應(yīng)用數(shù)據(jù)泄漏(DLP)解決方案實(shí)現(xiàn)企業(yè)數(shù)據(jù)保護(hù)策略
DLP產(chǎn)品目前在中國市場(chǎng)很火,在《中國IT市場(chǎng)分析與預(yù)測(cè)2007-2011》中,IDC通過對(duì)用戶投資重點(diǎn)進(jìn)行調(diào)研發(fā)現(xiàn):29.8%的用戶會(huì)考慮投資數(shù)據(jù)失泄密管理,DLP在投資重點(diǎn)中居第二位。這意味著越來越多的企業(yè)在數(shù)據(jù)泄露防護(hù)方面愿意投入更多的資金,也就是說未來幾年內(nèi)企業(yè)對(duì)DLP產(chǎn)品的需求會(huì)越來越高。
常見的防泄密選擇是DLP(數(shù)據(jù)泄漏保護(hù))、DRM(數(shù)字權(quán)限保護(hù))、Encryption(加密)和Management(管理)。這些產(chǎn)品是如何實(shí)現(xiàn)數(shù)據(jù)保護(hù)的?
數(shù)據(jù)泄漏保護(hù)(DLP)
◆全面評(píng)估信息風(fēng)險(xiǎn),包括網(wǎng)絡(luò)、端點(diǎn)和存儲(chǔ)
◆全面檢測(cè)數(shù)據(jù)庫、文件、郵件、文字等泄密通道,及時(shí)報(bào)警或阻止
◆統(tǒng)一制定防泄漏策略
◆遵從SOX等法案法規(guī)
◆實(shí)施和部署簡(jiǎn)單,無需更改流程,無需人工參與,可在企業(yè)范圍應(yīng)用
◆能夠有效的與DRM/加密工具集成使用,使得后者更有效
最近幾年國家頒布了個(gè)人信息保護(hù)法,以及相關(guān)信息安全保護(hù)制度,DLP在數(shù)據(jù)遵從方面的作用也越來越大。而且DLP產(chǎn)品在使用過程中還能與第三方的DRM或加密系統(tǒng)進(jìn)行集成,從而使企業(yè)的保密效果更好。
數(shù)字權(quán)限保護(hù)(DRM)
◆DRM可以決定數(shù)據(jù)的訪問和使用方式,功能強(qiáng)大
◆僅限于特定的文檔類型
◆需要與企業(yè)應(yīng)用緊密集成,大量依靠人工參與
◆部署實(shí)施十分復(fù)雜并難以持續(xù)運(yùn)維
◆僅適用于研發(fā)等少數(shù)小組
加密(Encryption)
◆能夠阻止沒有權(quán)限的人非法獲取信息,即使丟失也沒關(guān)系
◆依賴手工進(jìn)行
但加密存在的弊端是:密鑰的管理很復(fù)雜;不能解決無意識(shí)泄密和主動(dòng)泄密;僅適用于筆記本或者少量文件服務(wù)器。
管理(Management)
技術(shù)不能解決所有的問題,還需要管理制度來實(shí)現(xiàn),對(duì)企業(yè)來說管理制度必不可少,通過管理制度,才能實(shí)現(xiàn)DLP、DRM、Encryption產(chǎn)品的功能。通過管理來協(xié)調(diào)產(chǎn)品,使其達(dá)到很好的效率。使員工意識(shí)到自己在數(shù)據(jù)保護(hù)方面應(yīng)負(fù)的責(zé)任。
下圖是數(shù)據(jù)保護(hù)建議流程:
從圖中可以看出,數(shù)據(jù)保護(hù)的基本流程是:DLP—DRM—加密。DLP是識(shí)別整個(gè)企業(yè)風(fēng)險(xiǎn),從網(wǎng)絡(luò)到端點(diǎn)到存儲(chǔ),對(duì)企業(yè)進(jìn)行全面的分析和評(píng)估。DRM是對(duì)企業(yè)內(nèi)部一些部門級(jí)別的文檔進(jìn)行保護(hù)。比如Office文檔。加密主要針對(duì)個(gè)別部門的機(jī)密文檔和具有特殊需求的文件進(jìn)行加密。一般我們會(huì)用DLP進(jìn)行整體的分析,然后進(jìn)行全面的數(shù)據(jù)使用監(jiān)控,大范圍的進(jìn)行控制。再使用DRM和加密對(duì)特別文檔進(jìn)行保護(hù),從而實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)的保護(hù)。
