應用數據泄漏(DLP)解決方案實現企業數據保護策略
DLP產品目前在中國市場很火,在《中國IT市場分析與預測2007-2011》中,IDC通過對用戶投資重點進行調研發現:29.8%的用戶會考慮投資數據失泄密管理,DLP在投資重點中居第二位。這意味著越來越多的企業在數據泄露防護方面愿意投入更多的資金,也就是說未來幾年內企業對DLP產品的需求會越來越高。
常見的防泄密選擇是DLP(數據泄漏保護)、DRM(數字權限保護)、Encryption(加密)和Management(管理)。這些產品是如何實現數據保護的?
數據泄漏保護(DLP)
◆全面評估信息風險,包括網絡、端點和存儲
◆全面檢測數據庫、文件、郵件、文字等泄密通道,及時報警或阻止
◆統一制定防泄漏策略
◆遵從SOX等法案法規
◆實施和部署簡單,無需更改流程,無需人工參與,可在企業范圍應用
◆能夠有效的與DRM/加密工具集成使用,使得后者更有效
最近幾年國家頒布了個人信息保護法,以及相關信息安全保護制度,DLP在數據遵從方面的作用也越來越大。而且DLP產品在使用過程中還能與第三方的DRM或加密系統進行集成,從而使企業的保密效果更好。
數字權限保護(DRM)
◆DRM可以決定數據的訪問和使用方式,功能強大
◆僅限于特定的文檔類型
◆需要與企業應用緊密集成,大量依靠人工參與
◆部署實施十分復雜并難以持續運維
◆僅適用于研發等少數小組
加密(Encryption)
◆能夠阻止沒有權限的人非法獲取信息,即使丟失也沒關系
◆依賴手工進行
但加密存在的弊端是:密鑰的管理很復雜;不能解決無意識泄密和主動泄密;僅適用于筆記本或者少量文件服務器。
管理(Management)
技術不能解決所有的問題,還需要管理制度來實現,對企業來說管理制度必不可少,通過管理制度,才能實現DLP、DRM、Encryption產品的功能。通過管理來協調產品,使其達到很好的效率。使員工意識到自己在數據保護方面應負的責任。
下圖是數據保護建議流程:
從圖中可以看出,數據保護的基本流程是:DLP—DRM—加密。DLP是識別整個企業風險,從網絡到端點到存儲,對企業進行全面的分析和評估。DRM是對企業內部一些部門級別的文檔進行保護。比如Office文檔。加密主要針對個別部門的機密文檔和具有特殊需求的文件進行加密。一般我們會用DLP進行整體的分析,然后進行全面的數據使用監控,大范圍的進行控制。再使用DRM和加密對特別文檔進行保護,從而實現對企業數據的保護。
我們在實現DLP產品時,首先要熟悉公司內部的數據。首先要弄清楚以下問題:機密數據存放在哪個服務器或數據庫上?知道數據存放位置之后,才能對數據進行有效的保護。其次還要考慮機密數據是怎樣被使用的?在現實中有很多方式都可能導致數據泄露,比如說通過U盤拷貝、打印等方式,我們需要對這些方式進行一些初步的分析。通過分析,確定哪些方式風險最高,從而使我們能更有效的識別風險。如何防止數據丟失,是通過全方位的數據保護,還是通過特定的方式,比如郵件或郵件服務器來實現?考慮到這三點之后,我們在進行數據防護的時候才能比較合理的部署產品,使其效率達到最高。
賽門鐵克針對數據泄漏(DLP)推出了解決方案:Symantec Vontu DLP,下圖是Symantec Vontu DLP 的架構圖:
從這個架構我們可以看到,在圖中間有個Vontu Enforce 平臺,這個平臺是由Vontu界面和數據庫來實現的,通過登陸Enforce界面,來實現從中央到周圍所有模塊化的服務器的管理,同時所有的信息都會存放在Enforce數據庫中。圖中右上角是一個叫Network monitor的服務器,主要是對從企業網關出去的流量進行分析,識別所有從網管出去的內容(如發出去的郵件、ftp等)是否含敏感信息。實現Network monitor很簡單,只需要在網關的出口處,將網關流量鏡像到安裝Network monitor的服務器上就可以了,如果Network monitor出現問題,也不會對企業網絡有影響。