【IT168 专稿 文/kaduo】从互联网诞生的那天起,安全问题就一直困扰着人们,随着世界上第一个网络病毒“莫里斯蠕虫”的出现,网络安全就伴随着互联网发展一步步走到了今天。而如今,更是走到了以数据安全为核心的时代,完整的数据泄漏防护解决方案开始替代传统的防火墙、杀毒软件成为企业安全防护的重点。
很多企业都无法避免数据泄密所带来的厄运,然而想要防止数据泄密,企业除了加强制度管理以外,搞清楚所面临的泄密主要原因才是根本。我们采访了深信服产品行销部技术总监殷浩,他和我们分析了企业数据泄漏的几大主要原因,并介绍了企业如何成功实施DLP项目关键。
▲深信服产品行销部技术总监殷浩
数据泄密的主要途径分析
殷浩谈到,企业数据泄密的主要原因包括黑客和间谍窃密所导致的数据泄密、内部人员离职拷贝带走资料泄密、文档权限失控泄密等等。同时,殷浩表示,也正是这多种的泄密手段的存在,才促使了DLP产品的不断发展,关注与文件加密、权限控制、敏感数据审计等的产品层出不穷。
1、国内黑客和间谍窃密:国际国内很多黑客和间谍,通过层出不穷的技术手段,窃取国内各种重要信息,已经成为中国信息安全的巨大威胁。如果放任不管,必然造成无可估量的损失。
2、外部竞争对手泄密:企业与企业之间采用各种方式窃取竞争对手机密信息,自古以来都是普遍发生的。如果企业不重视自身机密信息的保护,不仅会造成商业竞争的驱动,直接造成经济损失,甚至会导致整体行业的衰落与灭亡。
3、内部人员离职拷贝带走资料泄密:由于中国企业不重视知识产权保护,不重视机密信息安全,所以离职人员在离职前都会大量拷贝带走核心资料。在这些人员再次就业时,这些被拷贝带走的商业信息,就成为竞争对手打击和挤压原单位的重要武器。
4、内部人员无意泄密和恶意泄密:国家单位和企事业单位人员对于信息安全重要性的认识不足,会导致泄密人员在无意中泄密。而部分不良分子,出于对原就业单位的报复,肆意将机密信息公之于众,甚至发布到网上任人浏览。
5、内部文档权限失控失密:在内部,往往机密信息会分为秘密、机密和绝密等不同的涉密等级。当前多数单位的涉密信息的权限划分是相当粗放的,很难细分到相应的个人。因此,内部数据和文档在权限管控方面的失控,会导致不具备权限的人员获得涉密信息,或者是低权限的人员获得高涉密信息。
6、存储设备丢失和维修失密:移动存储设备例如笔记本电脑、移动硬盘、手机存储卡、数码照相/摄录机等,一旦遗失、维修或者报废后,其存储数据往往暴露无遗。“艳照门事件”就是此类事件的典型。
7、对外信息发布失控失密:在两个或者多个合作单位之间,由于信息交互的频繁发生,涉密信息也可能泄露,导致合作方不具备权限的人员获得涉密信息。甚至是涉密信息流出到处于竞争关系的第三方。
${PageNumber}企业DLP项目选型、实施难点
从目前一些企业的DLP项目的上马过程来看,往往存在“虎头蛇尾”、“不了了之”的情况,在DLP推行部署过程中,由于终端PC用户的使用习惯、用户体验发生了较大的变化,比如文件打开缓慢、加密文件损坏、权限控制复杂、影响主机性能等,带来了较多的用户抱怨。使得IT部门为了在安全和可行性之间进行了权衡,很多DLP方案50%以上的安全功能/策略都没有开启,并没有起到真正的防泄密效果,依然存在较多的安全泄密漏洞。更有甚者,DLP产品在部署之后就被束之高阁雪藏了起来,成了“不了了之”的项目。
殷浩谈到,DLP项目在选型、实施阶段尤为重要,企业在DLP选型阶断要注意不是技术最牛、非常先进的方案才是企业所需要的,而是要选最适合自己情况的方案。如要关注网络环境、终端类型、企业组织架构、IT管理力度、部署周期、用户使用习惯等等。同时,还要进行小范围的对比测试,调研用户使用反馈,再做决断。
在实施阶段,也要制定合理的分步实施计划,切记不可一步到位,要做好用户PC终端情况的统计和分析,考虑兼容性的问题等等。此外,还要准备一定的普及培训计划,因为用户对于新软件的适应各有差异,要制作简单、易懂的资料,便于用户接受。
DLP项目的价值就在于在解决数据安全问题、降低风险的同时,能最小程度的改变用户使用习惯并最大化的提升企业办公效率。如何判断企业DLP项目实施的成败,殷浩谈到了以下几点:一是看DLP项目是否可以统一制定防泄密策略;二是对现有网络的改造是否最小;三是后续人力维护和管理成本是否增加最少;四是操作是否简单、是否容易普及、用户使用习惯是否改变最少;五是系统资源占用率是否足够少;六是DLP产品稳定性是否足够好;七是DLP产品软件兼容性是否足够好;最后要看企业用户的使用成本、工作效率是否有降低。
企业成功实施DLP项目,要充分了解企业不同部门对数据防泄密的需求。企业要根据业务部门的业务特点从几个方面(用户数量、应用复杂程度、安全要求级别、用户IT技术水平等)进行考虑和选择DLP产品:
此外,殷浩谈到,还要考虑实现端到端的防泄密,不但是终端需求,网络传输加密、应用访问权限控制、用户认证等等都是必不可少的。
${PageNumber}企业怎样选择适合自身的DLP产品?