我們?cè)趯?shí)現(xiàn)DLP產(chǎn)品時(shí),首先要熟悉公司內(nèi)部的數(shù)據(jù)。首先要弄清楚以下問題:機(jī)密數(shù)據(jù)存放在哪個(gè)服務(wù)器或數(shù)據(jù)庫上?知道數(shù)據(jù)存放位置之后,才能對(duì)數(shù)據(jù)進(jìn)行有效的保護(hù)。其次還要考慮機(jī)密數(shù)據(jù)是怎樣被使用的?在現(xiàn)實(shí)中有很多方式都可能導(dǎo)致數(shù)據(jù)泄露,比如說通過U盤拷貝、打印等方式,我們需要對(duì)這些方式進(jìn)行一些初步的分析。通過分析,確定哪些方式風(fēng)險(xiǎn)最高,從而使我們能更有效的識(shí)別風(fēng)險(xiǎn)。如何防止數(shù)據(jù)丟失,是通過全方位的數(shù)據(jù)保護(hù),還是通過特定的方式,比如郵件或郵件服務(wù)器來實(shí)現(xiàn)?考慮到這三點(diǎn)之后,我們?cè)谶M(jìn)行數(shù)據(jù)防護(hù)的時(shí)候才能比較合理的部署產(chǎn)品,使其效率達(dá)到最高。
賽門鐵克針對(duì)數(shù)據(jù)泄漏(DLP)推出了解決方案:Symantec Vontu DLP,下圖是Symantec Vontu DLP 的架構(gòu)圖:
從這個(gè)架構(gòu)我們可以看到,在圖中間有個(gè)Vontu Enforce 平臺(tái),這個(gè)平臺(tái)是由Vontu界面和數(shù)據(jù)庫來實(shí)現(xiàn)的,通過登陸Enforce界面,來實(shí)現(xiàn)從中央到周圍所有模塊化的服務(wù)器的管理,同時(shí)所有的信息都會(huì)存放在Enforce數(shù)據(jù)庫中。圖中右上角是一個(gè)叫Network monitor的服務(wù)器,主要是對(duì)從企業(yè)網(wǎng)關(guān)出去的流量進(jìn)行分析,識(shí)別所有從網(wǎng)管出去的內(nèi)容(如發(fā)出去的郵件、ftp等)是否含敏感信息。實(shí)現(xiàn)Network monitor很簡(jiǎn)單,只需要在網(wǎng)關(guān)的出口處,將網(wǎng)關(guān)流量鏡像到安裝Network monitor的服務(wù)器上就可以了,如果Network monitor出現(xiàn)問題,也不會(huì)對(duì)企業(yè)網(wǎng)絡(luò)有影響。在右下角有一個(gè)Vontu Network Prevent的服務(wù)器,Network Prevent可以實(shí)時(shí)對(duì)企業(yè)發(fā)出的郵件、http流量進(jìn)行監(jiān)控,并且它還可以實(shí)時(shí)阻止以及對(duì)相關(guān)內(nèi)容進(jìn)行修改后再進(jìn)行發(fā)送。也就是說Network Prevent不僅具有Network monitor的所有功能,也能實(shí)時(shí)對(duì)檢測(cè)到的違規(guī)數(shù)據(jù)進(jìn)行屏蔽。左下角是一個(gè)Vontu Endpoint Discover和Vontu Enforce Prevent,它們?cè)谝慌_(tái)服務(wù)器上面,稱為Vontu Endpoint模塊,通過Vontu Endpoint模塊來實(shí)現(xiàn)對(duì)客戶端的一些安全策略。在客戶端安裝Vontu agent,通過 Vontu agent與Vontu Endpoint Server 聯(lián)動(dòng),下載一些相關(guān)策略,從而實(shí)現(xiàn)客戶端的本地操作,如文檔打印、USB傳輸、本地磁盤的讀寫、離線郵件發(fā)送。在客戶端上我們可以通過Vontu agent來實(shí)現(xiàn)在線和離線的數(shù)據(jù)防護(hù)。左上角是Vontu Network Discover 和Vontu Network Prevent模塊,該模塊主要針對(duì)企業(yè)內(nèi)部存儲(chǔ)數(shù)據(jù),很多時(shí)候我們需要用這個(gè)模塊對(duì)企業(yè)內(nèi)部的文檔服務(wù)器、數(shù)據(jù)庫服務(wù)器以及應(yīng)用服務(wù)器進(jìn)行過濾掃描,來了解企業(yè)內(nèi)部所有機(jī)密文件的存放位置,這樣才能對(duì)這些數(shù)據(jù)進(jìn)行更好的保護(hù)。這樣從客戶端訪問的數(shù)據(jù)就是經(jīng)過保護(hù)的數(shù)據(jù),從而能防止用戶獲得其不該訪問的數(shù)據(jù),造成泄密。賽門鐵克的DLP中包含三大模塊:網(wǎng)關(guān)(Network monitor和Network Prevent)、終端(Endpoint Discover和Enforce Prevent),以及存儲(chǔ)(Network Disc。
