企业DLP解决方案
中图分类号:F426.6 文献标识码:A 文章编号:1672-3791(2014)06(a)-0025-01
1 DLP简介
数据泄露防护(Data leakage prevention,DLP),又称为“数据丢失防护”也称为“信息泄漏防护”。数据泄露防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。
2 需求分析
2.1 黑客以及间谍的窃密
国内外越来越多的黑客及间谍,通过层出不穷的技术手段,盗取国内企业各种重要机密数据,已成为中国信息安全的巨大威胁之一。如果置之不理不采取相关的应急和长远措施,必将造成无法估量的损失。
2.2 行业竞争对手的有意窃取
信息技术的发展为盗取信息提供了一定的便利,怎么样做好防护是不得不采取的必要措施。如果企业不重视自身重要机密信息的保护,不但会造成商业竞争的被动,直接导致经济损失,更会导致整个行业因恶性竞争带来的衰落与灭亡。
2.3 在职员工无意或者恶意的泄密
目前,企事业单位人员对于信息安全资产的重要性认识不够,导致部分涉密人员无意泄密,为部分不良分子提供了可乘之机。另外部分不良的涉密人员,出于对企业的不满,肆意将机密信息公之于众,带来巨大的无法挽回的损失和不良影响。
2.4 内部文档权限失控导致泄密
目前,极大多数单位涉密信息的权限划分是粗放型的,没有细分到相应的个人。因此,内部数据和文档在权限管控方面的失控,会导致不具备权限的人员获得涉密信息,或者是低权限的人员获得高涉密信息。从而导致重要机密数据的泄密,无法从根本上杜绝。
2.5 存储等硬件设备丢失或维修导致失密或泄密
笔记本电脑、移动硬盘、存储卡之类的移动存储设备,一旦遗失或维修,其存储的数据往往暴露无遗。特别是数据一般都有恢复的特别属性,所以移动设备的使用和监管是非常重要的一个步骤。
3 防护方法
3.1 终端数据防泄露
在终端数据防泄露方面,中国人以独有的技术敏感和产品领悟力,推出的文件透明加密、权限管理、外发控制等软件,以文档透明加密为核心,辅以权限控制,外发管理、日志审计等功能,能从源头上确保数据安全。
3.2 磁盘数据防泄露
磁盘是存储数据的物理设备。针对磁盘进行管控,就可以防止数据泄露。当前,防止磁盘数据泄露,全球最领先的技术是全磁盘加密。国家法律规定,凡涉及到商用密码的软件产品,都必须由具备国家商用密码生产定点单位资格和国家商用密码销售许可单位资格的企业生产和销售。而且,还必须具备国家保密局、军队和公安部的相关销售资质才可以在国内销售。因此,国外FDE软件在中国不能得到广泛应用。
3.3 端口数据泄露防护
通过端口管控,来防止数据泄露。从技术上讲,不论是物理端口,还是网络端口,基本上都能得到保护。但是,从理论上说,只要数据进行了加密,就不再需要外围的端口防护。既已进行了加密,又对端口进行防护,貌似有重复建设之疑。但是企业可以采用多重防护来保护数据,这是可以采用的办法。
3.4 服务器(数据库)数据防泄露
大中型企业的数据安全最重要的地方,应该是保护服务器和数据库。针对文件服务器数据,目前主要还是通过身份认证和权限控制这两种访问控制手段来确保安全。而针对应用服务器数据安全,相应的技术手段是相当孱弱的。
数据库的数据安全保护则更为复杂,有三种主要的手段:(1)基于文件的数据库加密技术;(2)基于记录的数据库加密技术;(3)子密钥数据库加密。但是这三种手段都会给数据库的性能带来极大的影响。针对数据库防泄露,必须采用更为先进的技术手段。
3.5 移动存储设备防泄密
移动存储设备主要指移动硬盘、U盘、PC储存卡、MP3、MP4、数码照相机、数码摄像机、手机、光盘和软盘等。随着移动存储设备的广泛使用,移动存储设备导致泄密的现象越来越普遍。目前针对移动设备泄密的解决办法主要有两方面:一是对计算机及内部网络各种端口进行管控,对接入端口的移动设备进行统一认证,硬件绑定等方式,限制移动存储设备的使用;二是对移动存储设备本身设置口令/密码进行身份识别,并且对移动存储设备内的数据进行加密。通常所谓的介质管理,就是指移动存储设备管理。
4 具体设计
完整的数据安全解决方案应包括从身份认证、授权管理、终端管理、数据加密、传输安全等一系列的内容,需要结合前期数据安全项目咨询、中期数据安全防护产品实现以及后期遵循PDCA思想的循环改进及服务的多种方式进行设计企业数据防泄密解决方案,没有前期的安全咨询和评估作为基础,中期的数据安全产品很难有针对性的部署和实施,数据安全产品没有部署完善,对整个数据安全项目的有效性及后续有针对性的项目改进都会造成非常大的影响。数据安全防护项目需要结合安全评估咨询、数据安全产品实现以及后期的数据安全服务的多种方式进行建设。
企业数据防泄密主要从DLP安全策略和数据安全防护技术两方面来考虑。
DLP安全策略包括基本的安全管理制度和安全管理流程。其中安全管理标准包括:数据资产管理标准,账户安全管理标准,授权管理标准,公司保密制度,安全事件管理标准,应用开发安全标准,备份与恢复管理制度,用户远程接入安全标准等。安全流程包括:新系统上线安全检查流程,数据防泄密授权管理流程,第三方安全管理流程,安全事件监控汇报和处理流程,日志安全维护流程等一系列安全流程。
数据安全防护技术包括:用户身份与信任凭证管理,访问控制,信息流控制,数据完整性保护,安全监控与审计等。用户身份与信任凭证管理包括:企业的集中用户管理,用户权限分配,用户目录管理等。访问控制包括:网络安全域划分,安全策略控制,会话管理,单点登录等。信息流控制包括:数据流加密,数据流内容检测,边界信息流控制,信息传输控制,远程安全接入等。数据完整性保护包括:数据及文件信息加密保护,终端安全管理,恶意代码防护,补丁管理,策略符合性管理,时间同步管理,备份管理和业务持续性管理。数据安全监控和审计包括:数据泄密事件监控,告警,操作审计,数据库审计等。