找到泄密途径,也做到了心中有数,那也不代表DLP项目就有了100%的把握,那么接下来企业要做的事情就该选择适合自身的DLP产品了,殷浩也从以下几个角度给出了建议:
第一,从品牌选择来看:国内DLP产品的目标是对“有意”、“无意”泄密行为都进行防护,配合权限控制、审计、行为管理等功能,形成整套DLP解决方案的方式。国外DLP产品目标是防止信息的无意泄露,在实现手段上多以“检测”“审计”为主。一般模式是构建一个策略数据库,其中包含了所有的检测策略以及对敏感数据的定义,当员工做出某种行为时系统会扫描,以判断这种行为是否符合安全策略并做出相应动作,如阻止、警告等,在此基础上再加上权限控制、审计等功能。从本质上看,国内DLP基于数据的主动防泄漏。以人为控制为主;而国外DLP以防止无意泄漏为目标。
第二,从市场成熟程度来看:假如某个DLP产品供应商所生产的产品已经存在一个很成熟的市场,那么其售后服务和产品质量必须很好,就能够处理DLP产品在使用后的问题疑问。有时,存在良好市场的DLP产品供应商,还能够用他们部署DLP处理方案的成功体会来帮助企业完成DLP部署策略的建立,以及其它方面的技能指导。
第三,从DLP产品的安全性来看:事前主动防御:用户访问核心业务系统时下载到本地的文件,DLP产品应该采用高强度的机密算法对文件进行自动加密,防止主动泄密。事中全程控制:对信息泄密的各种途径都做了有效控制。
1)密钥的安全性:加密文件的安全由算法和密钥来保证。加密算法一般都是采用国际流行的安全性高的算法,这些算法都是公开的,所以确切的说加密算法的安全性真正依赖的是密钥。
防泄密软件的密钥是否安全应该解决以下问题:要保证同一企业,不同的用户即使部署了同样的DLP产品,也无法打开彼此的加密文件,保证用户只能在自己的虚拟环境下打开自动加密的文档。即为用户信息和加解密密钥一一绑定且由DLP产品独立创建。当然,针对企业不同员工需要共享同一加密文件的场景,DLP产品也应当支持工作组内的员工可以在不同的PC上打开自动解密的文件,实现工作组中多人同时查看或编辑文档的的需要。如果密钥泄露,要有补救的措施,比如说密钥能够了支持更改、初始化、重置、备份等,这样密钥泄密了或者丢失,企业可以方便的更换。
2)泄密途径的管控:泄密途径控制的好坏,是选择防泄密软件的一个重要考查点。
DLP产品必须对泄密的途径进行管理,针对下载机密文件到PC默认桌面,最好可以采用虚拟化的方式,在默认桌面上开启虚拟安全桌面。首先,虚拟安全桌面保证其中的机密文件无法传递到默认桌面里,产品可以通过可访问默认桌面目录的拦截控制、控制截屏将信息无法拷贝到默认桌面等,使得机密数据无法到默认桌面,因为通常默认桌面由于工作需要是具备多种外发文件途径的,一旦机密文件保存至默认桌面,文件很容易通过互联网或者其他途径泄密,更为安全的是,DLP产品应该可以将虚拟安全桌面的数据在安全桌面退出后彻底销毁,这样机密文件不会在默认桌面下留下任何痕迹,当然也可以根据企业自身的情况,将机密文件在安全桌面退出后加密保存到默认桌面以便下次登录安全桌面后继续编辑;其次,要控制在虚拟安全桌面内可以开启的应用程序进程、对网络进行拦截,禁止机密文件通过虚拟安全桌面中的外发渠道泄密出去。应该保证禁止终端使用指定的设备,包括USB存储设备限制和打印机限制。
第四,从DLP产品的性能来看:DLP产品在操作系统内核上处理文件,肯定多少都会影响操作系统的运行速度,因此,良好的稳定性和加密速度又成为了防泄密软件DLP产品必需考虑的因素。部署DLP产品后,电脑是否出现蓝屏、死机、访问业务系统速度严重下降等现象、内存占用是否急剧升高等是考察DLP产品稳定性的重要依据。此外,随着windows操作系统的不断升级,加密软件能否兼容windows7和64位操作系统,是否具备更广泛的兼容性也将成为购买DLP产品的决定因素。
第五,从DLP产品的后续运维成本来看:如何寻找到安全和成本的平衡点是关注完DLP产品本身性能后应该首要关注的问题。DLP的部署成本包括了设备本身的购买成本、专职人员的管理成本等,可想而知,如果系统部署繁琐,客户端安装复杂,对于大型企业而言,IT部门的运维人员工作量必然后大幅增加,因此选用DLP产品时在满足基本功能的同时,能够对现有网络不做太大改变、客户端安装简易的DLP产品应该为首选。
最后,殷浩谈到,目前国内防泄密市场需求庞大,泄密的原因和途径也是多种多样,单靠一类产品解决所有问题显然是不现实的,国内数据防泄密市场前景必然是百花齐放的,企业只能根据自身的实际情况在选择产品时多方考量。
