【IT168选型】回顾这几年来国内安全领域的热点,数据泄密所导致的安全事件当为榜首,业界对其的关注度甚至超越了风头正盛的下一代防火墙、移动安全、云安全等新兴领域。究其原因,数据泄密所带来的损失是最直接的,也是影响最坏的。拥有全新IT架构,将IT当成企业业务发展主要源动力的企业的CSO们,一直在苦恼如何有效做好数据防泄密,以及如何有效应对新技术(云、BYOD)、新趋势下的数据安全问题。
“棱镜门”事件、连锁酒店泄露开房者信息、快递公司用户数据泄密……这些事件都最直接的影响着人们的安全神经,做好企业数据防泄密已成为企业信息安全管理,甚至树立企业诚信形象的最重要的内容。本篇文章,我们将探讨数据泄密给企业带来的危害以及数据安全防护策略,并向您推荐业界最主流的防泄密产品,同时还会有行业专家对企业产品选型的参考建议。
一、数据泄密启示录
2013年信息安全领域硝烟不断,6月前美国中情局斯诺登曝光了美国国家安全局代号为“棱镜”的秘密项目,指出美国国家安全局和联邦调查局通过微软、谷歌、雅虎等九大网络巨头的服务器监控民众的电子邮件、聊天记录、视频等秘密资料,这在业界引起了轩然大波,时至今日,棱镜门事件的影响仍在,信息安全话题成为2013下半年甚至将成为整个2014年最热话题。
7月,纳斯达克OMX集团、家乐福、Adobe的电脑系统遭到黑客入侵,大量用户数据、信用卡信息被盗,造成了数亿美元的损失。9月HTC被曝企业内部机密数据遭泄露。在看发生在国内的泄密事件,10月乌云平台发布报告,如家、汉庭等酒店客户开房记录被泄露,包括客户名、身份证号、开房日期等大量敏感信息。11月,搜狗浏览器用户信息泄密,被曝光用户可以随意查看数千其他用户的账号、邮箱、支付宝等信息,甚至可以直接支付交易。
反思这些泄密事件,企业该如何做好防泄密工作呢?通过分析2013年大部分的企业泄密事件,我们不难看出,企业发生泄密事件的根源主要存在于人为因素、管理策略、技术因素几大类。
1、人为因素:比如HTC泄密案中,高管疑窃取商业机密,并计划在离职后带走,与HTC的竞争对手研发新产品。因此,离职员工在离职前的行为,在企业管理中需要做好防范,在安全管理上需要对机密资料做好保护,设置权限防止被轻易下载带走,对员工拷贝、发送文件的行为要做好权限管控和审计。
另外,对于企业中特殊职位员工、高管的权限管控也是重点。很多企业就算已部署了内网安全软件,但针对高管也基本采取了放任的态度,不会对其管制。对于特殊职位员工,限定其权限尤其重要。
2、管理策略:数据已经成为企业的核心竞争力,因此,企业必须明确和掌握哪些是核心数据,并对这些核心数据进行严格的保护,不仅要做好加密工作,还要对其所涉及的操作进行严格的审计管控,建立全面完善的保护机制。
3、技术因素:随着BYOD、移动互联网、云计算等新技术逐渐进入企业,安全威胁也随之而来,企业数据泄密防护的界线也变得越来越模糊,难度也越来越大。同时,企业还要考虑更多方面的防泄密管控,如U盘、打印、短信、邮件、及时通讯等等。
从整体来看,数据防泄密是需要人力资源和技术力量共同支持的系统工程。部署数据防泄密项目对于每个企业都是必不可少的,这不应该是一个痛苦的过程,这个工作需要企业在较长的时间内根据业务的发展持续的投入更多资源,这不仅不会成为开展业务的障碍,而且会成为安全执行业务的平台。
当然,造成泄密的因素中还有很大一部分是因为黑客攻击所造成,但这已超出了我们所要重点讲述的范畴,这里不在详细介绍,重点我们将介绍对数据进行加密、管控、审计方面的内容。
二、数据防泄密发展趋势
泄密事件在2013年持续发酵,业界对于数据防泄密的关注必然会延续到2014年。而随着技术趋势的不断变化,数据防泄密技术也会与时俱进。在2014年,加密审计、桌面虚拟化、VPN、上网行为管理都将杀入数据防泄密市场。
文档加密近年来倍受国内企业的喜爱,从传统的制造业到机械重工、医疗卫生、信息产业等行业,在选择数据防泄密产品时都会提到加密类产品。据相关调查显示,近两年来,行业用户对于加密类产品的关注度呈阶梯式上升趋势(如下图)。
