究竟什么是數(shù)據(jù)丟失防護(DLP)
隨著越來越多關(guān)于數(shù)據(jù)泄露的事件被公開,企業(yè)已經(jīng)意識到關(guān)鍵數(shù)據(jù)保護對企業(yè)的重要意義。特別是在一些研究機構(gòu)和軍事保密機關(guān),對出入人員的管控措施十分嚴格,不僅不能攜帶具有拍攝功能的工具,也不許隨意攜帶USB移動存儲設(shè)備。
一些用戶抱怨,之所以會有這些安全防護措施,主要是因為重大數(shù)據(jù)泄露事件不斷發(fā)生,公司只好使出各種方式保護研發(fā)、合同、財務(wù)等機密文件。
此時此刻,數(shù)據(jù)安全到底如何防護?隨著數(shù)據(jù)泄露引發(fā)的危機逐步擴大,企業(yè)對數(shù)據(jù)丟失防護(DLP)產(chǎn)品的需求逐漸加大。事實上,無論是硬件防護,還是文檔保護(File Protection)、I/O保護(I/O Protection)、局域網(wǎng)保護(LAN Protection)都屬于DLP的范疇。這也正好迎合了DLP產(chǎn)品的三種分類:
***,文檔保護(File Protection):通過對文檔本身進行安全管控避免資料外泄,例如文檔加密等。
第二,I/O保護(I/O Protection):控制輸入/輸出設(shè)備的使用情況,以防止機密文件通過USB等移動存儲設(shè)備泄露。
第三,局域網(wǎng)保護(Lan Protection):對局域網(wǎng)內(nèi)運行的各種業(yè)務(wù)進行管控,通過限制、檢測、記錄網(wǎng)絡(luò)內(nèi)運行的Email、MSN、QQ、http、ftp等業(yè)務(wù),防范機密文件透過互聯(lián)網(wǎng)泄露。
這三種數(shù)據(jù)安全防護方式到底有何不同? 下面細細道來。
文檔保護(File Protection)發(fā)展趨勢
當(dāng)前,文檔保護主要有兩種模式,一種是僅能用來保護文件使用者泄露機密文件的“數(shù)字版權(quán)管理(Digital Rights Management,DRM)”,另外一種是可以同時防護文件作者與文件使用者的“即時讀寫加解密”。
1、數(shù)字版權(quán)管理
無論是前幾年較常被市場討論的數(shù)字版權(quán)管理(DRM)或企業(yè)級數(shù)字版權(quán)管理(Enterprise Digital Rights Management,E-DRM),皆起源于微軟在2004年的大規(guī)模炒作。
微軟為炒做該市場,除針對終端應(yīng)用軟件與服務(wù)器系統(tǒng)推出相對應(yīng)的產(chǎn)品,如Office IRM(Information Rights Management)與Windows RMS(Rights Management Services)等,鑒于協(xié)同工作日趨普及,微軟也在其企業(yè)產(chǎn)品上,整合上述的DRM功能。
DRM可以防止由于企業(yè)員工不慎將受到DRM保護的機密文件轉(zhuǎn)給他人時泄露數(shù)據(jù)。在打開DRM文件時,必須接入到授權(quán)服務(wù)器取得授權(quán),才可以打開文件,因此企業(yè)無須擔(dān)心機密文件會因有心人士的不法手段而外泄。
不過,自微軟推出RMS以來,僅有微軟的Office系統(tǒng)架構(gòu)在RMS上,其他應(yīng)用軟件廠商并未支持RMS驗證機制。
企業(yè)如欲將其他應(yīng)用軟件的文件整合至DRM機制中,企業(yè)IT管理人員必須通過外掛程序?qū)⒚恳粋€應(yīng)用軟體(每一個版本)及欲限制的功能整合至DRM中,其工作量十分龐大。事實上,即使做得出來,也可能出現(xiàn)未控制到的安全隱患。
因此,可以簡單的認為DRM僅適用于以Microsoft Office與Arobat PDF方式的文檔。
