随着技术的发展,企业的业务流程及信息处理越来越依赖于IT设施,企业的信息也从最开始的以纸介质为保存媒体,逐渐转变为纸介质和电子介质保存的局面。许多企业出于快速处理信息的考虑,甚至将所有的信息进行电子化,所有的业务流程也依赖于IT设施。因此,IT设施的正常运作及电子信息的良好保护,便成为企业业务顺利进行和发展的关键因素之一。
信息资产的定义及其面临的威胁风险
信息在企业业务中扮演着如此重要的角色,因此我们可以认为信息也是一种资产,并称之为信息资产。信息资产尽管是无形的,但由于它包含了大量的业务数据、客户信息、商业秘密等对企业的业务乃至存亡密切相关的内容,所以信息资产也面临大量的威胁和风险,包括有意或无意的销毁、黑客攻击、恶意软件造成的数据丢失、内部人员的泄漏等。这些威胁和风险中,最有可能发生并造成严重后果的便是保密信息有意或意外的泄漏,一旦发生数据泄漏事件,企业不单要承担保密数据本身价值的损失,严重的时候还会影响企业的声誉和公众形象,并有可能面临法律上的麻烦。2007年在美国TJX零售公司发生的4500多万客户的信息卡及保密资料丢失,进而导致其客户和银行业对其提起诉讼,最终TJX公司需要向客户赔付1.01亿美元,并承受严重的企业声誉损失。
图: 保密数据泄漏的三种形式:意外泄漏、故意泄漏、恶意泄漏
数据泄漏防御的定义
为了保护企业的保密信息不被有意或意外泄漏,一种称为“数据泄漏防御”(Data leakage prevention, DLP),有时也称为“信息泄漏防御”(Information leakage prevention, ILP)的技术便应运而生。数据泄漏防御技术是通过一定的技术或管理手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。
数据泄漏防御方案的分类
根据所部署的位置的不同,数据泄漏防御方案可以分成基于网络的数据泄漏防御方案(NDLP)和基于主机的数据泄漏防御方案(HDLP),这和入侵检测系统的分类是很相似的。目前市面上的大部分数据泄漏防御方案都是基于网络类型,有少部分是基于主机类型。基于网络的数据泄漏防御方案通常部署在保存有保密数据的企业内部网络和外部网络连接的出口处,所针对的对象是进出企业内部网络的所有数据,如果发现有违反企业安全策略的数据流入流出,NDLP便会将违规数据予以拦截或采取警报等其他行为。而基于主机的数据泄漏防御方案则部署在存放敏感数据的主机上,当其发现被保护主机上的数据被违规转移出主机时,HDLP会采取拦截或警报等行为。
为了更形象的说明数据泄漏防御的工作原理,笔者给大家准备了如下的示意图:
在上图我们可以了解到,企业的敏感数据通常存放在文件服务器上(Company sensitive data),用户通过自己的终端(LAN Desktop)进行访问。LAN Desktop周边的打印机、可移动存储设备、摄像头、调制解调器和无线网络便是潜在的本地数据泄漏源,企业可以通过在用户的终端上部署基于主机的数据泄漏防御方案来进行控制。LAN Desktop和Internet进行的通讯,尤其是最常见的E-mail、FTP、HTTP和即时通讯是最常见的网络数据泄漏源,在这种场合企业就需要在内部网络和Internet连接的出口处部署基于网络的数据泄漏防御方案进行控制。
数据泄漏防御的基本原理如何
市面上的数据泄漏防御方案很多,各厂商的实现也大不相同,企业在选择数据泄漏防御方案时往往有眼花缭乱,无从下手的感觉。其实数据泄漏防御方案的基本原理并不复杂,可以简单的分成以下三类:
l 关键词内容过滤,数据泄漏防御方案根据网络或主机上所保存和流动的数据内的特定关键词进行过滤,来确定是否存在不符合企业安全策略的数据流动,比如根据“保密”这个关键词进行过滤。
l 扩展名过滤,数据泄漏方案根据网络或主机上所保存和流动的数据文件的扩展名进行过滤,判断是否存在不符合企业安全策略的数据流动,比如根据 以DOC为扩展名的文件不能流出企业内部网络这样的规则进行过滤。
l 信息等级过滤,数据泄漏方案根据网络或主机上所保存和流动的数据所属的保密级别,判断是否存在不符合企业安全策略的数据流动,比如 标记为“秘密“等级的数据不能流出企业内部网络。这种数据泄漏防御的实现方法需要部署的企业先对自己的所有信息资产进行分类和标记,是最有效同时也是最费力的数据泄漏防御方案。
数据泄漏防御的优点和局限性
企业如果部署数据泄漏防御方案,将可以在现有的安全方案上,再为信息资产添加一层安全保障,即使在防火墙、反病毒等方案失效的情况下,仍能最大程度的保护企业内的保密数据不会因为有意或无意的原因泄漏到外界,同时由于数据泄漏防御是防止数据流出外界,它也对在目前愈演愈烈的内部人违反安全策略导致的安全事件的数据泄漏有相当好的效果。
但企业也应该清醒的认识到,数据泄漏防御不是万能的。我们知道,信息安全的目标,指的就是要保护信息资产的保密性、完整性和可用性,数据泄漏防御方案所提供的保护针对的是信息资产的保密性,它并不能提供信息资产的完整性及可用性保护。另外,从技术层面上讲基于网络的数据泄漏防御和基于主机的数据泄漏防御这两种方案之间基本不存在重叠关系,其中任意一种方案都基本不能抵御另外一种所要解决的数据泄漏问题。
企业应该如何选择数据泄漏防御方案
如果企业决定要部署数据泄漏防御方案来保护自己的信息资产不受泄漏的威胁,面对市场上纷繁复杂的数据泄漏防御产品,企业应该如何进行选择?
