去年年底泄漏门之后,很多网络安全人士指出企业数据泄漏大部分情况下企业自己的原因。很多互联网企业对于数据安全的投入不足企业收入的1%,过期的数据也没能进行及时的处理。从这个角度看企业数据泄漏大部分责任应归咎于企业自身防范意识的缺失。
今年很多企业将数据防泄漏策略建设提上日程。另外泄漏门之后防火墙及其他数据防泄漏市场也有相当的升温。下一代防火墙(NGFW)也加快了发展的脚步。
本文从数据泄漏的原因、数据分级防泄漏思路以及主流的数据防泄漏措施三个方面讨论企业数据防泄漏的解决方案。
一、泄露是如何发生的
1.网络攻击产业链形成,信息安全现状不容乐观
黑色产业链是企业数据安全的一大威胁,2011年很多网络安全会议都指出国内的网络黑色产业链已经形成。瑞星在其《瑞星2011年度安全报告》中指出病毒和木马等恶意程序、钓鱼诈骗、黑客“拖库”攻击。黑客开始以取得的用户数据库为基础,利用“社会工程学”原理对用户进行全面的诈骗、密码猜解、身份伪造、病毒和挂马等攻击,这种新型攻击已经全面渗透到黑色产业的各个环节,显示出巨大的现实危害。
2.企业普遍不重视数据管理,过期数据不及时销毁等问题,为数据泄漏埋下隐患。
企业数据防泄漏意识缺乏,安全投入不足是企业安全的关键问题。绝大多数的数据外泄事件不是由于黑客的入侵,而是企业内部的员工违规操作和企业数据管理策略制定不当。
3.手机、U盘等移动设备被广泛用到企业日常运作中,增加了数据泄漏途径。
移动设备市场的繁荣使得越来越多诸如手机、平板电脑以及移动硬盘等移动设备大量的应用到了企业日常运作当中。这一现象给企业数据安全提出了新的挑战,
二、数据的分级防泄漏思路
1.企业核心客户资料、技术档案等机密数据。这类数据需要制定特定的加密策略,方法可以是采用专用数据库,设定高限制性的管理权限以及高级别的加密算法等。
2.企业的敏感数据和私有数据。这类数据并不需要进行高级别加密保护,但是防泄漏工作仍是十分必要的。这类数据的保护措施可以为数据库安装防火墙,及时清除过期的数据资源等。
3.对于公开的公司新闻类的公共数据。这类数据没有防泄漏的具体要求,管理的策略可以是合理的设置访问和修改的权限。以免这类数据大规模的泄漏影响到企业其他重要的数据安全。
三、防范数据泄露的方法
在数据安全防范中,常见的企业数据防泄密选择是DLP (数据泄漏保护)、DRM (数字权限保护)、Encryption(加密)和Management(管理)。一般所采用的数据保护的基本流程是:DLP—DRM—加密。会用DLP 进行整体的分析,然后进行全面的数据使用监控,大范围的进行控制。再使用DRM和加密对特别文档进行保护,从而实现对企业数据的保护。
对于日常的数据防泄漏中,主要还是从数据使用、数据存储和数据传输等方面进行入手。具体的措施包括以下几个方面:
1. 终端数据防泄露,各种企业信息终端是企业防泄漏的关键环节。实现终端安全可以从四个方面进行考虑。第一,建立硬件可信可控系统;第二,建立可信认证机制的 纵身防御体系;第三,实现身份、介质、数据、审计、监控防护;第四,将安全性与管理性并重考量。最有名的终端安全厂商当属赛门铁克,其在终端安全上的解决 方案和安全产品做的都是非常完善的。
2.磁盘数据防泄露。不管是企业还是个人磁盘都承担着主要的数据存储任务,所以磁盘是数据防泄漏中的重要环节。磁盘数据安全主要运用的技术主要有磁盘、文件加密和磁盘数据恢复等。
3.端口数据泄露防护。端口处于软硬件中间,所以端口的防泄漏主要是通过软硬件防火墙实现的。防火墙也是最常见的企业抵抗外来攻击的工具,国内的防火墙以及安全网关产品也较其他数据安全产业发展的更为成熟。主要厂商中思科、梭子鱼、网康等等。
4. 数据库数据防泄露。数据库防泄漏在数据库上主要体现在数据库数据的访问权限设定和数据库加密两方面。企业的数据库应有完整的数据管理权限策略。Oracle等大型数据库商家都在数据库安全上有相当完善的服务方案
5. 移动存储设备防泄密。移动设备的种类较多,应用环境也较为复杂,是数据防泄漏的一个难点。应尽量避免移动设备与含有企业核心数据的设备接触,并使用杀毒软件和移动加密锁等工具来保障移动设备数据安全。
6.制定数据保密制度。企业管理者拥有对数据使用策略的制定权,数据防泄露体系应该满足企业对于数据泄露的各种级别需求,并可灵活制定阻止或通行策略,予以不同级别用户不同权限。
如 今很多企业表示已将数据防泄漏策略建设提上日程。另外泄漏门之后防火墙及其他数据防泄漏市场也有相当的升温。下一代防火墙(NGFW)也加快了发展的脚 步。借助泄漏门带来的企业对信息安全的思考和信息安全产业逐渐走向成熟,2012年将是企业数据防泄漏产业大发展的一年。