利用数据泄漏防护保护企业数据安全信息安全基础信息化884

1、利用数据泄漏防护保护企业数据安全_信息安全_基础信息化1、背景对于现代企业而言，信息电子化的发展趋势意味着数据就是资产，更是企业核心竞争力的体现。对企业的关键敏感数据进行有效保护，就能使企业自身在激烈的商业竞争中立于不败之地。在现实社会中，敏感数据的丢失对企业不但意味着经济损失，还可能给企业带来更大的麻烦，比如让企业陷入无休止的官司，甚至导致企业的破产。2007年美国tjx零售公司由于对4500多万客户的信息卡及保密资料丢失负有责任，导致其客户和银行业对其提起诉讼，最终tjx公司需要向客户赔付1.01亿美元，并承受严重的企业声誉损失。而且随着互联网的深入发展，企业网络与外部网络边界日益模糊，电

2、子邮件、即时通信将企业网络与外界紧密连接在一起。传统的以防火墙、入侵检测、防病毒为代表的“老三样”安全防护手段在应对企业敏感数据保护方面，显得力不从心。目前，越来越多的企业开始重视敏感数据保护，特别是随着有中国版“萨班斯法案”之称的企业内部控制基本规范颁布以后，数据保护引起了企业的普遍重视。而且从目前信息安全发展方向来看，重心已从单纯针对系统与网络基础层面防护向关注应用和数据层面的防护转换，安全防护的对象从网络基础设施保护上升到数据和应用的层面。在这种背景之下，数据泄漏防护应运而生，承担起对企业敏感数据整个生命周期内行为强有力的监测和保护的重任。2、数据泄漏防护简介数据泄露防护(data le

3、akage prevention，dlp)是一类产品的统称，指根据企业制定的安全策略，采用集中管理的方式，通过深入的内容分析和强健的事件处理流程识别、监视和保护静止的、活动的以及使用中的数据，防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或无意流出，同时为了适应网络中复杂的环境，dlp系统应能跨越多个平台和不同的地点。dlp作为新兴的安全产品，以深入的内容检查和分析为基础，不仅保护在网络上移动的数据，而且还保护存储的静止数据以及在台式机中使用的数据。根据所部署位置的不同，数据泄漏防御的解决方案可以分成基于网络的数据泄漏防御方案(ndlp)和基于主机的数据泄漏防御方案(hdlp)。基

4、于网络的数据泄漏防御方案通常部署内部网络和外部网络连接的出口处，对进出单位内部网络的所有数据进行安全合规性检查。基于主机的数据泄露防御方案则部署在存放敏感数据的主机上，一旦发现被保护主机上的数据被违规转移出主机时，hdlp会采取拦截或报警等行为。dlp作为信息安全发展的新方向，在原有安全技术基础上发展形成了自身独具特色的一套技术体系，其中所运用的关键技术包括内容分析、终端控制技术以及加解密技术。内容分析技术能够对网络流量和文件进行深入分析，根据预先制定的政策识别各种关键内容。内容分析使用了包括内容描述技术和内容登记技术。内容描述技术使用规则的表达式、关键词、专业词汇以及其他的类型来识别内容。使

5、用规则/常规表达式进行类型匹配；使用包括预先设置的词语和规则组合的概念分析进行特殊概念的匹配，并预先设定分类，比如个人识别信息等。内容登记技术依赖企业给系统提供的数据保护目标，包括全部的或者部分的文档匹配；文件的散列组合数据库指纹，通过散列现存的数据库内容组合来识别匹配信息。终端控制技术是指部署在用户计算机上的终端代理程序，代理程序能监视网络、文件和用户活动，发现隐藏在笔记本计算机、桌面计算机和服务器等所有端点上的敏感数据；能够通过文件监视进行终端内容发现，通过内置的过滤模块在数据被加密之前对其进行检查并监测(阻止)敏感数据被转移到移动存储设备中；在未经授权的应用程序(比如加密或编码软件)中监

6、测敏感内容；限制计算机终端对敏感数据的剪切和粘贴功能。dlp系统中采用的加解密技术主要对敏感数据进行加密的方式，加密对象可以是文档或磁盘的特定区域。这种技术在国内的dlp解决方案提供厂商中被广泛使用，国外dlp解决方案厂商限于国内密码管理政策，所采用的密码算法为国际通用算法。相比之下，国内dlp厂商所采用的国内商密算法安全强度相对较高。3、如何选择合理的dlp解决方案一个好的dlp系统必须在敏感数据发现、内容分析、信息过滤、数据加解密方面为企业提供全面解决方案。但作为新兴的安全产品，市场上存在多种解决方案，仅国内就有十几套完整的dlp解决方案，所提供的功能从单纯的数据加密到全套的dlp，这些方

