泄漏問題，是適合中國國情的解決方案。國外DLP解決方案不適合中國用戶情況，無法滿足用戶需求。從總體上講，可以解決部分問題，但無法嚴密地防范泄密，只能更多地依賴管理手段。關(guān)于這一點，國外DLP廠商也有清醒的