随着技术的发展,企业的业务流程及信息处理越来越依赖于IT设施,企业的信息也从最开始的以纸介质为保存媒体,逐渐转变为纸介质和电子介质保存的局面。许多企业出于快速处理信息的考虑,甚至将所有的信息进行电子化,所有的业务流程也依赖于IT设施。因此,IT设施的正常运作及电子信息的良好保护,便成为企业业务顺利进行和发展的关键因素之一。
信息资产的定义及其面临的威胁风险
信息在企业业务中扮演着如此重要的角色,因此我们可以认为信息也是一种资产,并称之为信息资产。信息资产尽管是无形的,但由于它包含了大量的业务数据、客户信息、商业秘密等对企业的业务乃至存亡密切相关的内容,所以信息资产也面临大量的威胁和风险,包括有意或无意的销毁、黑客攻击、恶意软件造成的数据丢失、内部人员的泄漏等。这些威胁和风险中,最有可能发生并造成严重后果的便是保密信息有意或意外的泄漏,一旦发生数据泄漏事件,企业不单要承担保密数据本身价值的损失,严重的时候还会影响企业的声誉和公众形象,并有可能面临法律上的麻烦。2007年在美国TJX零售公司发生的4500多万客户的信息卡及保密资料丢失,进而导致其客户和银行业对其提起诉讼,最终TJX公司需要向客户赔付1.01亿美元,并承受严重的企业声誉损失。
图: 保密数据泄漏的三种形式:意外泄漏、故意泄漏、恶意泄漏
数据泄漏防御的定义
为了保护企业的保密信息不被有意或意外泄漏,一种称为“数据泄漏防御”(Data leakage prevention, DLP),有时也称为“信息泄漏防御”(Information leakage prevention, ILP)的技术便应运而生。数据泄漏防御技术是通过一定的技术或管理手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。
数据泄漏防御方案的分类
根据所部署的位置的不同,数据泄漏防御方案可以分成基于网络的数据泄漏防御方案(NDLP)和基于主机的数据泄漏防御方案(HDLP),这和入侵检测系统的分类是很相似的。目前市面上的大部分数据泄漏防御方案都是基于网络类型,有少部分是基于主机类型。基于网络的数据泄漏防御方案通常部署在保存有保密数据的企业内部网络和外部网络连接的出口处,所针对的对象是进出企业内部网络的所有数据,如果发现有违反企业安全策略的数据流入流出,NDLP便会将违规数据予以拦截或采取警报等其他行为。而基于主机的数据泄漏防御方案则部署在存放敏感数据的主机上,当其发现被保护主机上的数据被违规转移出主机时,HDLP会采取拦截或警报等行为。
为了更形象的说明数据泄漏防御的工作原理,笔者给大家准备了如下的示意图:
在上图我们可以了解到,企业的敏感数据通常存放在文件服务器上(Company sensitive data),用户通过自己的终端(LAN Desktop)进行访问。LAN Desktop周边的打印机、可移动存储设备、摄像头、调制解调器和无线网络便是潜在的本地数据泄漏源,企业可以通过在用户的终端上部署基于主机的数据泄漏防御方案来进行控制。LAN Desktop和Internet进行的通讯,尤其是最常见的E-mail、FTP、HTTP和即时通讯是最常见的网络数据泄漏源,在这种场合企业就需要在内部网络和Internet连接的出口处部署基于网络的数据泄漏防御方案进行控制。
数据泄漏防御的基本原理如何
市面上的数据泄漏防御方案很多,各厂商的实现也大不相同,企业在选择数据泄漏防御方案时往往有眼花缭乱,无从下手的感觉。其实数据泄漏防御方案的基本原理并不复杂,可以简单的分成以下三类:
l
关键词内容过滤,数据泄漏防御方案根据网络或主机上所保存和流动的数据内的特定关键词进行过滤,来确定是否存在不符合企业安全策略的数据流动,比如根据“保密”这个关键词进行过滤。
l
扩展名过滤,数据泄漏方案根据网络或主机上所保存和流动的数据文件的扩展名进行过滤,判断是否存在不符合企业安全策略的数据流动,比如根据 以DOC为扩展名的文件不能流出企业内部网络这样的规则进行过滤。
l
信息等级过滤,数据泄漏方案根据网络或主机上所保存和流动的数据所属的保密级别,判断是否存在不符合企业安全策略的数据流动,比如 标记为“秘密“等级的数据不能流出企业内部网络。这种数据泄漏防御的实现方法需要部署的企业先对自己的所有信息资产进行分类和标记,是最有效同时也是最费力的数据泄漏防御方案。
数据泄漏防御的优点和局限性
企业如果部署数据泄漏防御方案,将可以在现有的安全方案上,再为信息资产添加一层安全保障,即使在防火墙、反病毒等方案失效的情况下,仍能最大程度的保护企业内的保密数据不会因为有意或无意的原因泄漏到外界,同时由于数据泄漏防御是防止数据流出外界,它也对在目前愈演愈烈的内部人违反安全策略导致的安全事件的数据泄漏有相当好的效果。
但企业也应该清醒的认识到,数据泄漏防御不是万能的。我们知道,信息安全的目标,指的就是要保护信息资产的保密性、完整性和可用性,数据泄漏防御方案所提供的保护针对的是信息资产的保密性,它并不能提供信息资产的完整性及可用性保护。另外,从技术层面上讲基于网络的数据泄漏防御和基于主机的数据泄漏防御这两种方案之间基本不存在重叠关系,其中任意一种方案都基本不能抵御另外一种所要解决的数据泄漏问题。
企业应该如何选择数据泄漏防御方案
如果企业决定要部署数据泄漏防御方案来保护自己的信息资产不受泄漏的威胁,面对市场上纷繁复杂的数据泄漏防御产品,企业应该如何进行选择?
企业应该首先根据自己的安全策略,定义自己的信息资产有哪些,什么是“数据泄漏“等,只有清晰的明白自己的安全需求,才能正确的进行方案和产品的选择,这个原则在选择所有IT方案时都是适用的。
接下来企业需要了解自己的IT架构和信息资产的实际情况,然后再选择数据泄漏防御方案的类型,比如很多保密企业的内部网络都是与Internet隔离的,因此选择基于网络的数据泄漏防御方案是完全没有必要的,应该选择基于主机的数据防御方案。
在选择好数据防御方案的类型后,企业就可以根据自己的安全需求,了解各厂商的数据泄漏防御方案的优缺点,并优先考虑其操作的准确性、功能的可用性、管理的方便性和成本的经济性,最后才选择并部署最适合自己的数据泄漏防御方案。总之,企业只有根据自己的实际情况来选择产品,由管理到技术,在充分认识数据泄漏防御方案优缺点的基础上进行选择,才能选出最适合自己的数据泄漏防御方案,并真正达到保护企业信息资产的目的。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/60085,如需转载请自行联系原作者