在DLP產(chǎn)品中,最關(guān)鍵的是數(shù)據(jù)防泄密策略,下圖詳細(xì)介紹了DLP策略:
賽門鐵克DLP產(chǎn)品中有三大獨(dú)特的檢測(cè)技術(shù):描述內(nèi)容匹配(DCM)、精確數(shù)據(jù)匹配(EDM)和 索引文件匹配(IDM )。描述內(nèi)容匹配主要是對(duì)關(guān)鍵字、非索引數(shù)據(jù)、詞典和數(shù)據(jù)標(biāo)識(shí)、文件大小和類型的匹配。它是比較普遍的檢測(cè)方式。索引文件匹配主要是掃描文件服務(wù)器,如果終端用戶發(fā)送機(jī)密郵件,或者用U盤拷貝,它會(huì)對(duì)指紋進(jìn)行匹配。如果用戶對(duì)機(jī)密文件進(jìn)行了修改,在最后的文檔中也會(huì)有相似的匹配。精確數(shù)據(jù)匹配可通過關(guān)鍵字和文件的方式來識(shí)別敏感的機(jī)密信息。像銀行、證券他們的機(jī)密信息是客戶信息,這些信息一般放在數(shù)據(jù)庫中。那么如何實(shí)現(xiàn)對(duì)數(shù)據(jù)庫信息的保護(hù)?精確數(shù)據(jù)匹配通過實(shí)現(xiàn)對(duì)需要保護(hù)的數(shù)據(jù)庫的表內(nèi)掃描,對(duì)每個(gè)單元格內(nèi)容進(jìn)行指紋匹配。當(dāng)終端用戶向外發(fā)送機(jī)密信息郵件或用U盤拷貝時(shí),就可以檢索到。賽門鐵克DLP產(chǎn)品通過這三大獨(dú)特的檢測(cè)技術(shù)實(shí)現(xiàn)了對(duì)整個(gè)數(shù)據(jù)的防護(hù)。
Symantec DLP產(chǎn)品Vontu可以對(duì)整個(gè)數(shù)據(jù)丟失威脅進(jìn)行全面覆蓋,包括終端(如U盤、打印機(jī)、本地硬盤)、網(wǎng)絡(luò)(電子郵件、HTTP、FTP)和存儲(chǔ)(Web服務(wù)器、數(shù)據(jù)庫)。它還通過單一的DLP策略進(jìn)行全面覆蓋,在中央進(jìn)行策略設(shè)定,同時(shí)分發(fā)給終端、網(wǎng)絡(luò)和存儲(chǔ),實(shí)現(xiàn)統(tǒng)一的管理。
Symantec DLP產(chǎn)品事件響應(yīng)流程分為兩種結(jié)構(gòu):
fan-out響應(yīng)架構(gòu),即在事件發(fā)生后,通過某幾個(gè)人先對(duì)這些事件進(jìn)行初步的查看,然后將這些事件轉(zhuǎn)到其相關(guān)的部門進(jìn)行查看。fan-in響應(yīng)架構(gòu)則是在事件生成后,將事件先路由到相關(guān)的事件責(zé)任部門進(jìn)行具體的查看,在相關(guān)部門進(jìn)行審計(jì)后,再將事件的信息匯總到事件響應(yīng)團(tuán)隊(duì)來進(jìn)行最終審核。企業(yè)可以根據(jù)自己的需求來實(shí)施。
DLP產(chǎn)品Vontu如何將剩余風(fēng)險(xiǎn)壓縮到最小?
下圖對(duì)此有詳細(xì)介紹,圖中假設(shè)DLP項(xiàng)目為一年,共分為四個(gè)階段,第二階段是對(duì)企業(yè)行為的調(diào)整、第三階段是對(duì)員工行為的調(diào)整:
從圖中可以看到,Vontu并不能把風(fēng)險(xiǎn)壓縮到零,也就是說DLP產(chǎn)品不可能將企業(yè)的數(shù)據(jù)泄漏風(fēng)險(xiǎn)降為零,因?yàn)樵诠緝?nèi)部還需要結(jié)合第三方產(chǎn)品來實(shí)現(xiàn),比如終端安全、標(biāo)準(zhǔn)化等方式。
Symantec DLP 成功模型,請(qǐng)見下圖。
【編輯推薦】