7、案无?例外都宣称具有dlp功能。那么企业作为用户，该如何进行选择?任何一个产品的应用，如果不与实际环境紧密结合，结果都将是成为摆设，没有任何用处，尤其是作为深入到企业内部敏感数据保护的dlp的应用尤其如此。企业如何将dlp应用在日常工作中，最大程度发挥它的作用也是一客差嚣翟然震霎霾霉嘉篙塞譬淼：的问题。在选择并部署dlp之前，企业首先应该“自诊”，自诊的内容包含确定需要保护的目标、目标所在的位置以及目标可能的输出途径，完成这一步内容在dlp项目实施中至关重要。通过自诊组要达到如下的目标：(1)确定企业数据保护的预期目标，决定什么内容需要保护，应该怎样进行保护。保护内容需要召集包括it部门、业务

8、部门、财务部、人力资源部等相关主要部门的代表，共同讨论确定保护的目标，包括保护的对象和实施方案；(2)确定数据分类定义：企业的it部门和业务部门必须紧密配合，根据敏感度和重要性不同对企业中的数据进行分类定义，在定义过程中，能够整理敏感数据的关键词或指定的文件格式、模板；(3)确定访问权限分类：对企业中能够访问敏感数据的人员进行分类，根据敏感数据和有权限访问数据的人员整理访问权限的矩阵列表；(4)完成数据流转分析：根据数据敏感程度的分类，对敏感数据在企业内网的流转过程进行全面的分析，包括数据的生成、流转方式、流转控制以及数据的存储方式和存储位置等；(5)对企业内网数据的输出形式进行分析，内部员工

9、足否可利用网络、外设存储设备或打印设备输出信息。在完成以上工作后，企业可以开始着手选择dlp解决方案。目前市场上提供的完整的dlp解决方案可能包括内容分析技术、覆盖范围(网络/存储/终端)、基础设施一体化、工作流程等等。企业应该根据“自诊”中确定的保护目标决定是需要选择整套的dlp解决方案，还是只需要一个专用的dlp方案或者只是一些具有dlp功能的现有产品。对于企业内网与互联网络或其他网络连通的情况，应选用基于网络的数据泄漏防御系统，在网络边界处进行合规性检查。这类设备作为被动网络监视工具，根据企业内部敏感信息的关键字词、特定的文件模板或特定的文件格式生成信息过滤的指纹库，在企业内网与外部网络

10、互联的通信通道上监测信息泄露，在敏感数据泄漏之前中止网络通信，保证数据不能违规流传到互联网络。这类产品作为dlp系统较早期的成员，所支持的网络协议种类是衡量该类产品的重要指标。在选择该类产品时主要关注产品是只支持通用协议如电子邮件、ftp和iittp还是支持互联网络常见的协议如即时通讯等并具有提供持续升级能力；在协议族方面是能够监测所有的协议还是只能监测一个协议的子集；在端口监测方面是需要硬编码端口和协议的组合还是能够监测非标准端口上的网络流量。在性能选择方面，企业没有必要一味追求高性能，只需要考虑内网与外部的通信流量。一一般来说，普通大型企业监视的速度最多也就需要300 mbps到500 m

11、bps，而中型企业为100 mbps左右，小型企业只需要5 mbps。基于主机的数据泄漏防御系统作为整个dlp中重要的环节，能对主机中关于敏感数据的操作包括复制/粘贴等行为进行合规性检查；对于企业内网计算机终端开放外设接口，用户可以随意使用移动存储介质或其他设备，如无线、红外设备的情况，应选择包含外设管理功能的主机数据泄漏防御系统。这类系统根据企业管理的松紧度，能完全禁止使用移动存储介质或者只是控制将敏感数据拷贝到移动存储介质，当然更大的灵活度会带来系统更复杂的设计以及对终端更多的性能消耗。衡量这类产品的一个重要指标是系统对终端环境的兼容性以及对终端资源的占用程度。企业在选择这类产品之前，应该

12、进行充分的测试，测试的环境包括系统与企业目前使用的杀毒软件，应用软件包含办公oa系统、设计软件以及财务软件等的兼容性；同时，这类系统自身的保护强度是衡量的另一个重要指标，终端的安全机制不能被绕过，代理程序不能被恶意用户主观卸载，以及管理中心能够对终端代理程序状态进行检测都是必须具备的安全功能。加密技术是目前国内dlp厂商普遍采用的手段，对被保护对象进行加密是最有效也是最直接的方式。企业在选择包含这类功能的dlp时，主要对加密的效率、加密所采用的算法进行考虑，同时对于部署在计算机终端的加密软件也需要考虑与终端环境的兼容性和对终端资源的占用程度。对于企业而言，在dlp实施过程中一步到位固然是好，但是采用渐进的策略能够让企业更好地理解新技术，调整内部工作流程并进行优化。一般来说，企业可以先进行基本的网络监控，然后再对服务器或数据存储中的敏感数据进行保护，并对计算机终端进行控制。在dlp解决方案提供厂商中，比较著名的包括国外信息安全厂商如赛门铁克、mcafee、emc(rsa)、趋势科技、websense以及国内信息安全厂商如北京亿赛通、深圳虹安等。不管是国内产品还是国外产品，只有真正能融入到企业实际工作流程中发挥出作用的产品才是好的产品，企业在dlp项目建设中应该檫亮眼睛，根据