獨家解析:數據丟失防護(DLP)究竟是何物?
隨著越來越多關于數據泄露的事件被公開,企業已經意識到關鍵數據保護對企業的重要意義。特別是在一些研究機構和軍事保密機關,對出入人員的管控措施十分嚴格,不僅不能攜帶具有拍攝功能的工具,也不許隨意攜帶USB移動存儲設備。
一些用戶抱怨,之所以會有這些安全防護措施,主要是因為重大數據泄露事件不斷發生,公司只好使出各種方式保護研發、合同、財務等機密文件。
此時此刻,數據安全到底如何防護?隨著數據泄露引發的危機逐步擴大,企業對數據丟失防護(DLP)產品的需求逐漸加大。事實上,無論是硬件防護,還是文檔保護(File Protection)、I/O保護(I/O Protection)、局域網保護(LAN Protection)都屬于DLP的范疇。這也正好迎合了DLP產品的三種分類:
第一,文檔保護(File Protection):通過對文檔本身進行安全管控避免資料外泄,例如文檔加密等。
第二,I/O保護(I/O Protection):控制輸入/輸出設備的使用情況,以防止機密文件通過USB等移動存儲設備泄露。
第三,局域網保護(Lan Protection):對局域網內運行的各種業務進行管控,通過限制、檢測、記錄網絡內運行的Email、MSN、QQ、http、ftp等業務,防范機密文件透過互聯網泄露。
這三種數據安全防護方式到底有何不同? 下面細細道來。
文檔保護(File Protection)發展趨勢
當前,文檔保護主要有兩種模式,一種是僅能用來保護文件使用者泄露機密文件的“數字版權管理(Digital Rights Management,DRM)”,另外一種是可以同時防護文件作者與文件使用者的“即時讀寫加解密”。
1、數字版權管理
無論是前幾年較常被市場討論的數字版權管理(DRM)或企業級數字版權管理(Enterprise Digital Rights Management,E-DRM),皆起源于微軟在2004年的大規模炒作。
微軟為炒做該市場,除針對終端應用軟件與服務器系統推出相對應的產品,如Office IRM(Information Rights Management)與Windows RMS(Rights Management Services)等,鑒于協同工作日趨普及,微軟也在其企業產品上,整合上述的DRM功能。
DRM可以防止由于企業員工不慎將受到DRM保護的機密文件轉給他人時泄露數據。在打開DRM文件時,必須接入到授權服務器取得授權,才可以打開文件,因此企業無須擔心機密文件會因有心人士的不法手段而外泄。
不過,自微軟推出RMS以來,僅有微軟的Office系統架構在RMS上,其他應用軟件廠商并未支持RMS驗證機制。
企業如欲將其他應用軟件的文件整合至DRM機制中,企業IT管理人員必須通過外掛程序將每一個應用軟體(每一個版本)及欲限制的功能整合至DRM中,其工作量十分龐大。事實上,即使做得出來,也可能出現未控制到的安全隱患。
因此,可以簡單的認為DRM僅適用于以Microsoft Office與Arobat PDF方式的文檔。
另外值得一提的是,DRM技術防范的對象是文檔的使用者,而非作者。因此,需要一套可以防止作者故意泄露機密數據的防護工具,在這種狀況下,出現所謂的即時讀寫加解密產品。
2、即時讀寫加解密產品
由于DRM不適合保護Microsoft Office與Arobat PDF以外的文檔,也無法防范文件作者盜取機密資料,因此可在機密文件儲存時,自動進行加密、打開時自動解密的“即時讀寫加解密”技術得到推崇。
“即時讀寫加解密”的技術實現門檻很高,必須在驅動層(driver layer)設計內核模式驅動程序,直接運行于Windows等操作系統的內核(kernel)中,接管文件系統。
即時讀寫加解密技術之所以實現上如此復雜,是為了要確保該機制不會造成用戶電腦不穩定,甚至破壞文檔等情況發生。
通過即時讀寫加解密產品,企業不需限制儲存設備、輸入/輸出設備、網絡、電子郵件以及QQ/MSN等的使用功能,因為文檔在儲存時,即處于加密狀態,即便該文件被泄露出去也無法打開。
另外,有的即時讀寫加解密產品,會限制保護文件格式的數量。企業IT管理人員可以根據企業實際需求,來選擇保護不同類型的文件格式。
I/O保護(I/O Protection)發展趨勢
當企業未實施文件加解密保護機制時,可以通過設置I/O設備的方式,防止內部機密文件泄露。由中央控管所有終端計算機的儲存及USB移動存儲設備、打印機等輸入/輸出設備,限制這些設備的讀寫權限;此外,有些產品在用戶終端計算機使用者將資料復制到USB移動存儲設備或刻錄到光盤時,系統會自動進行文件加密等保護措施。
使用上述的I/O保護產品時,必須特別注意該產品是否可以防護到每一種儲存設備、輸入/輸出設備,假若有遺漏,即可能成為企業的安全隱憂。
然而,如今企業提倡人性化管理,通過限制I/O設備讀寫的方式來防止數據泄露,顯得過于嚴厲。因此,筆者認為所謂的I/O保護產品,只是DLP技術未成熟時的過渡產物,當DLP技術日趨成熟,I/O保護產品必將遭市場淘汰。
局域網保護(Lan Protection)發展趨勢
局域網保護類產品與I/O保護產品的概念相似,是通過監測、記錄或限制局域網中未加密文檔的方式,來實現數據丟失防護。
其中常見的產品一種是針對網絡或郵件服務器進行檢測;另外一種通過事先分析機密文件的特征,決定機密文件是否可以通過網絡、儲存設備與輸入/輸出設備傳送。
顯而易見,局域網保護類產品僅適用于事后審計,難以做到即時防止機密文件泄密,假若僅是為審計企業關鍵數據的傳播狀況,筆者看不出其與IDS產品有何異同。
至此,相信讀者已經對如今DLP產品有了大致的了解。隨著企業關鍵數據保護需求的日益增加,以及公安部82號令、薩班斯法案等相關法律法規的不斷出臺與完善,數據安全的時代已經到來。IT專家網提醒您,在選購DLP產品時要充分了解相關DLP產品的防護機制,考慮企業的實際需求,這樣才有助于您打造適合于企業自身的數據丟失保護解決安全。
【編輯推薦】
