數據防泄密(DLP)產品類型淺析
數據防泄密(DLP)近幾年已經成為國內非常熱門的關鍵詞。首先源于頻發的數據泄密事件,其次企業信息化建設后,對電子信息知識產權的保護意識不斷增強。經過多年安全行業的發展和用戶的檢驗,目前市場上DLP產品主要可以分為三大類,各類產品都來源于不同的技術體系,防護效果也各有優缺點。
***類,以監控審計為主,對進出的數據進行過濾,并設置一定的響應措施,包括阻斷、警告、審計等;第二類,以文檔加密為主,對企業認為有價值的文檔進行加密,并授予一定的認證體系及權限控制;第三類,以邊界防護為主,在企業認為存在風險的邊界點設置防護措施,經過邊界的數據采用策略對應的手段或是加密或是授權,以達到信息在安全區域內外都受控的目的。
***類產品技術起源于優秀的檢索技術,通常也是基于國外專家定義的DLP產品“能夠通過深度內容分析對動態數據、靜態數據和使用中的數據進行鑒定、檢測和保護的產品”。產品支持建立關鍵字庫,在通過代理、web監控、Mail監控等在各個環節掃描、過濾關鍵字,用以達到加強防范、及時發現、合理處理的目的。產品代表以國際信息安全廠商居多,包括趨勢、賽門鐵克、邁克菲等。這類產品的特點是部署簡單、界面漂亮,但國內用戶的數據保護需求卻并不僅僅止步于監控與審計,還希望對數據有更深層次的保護和授權使用,例如控制必須外發或者已經外發的數據。企業的敏感信息在很多應用場景下是需要交換的,特別針對設計院所或者研究機構,含有敏感信息的圖紙就是產品,產品必須外發并在特定范圍內使用才可以產生收益。這時候的監控類產品往往起到審計的作用。
第二類產品主要關注文檔級別的加密技術。通過可以對主機終端、服務器、存儲介質等不同區域內特定格式文檔進行加密并授予使用權限,甚至可以實現自動發現自動加密的功能,并且支持文檔的透明加解密,使用者可以直接打開、編輯、保存文檔。這類產品的特點是可以對文檔進行細粒度的管理,但是其技術特點過分依賴文件的格式或者使用文件的程序軟件,兼容性上往往需要投入大量的工作,具體使用過程中只能選擇特定的文件格式。同時由于加密文件在內部的頻繁使用,加密解密過程需要占用計算機資源過多。
第三類產品通過精準定位敏感數據的使用邊界,通過在邊界賦予控制手段實現數據防泄密。對安全需求旺盛的企業一般可以分為幾種類型,一種是敏感信息密集型,例如制造、設計及研發性企業。敏感信息往往在主機終端產生、存儲、使用。可以說主機的邊界就是信息防護的邊界,那么通過主機的泄密途徑風險分析,網絡、存儲介質、外設、打印和硬盤所存的風險點,輔以控制、加密和審計的手段,即可實現嚴密的防泄密。另一種是敏感信息分散型,通常是信息程度高,敏感信息來源單一的企業,例如運行商、大型央企。已經在企業內部建立大型的業務系統,業務系統分布廣闊、使用人員眾多。這時候需要以業務系統為防護邊界,加強訪問控制、實現業務系統信息落地加密并賦予使用權限即可達到有效的防泄密,并且大大減少管理成本。這類型的產品特點是防范手段豐富、有效,但對安全建設前期調研、明確防范邊界投入較多。
【編輯推薦】