与此同时,伴随着企业IT系统的越来越复杂,单一的防泄密手段开始无法满足部分企业的需求,整合的数据防泄密解决方案受到企业关注。对此,明朝万达CEO王志海表示,国内数据防泄漏市场蓬勃发展的趋势已经非常明确,但是由于行业需求差异和产品技术差异较大,统一的标准短期内依然难以形成。可以预见的是,以监管部门和大型集团用户的推动为契机,细分行业的数据防泄漏标准将逐步率先出现。
启明星辰DLP产品经理吴鲁加表示,“市场发展与用户需求紧密相关,目前国际上的DLP走的是审计路线(注重感知),而国内DLP之前一直走加密路线(注重控制),这与用户需求有关——国内最早和需求最大的防泄密用户群是制造业和军工——这类企业注重的是控制。而目前随着运营商、金融、能源等行业需求增强,国内的数据防泄密市场也将从单一的注重控制转变为控制与感知并重——这也是启明星辰目前的产品发展方向。”
迈克菲技术产品经理李明谈到,公安部已经实施了终端数据防泄漏产品标准,用于DLP产品的市场准入。但是在市场上统一数据防泄漏却面临一些困难,主要是很多加密产品或者权限管理产品也自称属于数据防泄漏产品。在今后几年,用户将越来越清楚自己的数据安全要求,从而选择真正适合自己的数据安全防护产品。
三、市场主流数据防泄密产品推荐
1、启明星辰天榕数据防泄密
启明星辰的天榕数据防泄密系统包括审计与加密两种防泄密产品,天榕数据防泄密(DLP)系统以“旁观者”的方式观察和记录员工对电脑、文件、软件操作或网络行为,同时服务端通过多种方式(文件签名、敏感词识别与权重分析、正则表达式过滤)识别敏感机密信息。并通过数据汇总与分析,得出人员、文件、安全事件这三个维度的趋势,并通过相应的安全策略定义,对用户的操作进行识别,从而确认泄密风险并采取相应措施进行防范。
天榕电子文档安全系统是内核文件实时透明加解密,在操作系统底层对文件进行加解密操作,不影响用户的原有使用习惯。安装天榕电子文档安全系统的用户在使用文件时,用户终端自动将文件实时加解密;文件的接收者必须经过管理中心端的认证,才能够根据许可权限对文件进行操作。
产品官网:http://www.venustech.com.cn/SafeProductInfo/460/41.Html
方案特色:启明星辰天榕数据防泄密集合了国内外DLP产品的核心优势,从发现、监控、保护到管理实现了全生命周期的防护。另外,作为本土厂商,启明星辰天榕数据防泄密更懂中国用户,开发了很多针对中国用户使用习惯的特色功能。
推荐指数:★★★★☆
2、明朝万达Chinasec(安元)终端DLP解决方案
明朝万达针对终端中存在的安全风险,秉着事前控制,事中管理,事后审计的思想,推出专门针对终端安全的Chinasec可信网络安全平台。Chinasec平台实现了用户身份管理、终端数据防泄密、数据存储安全、移动设备管理、传输加密、终端网络访问控制、流程审批、终端计算机行为管控等功能。同时,针对企业内网安全、数据了泄密,明朝万达还有文档安全、桌面云、应用系统安全、文档追溯等解决方案。
产品官网:http://www.wondersoft.cn/jjfa-more.aspx?cId=1&Id=8&aId=2
方案特色:明朝万达Chinasec(安元)终端DLP解决方案以‘环境加密’为核心思想,实现区域内透明,区域外控制,不干涉数据在安全区域内的使用,更多的关注数据的外发出口,因此对终端使用效率影响极低。另外,其在扩展性、易实施性等方面表现也不错。
推荐指数:★★★★★
3、亿赛通数据防泄密解决方案
亿赛通数据泄露防护(DLP)解决方案从终端数据安全、网络数据安全、存储数据安全三个维度进行设计,专业和全面的文档安全解决方案,解决了企业在核心信息共享中的安全问题。方案对文档的整个生命周期进行控制,对文档的加密、授权、使用、归档或销毁等所有操作做到了了如指掌。体现了“事前主动防御,事中灵活控制,事后全程追踪”的安全架构。同时,在不改变用户操作习惯下,对企业所有涉密文档进行强制自动加密保护,可有效防止电子文档被非法访问。