企业应该首先根据自己的安全策略,定义自己的信息资产有哪些,什么是“数据泄漏“等,只有清晰的明白自己的安全需求,才能正确的进行方案和产品的选择,这个原则在选择所有IT方案时都是适用的。
接下来企业需要了解自己的IT架构和信息资产的实际情况,然后再选择数据泄漏防御方案的类型,比如很多保密企业的内部网络都是与Internet隔离的,因此选择基于网络的数据泄漏防御方案是完全没有必要的,应该选择基于主机的数据防御方案。
在选择好数据防御方案的类型后,企业就可以根据自己的安全需求,了解各厂商的数据泄漏防御方案的优缺点,并优先考虑其操作的准确性、功能的可用性、管理的方便性和成本的经济性,最后才选择并部署最适合自己的数据泄漏防御方案。总之,企业只有根据自己的实际情况来选择产品,由管理到技术,在充分认识数据泄漏防御方案优缺点的基础上进行选择,才能选出最适合自己的数据泄漏防御方案,并真正达到保护企业信息资产的目的。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/60085,如需转载请自行联系原作者
- 数据泄漏防御DLP的确切定义
数据泄漏防御DLP的确切定义 数据安全中的数据泄漏防御(DLP)是个常被误解的术语.由于这个领域有着很多的需求,很多公司自夸自己拥有DLP功能,其实它们根本就和DLP扯不上边.分析师也常被搞糊涂了.我 ...
- 数据防泄密专家为企业数据泄漏出谋划策
数据防泄密专家为企业数据泄漏出谋划策 (2012-12-11 11:05:58) 转载▼ 标签: 专家 经济影响 电子邮件 上下级 技术 it 分类: 信息安全 古人说过:"知丈之堤,以蝼蚁 ...
- 《无处不在的安全,无孔不入的间谍》论企业信息泄漏防御
一 信息的定义及其重要性 每一年,由于信息泄漏而给企业造成重大损失的新闻报道屡见不鲜,信息泄漏仿佛成为企业发展过程中的必然遭遇,小到个体私营,大到国企乃至跨国集团,信息泄漏这一陋习如影随形.然而令人惋 ...
- 数据泄漏保护:你的企业的投资是否足够?
SWIFT银行有一个专门致力于数据泄露事故调查的团队.在本文中,专家Mike O. Villegas探讨了为什么这样的投入是必要的,以及其他组织机构是否也应该如此. 数据泄漏事故调查.看上去这是一个相 ...
- 58%数据泄漏由内部引起,防泄密系统助力企业数据安全管理防泄露
随着现在各行各业的发展,互联网已经融入人们的生活,随之而来的的数据泄漏风险也越来也大,大多数企业正在采取积极措施来保护他们正在迁移到云中的敏感数据.然而许多人还没有制定一个全面的计划来解决数据安全的主 ...
- 企业数据泄漏事件频发,如何防止企业数据泄漏?
2022年即将接近尾声,这一年受疫情和国际经济形势影响,各行各业都不太好过,同样互联网领域发展不平衡.规则不健全.秩序不合理等问题日益凸显,虽然互联网的快速发展为企业数字化转型提供了支撑,但是互联网发 ...
- 万字长文:盘点2022全球10大数据泄漏事件(红蓝攻防角度)
导读:全球每年都会有大量的爆炸性的数据泄漏事件发生,但是今年的数据泄漏事件特别多,此起彼伏,而且数据泄漏的规模和造成的破坏性影响,一次比一次大. 根据Identify Theft Research C ...
- 【附赠书】2022年全球10大数据泄漏事件
导读:全球每年都会有大量的爆炸性的数据泄漏事件发生,但是今年的数据泄漏事件特别多,此起彼伏,而且数据泄漏的规模和造成的破坏性影响,一次比一次大. 根据Identify Theft Research C ...
- 速看|万豪数据泄漏门再敲警钟 酒店集团7步安全建议
11月30日,万豪酒店官方发布消息称,多达5亿人次预订喜达屋酒店客人的详细个人信息可能遭到泄露.万豪国际在调查过程中了解到,自2014年起即存在第三方对喜达屋网络未经授权的访问,但公司直到2018 ...
