数据防泄密:加密、审计一个都不能少

启明星辰 发表于:12年08月08日 11:40 [来稿] DOIT.com.cn

  • 分享:
[导读]启明星辰同时拥有加密和审计两种数据防泄密产品。从审计角度来说,启明星辰的天榕DLP比国外产品更了解国内的应用,对QQ外发、中文分词做的更好。

最近几年,随着越来越多的运营商、银行内部人员窃取倒卖用户隐私的事件被曝光,数据防泄密已经成为很多企业关注的问题。企业的CIO都知道数据防泄密很重要,但问题的重点在于,很多情况下,企业对信息泄密的事件往往无法做到事前预防及事后的追溯。

从2002年起,国内就出现了以防止敏感信息泄露为目的的防水墙系统,数据防泄密领域先后发展了主机监控与审计、桌面管理、终端安全、补丁管理、移动存储介质管理、终端准入等安全管理手段。目前这类手段就如同IDS、防火墙、杀毒软件一样,从网络边界、系统安全、设备管控的角度来保证内部信息不受外部的入侵、更多的是用堵的方式来堆砌高墙,把需要保护的信息给围起来。

然而随着互联网的快速发展,这种方式已经很难适应企业的业务模式,这面高墙已经千疮百孔。那么真正有效的解决方案是什么?我们先分析一下企业的业务行为(如下图)。

从图中,我们可以看到信息的产生、存储、流转直至销毁,基本都运转存储在业务系统、邮件服务器、文件服务器、移动设备和终端上。

对于业务系统、文件服务器、移动介质上的数据安全,目前市场上已经有比较成熟的主机审计系统、邮件网关、移动介质管理系统、准入控制系统来对应解决。但是当数据从业务系统中下载下来、从文件服务器中拷贝出来放到终端的时候,就失去了严格的审计和安全防护。在终端上,用户具有了对数据的完全操作权限,用户可以随意的拷贝、外发、打印。特别是对于移动终端,即使有了桌面管理系统,也无法完全做到终端离线后在外网的行为管控。并且从业务需求来看,也没有理由因为终端存在10个重要的文档而去阻止另外1000个文档都不能外发和拷贝,所以数据防泄密的问题难点,还是纠结在如何能平衡好安全性和易用性。

基于新的安全需求,国外首先提出了DLP(数据防泄密)的概念,并且有了一些相对成熟的终端DLP产品,通过定义敏感词的方式,首先发现企业所关心的重要文档在哪里,并且审计用户都是怎么使用这些数据,有没有拷贝,有没有打印,有没有通过IM软件外发等等。通过直观的视图来分析企业的数据安全风险在哪里,用户有没有可疑的泄密行为,并且做到及时的阻断和报警。

但是对于移动设备来说,这种方式还存在一个弊端——无法解决设备丢失带来的泄密问题。这时就需要配合加密手段,对重要的数据事先做到加密保护。两者是相辅相成的。

加密是强制性的保护手段,在高机密范围内使用,需要事先找到机密的文档,但用户往往缺乏相应的技术手段发现机密在哪里。DLP终端是审计类的产品,能够帮助用户找到机密文档在哪里,并且监督这些机密的文档是否都被加密保护了。

目前同时拥有加密和审计两种防护产品的厂商,国外有赛门铁克,国内则是启明星辰。从审计角度来说,启明星辰的天榕DLP(数据防泄密)更了解国内的应用,对QQ外发、中文分词做的更好。赛门铁克DLP(数据防泄密)的功能更丰富些。从加密的技术上来看,两者存在着本质的不同,赛门铁克是磁盘加密,只满足用户主动加密保护。天榕加密是文件透明加密,满足系统强制加密和用户主动加密两种方式。

[责任编辑:黄辉]
大黄
以备份起家的CommVault近两年的解决方案不断向更全面的数据保护转型,并对数据管理、数据挖掘也有了一些关注。CommVault中国区技术总监蔡报永接受采访时表示CommVault将继续做一家专注做数据管理和信息管理的软件厂商。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.