数据防泄密:加密、审计一个都不能少
启明星辰 发表于:12年08月08日 11:40 [来稿] DOIT.com.cn
最近几年,随着越来越多的运营商、银行内部人员窃取倒卖用户隐私的事件被曝光,数据防泄密已经成为很多企业关注的问题。企业的CIO都知道数据防泄密很重要,但问题的重点在于,很多情况下,企业对信息泄密的事件往往无法做到事前预防及事后的追溯。
从2002年起,国内就出现了以防止敏感信息泄露为目的的防水墙系统,数据防泄密领域先后发展了主机监控与审计、桌面管理、终端安全、补丁管理、移动存储介质管理、终端准入等安全管理手段。目前这类手段就如同IDS、防火墙、杀毒软件一样,从网络边界、系统安全、设备管控的角度来保证内部信息不受外部的入侵、更多的是用堵的方式来堆砌高墙,把需要保护的信息给围起来。
然而随着互联网的快速发展,这种方式已经很难适应企业的业务模式,这面高墙已经千疮百孔。那么真正有效的解决方案是什么?我们先分析一下企业的业务行为(如下图)。
从图中,我们可以看到信息的产生、存储、流转直至销毁,基本都运转存储在业务系统、邮件服务器、文件服务器、移动设备和终端上。
对于业务系统、文件服务器、移动介质上的数据安全,目前市场上已经有比较成熟的主机审计系统、邮件网关、移动介质管理系统、准入控制系统来对应解决。但是当数据从业务系统中下载下来、从文件服务器中拷贝出来放到终端的时候,就失去了严格的审计和安全防护。在终端上,用户具有了对数据的完全操作权限,用户可以随意的拷贝、外发、打印。特别是对于移动终端,即使有了桌面管理系统,也无法完全做到终端离线后在外网的行为管控。并且从业务需求来看,也没有理由因为终端存在10个重要的文档而去阻止另外1000个文档都不能外发和拷贝,所以数据防泄密的问题难点,还是纠结在如何能平衡好安全性和易用性。
基于新的安全需求,国外首先提出了DLP(数据防泄密)的概念,并且有了一些相对成熟的终端DLP产品,通过定义敏感词的方式,首先发现企业所关心的重要文档在哪里,并且审计用户都是怎么使用这些数据,有没有拷贝,有没有打印,有没有通过IM软件外发等等。通过直观的视图来分析企业的数据安全风险在哪里,用户有没有可疑的泄密行为,并且做到及时的阻断和报警。
但是对于移动设备来说,这种方式还存在一个弊端——无法解决设备丢失带来的泄密问题。这时就需要配合加密手段,对重要的数据事先做到加密保护。两者是相辅相成的。
加密是强制性的保护手段,在高机密范围内使用,需要事先找到机密的文档,但用户往往缺乏相应的技术手段发现机密在哪里。DLP终端是审计类的产品,能够帮助用户找到机密文档在哪里,并且监督这些机密的文档是否都被加密保护了。
目前同时拥有加密和审计两种防护产品的厂商,国外有赛门铁克,国内则是启明星辰。从审计角度来说,启明星辰的天榕DLP(数据防泄密)更了解国内的应用,对QQ外发、中文分词做的更好。赛门铁克DLP(数据防泄密)的功能更丰富些。从加密的技术上来看,两者存在着本质的不同,赛门铁克是磁盘加密,只满足用户主动加密保护。天榕加密是文件透明加密,满足系统强制加密和用户主动加密两种方式。