另外值得一提的是,DRM技術(shù)防范的對象是文檔的使用者,而非作者。因此,需要一套可以防止作者故意泄露機密數(shù)據(jù)的防護工具,在這種狀況下,出現(xiàn)所謂的即時讀寫加解密產(chǎn)品。
2、即時讀寫加解密產(chǎn)品
由于DRM不適合保護Microsoft Office與Arobat PDF以外的文檔,也無法防范文件作者盜取機密資料,因此可在機密文件儲存時,自動進行加密、打開時自動解密的“即時讀寫加解密”技術(shù)得到推崇。
“即時讀寫加解密”的技術(shù)實現(xiàn)門檻很高,必須在驅(qū)動層(driver layer)設(shè)計內(nèi)核模式驅(qū)動程序,直接運行于Windows等操作系統(tǒng)的內(nèi)核(kernel)中,接管文件系統(tǒng)。
即時讀寫加解密技術(shù)之所以實現(xiàn)上如此復(fù)雜,是為了要確保該機制不會造成用戶電腦不穩(wěn)定,甚至破壞文檔等情況發(fā)生。
通過即時讀寫加解密產(chǎn)品,企業(yè)不需限制儲存設(shè)備、輸入/輸出設(shè)備、網(wǎng)絡(luò)、電子郵件以及QQ/MSN等的使用功能,因為文檔在儲存時,即處于加密狀態(tài),即便該文件被泄露出去也無法打開。
另外,有的即時讀寫加解密產(chǎn)品,會限制保護文件格式的數(shù)量。企業(yè)IT管理人員可以根據(jù)企業(yè)實際需求,來選擇保護不同類型的文件格式。
I/O保護(I/O Protection)發(fā)展趨勢
當(dāng)企業(yè)未實施文件加解密保護機制時,可以通過設(shè)置I/O設(shè)備的方式,防止內(nèi)部機密文件泄露。由中央控管所有終端計算機的儲存及USB移動存儲設(shè)備、打印機等輸入/輸出設(shè)備,限制這些設(shè)備的讀寫權(quán)限;此外,有些產(chǎn)品在用戶終端計算機使用者將資料復(fù)制到USB移動存儲設(shè)備或刻錄到光盤時,系統(tǒng)會自動進行文件加密等保護措施。
使用上述的I/O保護產(chǎn)品時,必須特別注意該產(chǎn)品是否可以防護到每一種儲存設(shè)備、輸入/輸出設(shè)備,假若有遺漏,即可能成為企業(yè)的安全隱憂。
然而,如今企業(yè)提倡人性化管理,通過限制I/O設(shè)備讀寫的方式來防止數(shù)據(jù)泄露,顯得過于嚴厲。因此,筆者認為所謂的I/O保護產(chǎn)品,只是DLP技術(shù)未成熟時的過渡產(chǎn)物,當(dāng)DLP技術(shù)日趨成熟,I/O保護產(chǎn)品必將遭市場淘汰。
局域網(wǎng)保護(Lan Protection)發(fā)展趨勢
局域網(wǎng)保護類產(chǎn)品與I/O保護產(chǎn)品的概念相似,是通過監(jiān)測、記錄或限制局域網(wǎng)中未加密文檔的方式,來實現(xiàn)數(shù)據(jù)丟失防護。
其中常見的產(chǎn)品一種是針對網(wǎng)絡(luò)或郵件服務(wù)器進行檢測;另外一種通過事先分析機密文件的特征,決定機密文件是否可以通過網(wǎng)絡(luò)、儲存設(shè)備與輸入/輸出設(shè)備傳送。
顯而易見,局域網(wǎng)保護類產(chǎn)品僅適用于事后審計,難以做到即時防止機密文件泄密,假若僅是為審計企業(yè)關(guān)鍵數(shù)據(jù)的傳播狀況,筆者看不出其與IDS產(chǎn)品有何異同。
至此,相信讀者已經(jīng)對如今DLP產(chǎn)品有了大致的了解。隨著企業(yè)關(guān)鍵數(shù)據(jù)保護需求的日益增加,以及公安部82號令、薩班斯法案等相關(guān)法律法規(guī)的不斷出臺與完善,數(shù)據(jù)安全的時代已經(jīng)到來。51CTO.com提醒您,在選購DLP產(chǎn)品時要充分了解相關(guān)DLP產(chǎn)品的防護機制,考慮企業(yè)的實際需求,這樣才有助于您打造適合于企業(yè)自身的數(shù)據(jù)丟失保護解決安全。
【編輯推薦】
