應(yīng)用數(shù)據(jù)泄漏(DLP)解決方案實現(xiàn)企業(yè)數(shù)據(jù)保護策略
DLP產(chǎn)品目前在中國市場很火,在《中國IT市場分析與預(yù)測2007-2011》中,IDC通過對用戶投資重點進行調(diào)研發(fā)現(xiàn):29.8%的用戶會考慮投資數(shù)據(jù)失泄密管理,DLP在投資重點中居第二位。這意味著越來越多的企業(yè)在數(shù)據(jù)泄露防護方面愿意投入更多的資金,也就是說未來幾年內(nèi)企業(yè)對DLP產(chǎn)品的需求會越來越高。
常見的防泄密選擇是DLP(數(shù)據(jù)泄漏保護)、DRM(數(shù)字權(quán)限保護)、Encryption(加密)和Management(管理)。這些產(chǎn)品是如何實現(xiàn)數(shù)據(jù)保護的?
數(shù)據(jù)泄漏保護(DLP)
◆全面評估信息風險,包括網(wǎng)絡(luò)、端點和存儲
◆全面檢測數(shù)據(jù)庫、文件、郵件、文字等泄密通道,及時報警或阻止
◆統(tǒng)一制定防泄漏策略
◆遵從SOX等法案法規(guī)
◆實施和部署簡單,無需更改流程,無需人工參與,可在企業(yè)范圍應(yīng)用
◆能夠有效的與DRM/加密工具集成使用,使得后者更有效
最近幾年國家頒布了個人信息保護法,以及相關(guān)信息安全保護制度,DLP在數(shù)據(jù)遵從方面的作用也越來越大。而且DLP產(chǎn)品在使用過程中還能與第三方的DRM或加密系統(tǒng)進行集成,從而使企業(yè)的保密效果更好。
數(shù)字權(quán)限保護(DRM)
◆DRM可以決定數(shù)據(jù)的訪問和使用方式,功能強大
◆僅限于特定的文檔類型
◆需要與企業(yè)應(yīng)用緊密集成,大量依靠人工參與
◆部署實施十分復(fù)雜并難以持續(xù)運維
◆僅適用于研發(fā)等少數(shù)小組
加密(Encryption)
◆能夠阻止沒有權(quán)限的人非法獲取信息,即使丟失也沒關(guān)系
◆依賴手工進行
但加密存在的弊端是:密鑰的管理很復(fù)雜;不能解決無意識泄密和主動泄密;僅適用于筆記本或者少量文件服務(wù)器。
管理(Management)
技術(shù)不能解決所有的問題,還需要管理制度來實現(xiàn),對企業(yè)來說管理制度必不可少,通過管理制度,才能實現(xiàn)DLP、DRM、Encryption產(chǎn)品的功能。通過管理來協(xié)調(diào)產(chǎn)品,使其達到很好的效率。使員工意識到自己在數(shù)據(jù)保護方面應(yīng)負的責任。
下圖是數(shù)據(jù)保護建議流程:
從圖中可以看出,數(shù)據(jù)保護的基本流程是:DLP—DRM—加密。DLP是識別整個企業(yè)風險,從網(wǎng)絡(luò)到端點到存儲,對企業(yè)進行全面的分析和評估。DRM是對企業(yè)內(nèi)部一些部門級別的文檔進行保護。比如Office文檔。加密主要針對個別部門的機密文檔和具有特殊需求的文件進行加密。一般我們會用DLP進行整體的分析,然后進行全面的數(shù)據(jù)使用監(jiān)控,大范圍的進行控制。再使用DRM和加密對特別文檔進行保護,從而實現(xiàn)對企業(yè)數(shù)據(jù)的保護。
我們在實現(xiàn)DLP產(chǎn)品時,首先要熟悉公司內(nèi)部的數(shù)據(jù)。首先要弄清楚以下問題:機密數(shù)據(jù)存放在哪個服務(wù)器或數(shù)據(jù)庫上?知道數(shù)據(jù)存放位置之后,才能對數(shù)據(jù)進行有效的保護。其次還要考慮機密數(shù)據(jù)是怎樣被使用的?在現(xiàn)實中有很多方式都可能導(dǎo)致數(shù)據(jù)泄露,比如說通過U盤拷貝、打印等方式,我們需要對這些方式進行一些初步的分析。通過分析,確定哪些方式風險最高,從而使我們能更有效的識別風險。如何防止數(shù)據(jù)丟失,是通過全方位的數(shù)據(jù)保護,還是通過特定的方式,比如郵件或郵件服務(wù)器來實現(xiàn)?考慮到這三點之后,我們在進行數(shù)據(jù)防護的時候才能比較合理的部署產(chǎn)品,使其效率達到最高。
賽門鐵克針對數(shù)據(jù)泄漏(DLP)推出了解決方案:Symantec Vontu DLP,下圖是Symantec Vontu DLP 的架構(gòu)圖:
從這個架構(gòu)我們可以看到,在圖中間有個Vontu Enforce 平臺,這個平臺是由Vontu界面和數(shù)據(jù)庫來實現(xiàn)的,通過登陸Enforce界面,來實現(xiàn)從中央到周圍所有模塊化的服務(wù)器的管理,同時所有的信息都會存放在Enforce數(shù)據(jù)庫中。圖中右上角是一個叫Network monitor的服務(wù)器,主要是對從企業(yè)網(wǎng)關(guān)出去的流量進行分析,識別所有從網(wǎng)管出去的內(nèi)容(如發(fā)出去的郵件、ftp等)是否含敏感信息。實現(xiàn)Network monitor很簡單,只需要在網(wǎng)關(guān)的出口處,將網(wǎng)關(guān)流量鏡像到安裝Network monitor的服務(wù)器上就可以了,如果Network monitor出現(xiàn)問題,也不會對企業(yè)網(wǎng)絡(luò)有影響。