在右下角有一個Vontu Network Prevent的服務器,Network Prevent可以實時對企業發出的郵件、http流量進行監控,并且它還可以實時阻止以及對相關內容進行修改后再進行發送。也就是說Network Prevent不僅具有Network monitor的所有功能,也能實時對檢測到的違規數據進行屏蔽。左下角是一個Vontu Endpoint Discover和Vontu Enforce Prevent,它們在一臺服務器上面,稱為Vontu Endpoint模塊,通過Vontu Endpoint模塊來實現對客戶端的一些安全策略。在客戶端安裝Vontu agent,通過 Vontu agent與Vontu Endpoint Server 聯動,下載一些相關策略,從而實現客戶端的本地操作,如文檔打印、USB傳輸、本地磁盤的讀寫、離線郵件發送。在客戶端上我們可以通過Vontu agent來實現在線和離線的數據防護。左上角是Vontu Network Discover 和Vontu Network Prevent模塊,該模塊主要針對企業內部存儲數據,很多時候我們需要用這個模塊對企業內部的文檔服務器、數據庫服務器以及應用服務器進行過濾掃描,來了解企業內部所有機密文件的存放位置,這樣才能對這些數據進行更好的保護。這樣從客戶端訪問的數據就是經過保護的數據,從而能防止用戶獲得其不該訪問的數據,造成泄密。賽門鐵克的DLP中包含三大模塊:網關(Network monitor和Network Prevent)、終端(Endpoint Discover和Enforce Prevent),以及存儲(Network Disc。
在DLP產品中,最關鍵的是數據防泄密策略,下圖詳細介紹了DLP策略:
賽門鐵克DLP產品中有三大獨特的檢測技術:描述內容匹配(DCM)、精確數據匹配(EDM)和 索引文件匹配(IDM )。描述內容匹配主要是對關鍵字、非索引數據、詞典和數據標識、文件大小和類型的匹配。它是比較普遍的檢測方式。索引文件匹配主要是掃描文件服務器,如果終端用戶發送機密郵件,或者用U盤拷貝,它會對指紋進行匹配。如果用戶對機密文件進行了修改,在最后的文檔中也會有相似的匹配。精確數據匹配可通過關鍵字和文件的方式來識別敏感的機密信息。像銀行、證券他們的機密信息是客戶信息,這些信息一般放在數據庫中。那么如何實現對數據庫信息的保護?精確數據匹配通過實現對需要保護的數據庫的表內掃描,對每個單元格內容進行指紋匹配。當終端用戶向外發送機密信息郵件或用U盤拷貝時,就可以檢索到。賽門鐵克DLP產品通過這三大獨特的檢測技術實現了對整個數據的防護。
Symantec DLP產品Vontu可以對整個數據丟失威脅進行全面覆蓋,包括終端(如U盤、打印機、本地硬盤)、網絡(電子郵件、HTTP、FTP)和存儲(Web服務器、數據庫)。它還通過單一的DLP策略進行全面覆蓋,在中央進行策略設定,同時分發給終端、網絡和存儲,實現統一的管理。
Symantec DLP產品事件響應流程分為兩種結構:
fan-out響應架構,即在事件發生后,通過某幾個人先對這些事件進行初步的查看,然后將這些事件轉到其相關的部門進行查看。fan-in響應架構則是在事件生成后,將事件先路由到相關的事件責任部門進行具體的查看,在相關部門進行審計后,再將事件的信息匯總到事件響應團隊來進行最終審核。企業可以根據自己的需求來實施。
DLP產品Vontu如何將剩余風險壓縮到最小?
下圖對此有詳細介紹,圖中假設DLP項目為一年,共分為四個階段,第二階段是對企業行為的調整、第三階段是對員工行為的調整:
從圖中可以看到,Vontu并不能把風險壓縮到零,也就是說DLP產品不可能將企業的數據泄漏風險降為零,因為在公司內部還需要結合第三方產品來實現,比如終端安全、標準化等方式。
Symantec DLP 成功模型,請見下圖。
【編輯推薦】
