数据丢失保护并不等于终端安全性防护

本文作者Joe Hernick是一位行业分析师,他曾担任某家财富100强公司的IT经理。

每个人都在讨论来自公司内部的威胁。但是数据保护并不意味着不需要控制用户的访问–否则,你将失去业务数据,当然公司也要关门了。

国外媒体对384名商业技术专家就终端安全性进行了调查,结果显示在访问权限和数据保护之间取得平衡并不简单。在此次调查中,43%的人认为他们的组织过于信任用户,他们的组织允许用户将数据复制到U盘或其他设备,且没有任何限制或保护措施。

不过,IT人员意识到需要从原来的只保护终端设备的方式转为假设笔记本和智能手机会丢失,好员工会变成坏员工,而虚拟机也会出错。不能再只注意终端设备,而是要保护数据:确认应该保护的数据,发现这些数据的位置,锁定这些数据以防止来自内部和外部的威胁,数据保护的方式可以是加密、多层安全保护套件或像数据丢失防护(DLP)这样的新技术。

数据丢失防护套件结合了扫描和基于主机的工具来对公司的知识产权进行搜集、分类和保护。这些产品可以保持数据和文档的归档,以及相关的小组、个人的访问权限或其他政策。它们可以主动地扫描内部网络和外部连接,时刻注意异常情况。这种工具使得数据保护的范畴扩大到了外围设备或终端设备保护以外–数据丢失防护使内部安全检查更加容易,它可以让"只读"数据维持其只读状态,并最小化敏感数据被其他未授权人员看到的风险。

成功的数据丢失防护实施包括几个步骤:

l 确认已知的内容风险。保护你已经知道的数据,然后分析被遗忘的,被错放的,或被不适当使用的数据;

l 分析网络端口和协议,分析非标准端口上的正常行为和反常行为;

l 创建时间点内容签名和过滤规则,并创建敏感数据存储的基准线。这些设置将用来监视传输流,并发现各种文件类型和传输方式上的敏感数据集;

l 利用签名和过滤规则来对审视所有传输的内容,并设定发出通知、阻止操作和强制执行的政策;

l 进行根本原因和历史数据分析;当确认出现新的威胁和风险的时候,要能够更新和改变政策和规则设置;

l 利用好现有的IT资源;确保数据丢失防护套件能够同其他网络分析工具和外围保护工具协同工作,并能够利用这些工具;

l 考虑分阶段实施;在实施中先用"被动的"基于网络的工具来分析数据传输,这样可以不影响终端;然后添加基于代理的或全客户端的应用程序,以执行终端政策;