在右下角有一個Vontu Network Prevent的服務(wù)器,Network Prevent可以實時對企業(yè)發(fā)出的郵件、http流量進行監(jiān)控,并且它還可以實時阻止以及對相關(guān)內(nèi)容進行修改后再進行發(fā)送。也就是說Network Prevent不僅具有Network monitor的所有功能,也能實時對檢測到的違規(guī)數(shù)據(jù)進行屏蔽。左下角是一個Vontu Endpoint Discover和Vontu Enforce Prevent,它們在一臺服務(wù)器上面,稱為Vontu Endpoint模塊,通過Vontu Endpoint模塊來實現(xiàn)對客戶端的一些安全策略。在客戶端安裝Vontu agent,通過 Vontu agent與Vontu Endpoint Server 聯(lián)動,下載一些相關(guān)策略,從而實現(xiàn)客戶端的本地操作,如文檔打印、USB傳輸、本地磁盤的讀寫、離線郵件發(fā)送。在客戶端上我們可以通過Vontu agent來實現(xiàn)在線和離線的數(shù)據(jù)防護。左上角是Vontu Network Discover 和Vontu Network Prevent模塊,該模塊主要針對企業(yè)內(nèi)部存儲數(shù)據(jù),很多時候我們需要用這個模塊對企業(yè)內(nèi)部的文檔服務(wù)器、數(shù)據(jù)庫服務(wù)器以及應(yīng)用服務(wù)器進行過濾掃描,來了解企業(yè)內(nèi)部所有機密文件的存放位置,這樣才能對這些數(shù)據(jù)進行更好的保護。這樣從客戶端訪問的數(shù)據(jù)就是經(jīng)過保護的數(shù)據(jù),從而能防止用戶獲得其不該訪問的數(shù)據(jù),造成泄密。賽門鐵克的DLP中包含三大模塊:網(wǎng)關(guān)(Network monitor和Network Prevent)、終端(Endpoint Discover和Enforce Prevent),以及存儲(Network Disc。
在DLP產(chǎn)品中,最關(guān)鍵的是數(shù)據(jù)防泄密策略,下圖詳細介紹了DLP策略:
賽門鐵克DLP產(chǎn)品中有三大獨特的檢測技術(shù):描述內(nèi)容匹配(DCM)、精確數(shù)據(jù)匹配(EDM)和 索引文件匹配(IDM )。描述內(nèi)容匹配主要是對關(guān)鍵字、非索引數(shù)據(jù)、詞典和數(shù)據(jù)標識、文件大小和類型的匹配。它是比較普遍的檢測方式。索引文件匹配主要是掃描文件服務(wù)器,如果終端用戶發(fā)送機密郵件,或者用U盤拷貝,它會對指紋進行匹配。如果用戶對機密文件進行了修改,在最后的文檔中也會有相似的匹配。精確數(shù)據(jù)匹配可通過關(guān)鍵字和文件的方式來識別敏感的機密信息。像銀行、證券他們的機密信息是客戶信息,這些信息一般放在數(shù)據(jù)庫中。那么如何實現(xiàn)對數(shù)據(jù)庫信息的保護?精確數(shù)據(jù)匹配通過實現(xiàn)對需要保護的數(shù)據(jù)庫的表內(nèi)掃描,對每個單元格內(nèi)容進行指紋匹配。當終端用戶向外發(fā)送機密信息郵件或用U盤拷貝時,就可以檢索到。賽門鐵克DLP產(chǎn)品通過這三大獨特的檢測技術(shù)實現(xiàn)了對整個數(shù)據(jù)的防護。
Symantec DLP產(chǎn)品Vontu可以對整個數(shù)據(jù)丟失威脅進行全面覆蓋,包括終端(如U盤、打印機、本地硬盤)、網(wǎng)絡(luò)(電子郵件、HTTP、FTP)和存儲(Web服務(wù)器、數(shù)據(jù)庫)。它還通過單一的DLP策略進行全面覆蓋,在中央進行策略設(shè)定,同時分發(fā)給終端、網(wǎng)絡(luò)和存儲,實現(xiàn)統(tǒng)一的管理。
Symantec DLP產(chǎn)品事件響應(yīng)流程分為兩種結(jié)構(gòu):
fan-out響應(yīng)架構(gòu),即在事件發(fā)生后,通過某幾個人先對這些事件進行初步的查看,然后將這些事件轉(zhuǎn)到其相關(guān)的部門進行查看。fan-in響應(yīng)架構(gòu)則是在事件生成后,將事件先路由到相關(guān)的事件責任部門進行具體的查看,在相關(guān)部門進行審計后,再將事件的信息匯總到事件響應(yīng)團隊來進行最終審核。企業(yè)可以根據(jù)自己的需求來實施。
DLP產(chǎn)品Vontu如何將剩余風險壓縮到最小?
下圖對此有詳細介紹,圖中假設(shè)DLP項目為一年,共分為四個階段,第二階段是對企業(yè)行為的調(diào)整、第三階段是對員工行為的調(diào)整:
從圖中可以看到,Vontu并不能把風險壓縮到零,也就是說DLP產(chǎn)品不可能將企業(yè)的數(shù)據(jù)泄漏風險降為零,因為在公司內(nèi)部還需要結(jié)合第三方產(chǎn)品來實現(xiàn),比如終端安全、標準化等方式。
Symantec DLP 成功模型,請見下圖。
【編輯推薦】