产品官网:http://www.esafenet.com/html/product/
方案特色:亿赛通数据防泄密解决方案独特的权限动态控制功能,可以更加持久的保护文档的安全。另外,可与AD、LDAP等多种身份认证系统集成,良好的兼容性方便了企业后续的需求升级和应用拓展。同时还具备了双机热备功能,能有效应对可能出现的各种特殊情况。
推荐指数:★★★★★
4、时代亿信文件盾系列
时代亿信 文件盾SecureDOC-M产品(文档安全管理系统)为企业内部的OA、档案、工程建设、经营分析等应用系统构建电子文件安全管控平台,通过完善的应用集成接口,实现企业应用系统中文件创建、存储、传输、流转、使用过程的全方位加密保护、自动授权、细粒度权限控制和审计,有效保护企事业单位核心应用系统中流转的电子文件安全。
产品官网:http://www.eetrust.com/portal/FWS_web/
方案特色:SecureDOC-M文档安全管理系统实现了应用系统流转文档的自动加密、自动授权,以及用户的同步、文档加密、文档授权的接口集成。与Domino、SAP等主流应用软件实现了无缝集成,支持主流OA的Office、WPS在线编辑控件。并提供了文档的操作及授权进行审计。
推荐指数:★★★★☆
5、迈克菲数据丢失防护解决方案
McAfee Total Protection for Data Loss Prevention (DLP) 通过保护敏感数据所在的环境(内部部署、云中或终端上)来保护知识产权并确保合规性。McAfee DLP 通过很少需要维护的设备(物理和虚拟)和 McAfee ePolicy Orchestrator (ePO) 平台提供,实现了简化的部署、管理、更新和报告。
产品官网:http://www.mcafee.com/cn/products/data-protection/data-loss-prevention.aspx
方案特色:迈克菲DLP解决方案独特的非侵入式捕获技术让组织能够更快、更准确地构建和部署 DLP 策略,免除一切臆想或尝试,不会出错。其灵活的文件标记帮助组织基于位置和应用程序类型设置省时策略。数据分类技术可对大量数据分类,因此只会检查并修补相关文件。并且迈克菲DLP解决方案是唯一一款对离开网络出口的所有数据进行记录的 DLP 解决方案,使您能够监控敏感信息的使用情况。使您能够识别和修复现已损坏的业务流程,从而减少日后的泄露风险。
推荐指数:★★★★★
6、赛门铁克数据防泄密解决方案
Symantec Data Loss Prevention 软件是一款全面的内容识别解决方案,可以发现、监控和保护网络、存储和端点系统上的机密数据,无论这些数据在何处存储或使用都是如此。发现在任何位置存储的机密数据,并识别数据所有者,从而轻松清除数据;监控机密数据的使用方式及其去向,从而了解中断的业务流程和高风险用户;保护机密数据:自动执行数据泄露策略,对用户进行数据安全性培训,保护被泄露的数据,及阻止数据泄露;从单个基于 Web 的管理控制台对数据泄露策略、事件补救和风险报告进行管理。
产品官网:http://www.symantec.com/zh/cn/data-loss-prevention
方案特色:赛门铁克数据防泄密解决方案可以帮助企业加深对企业数据泄露风险的了解,同时还可以通过对善意的员工和第三方进行培训,保护其免于意外泄露或丢失机密数据。还能有效防止恶意的内部人员和外部人员窃取宝贵的知识产权。方案还遵守了全球数据隐私法规,例如,U.S. Health Insurance Portability and Accountability Act (HIPAA) 和 European Union Data Protection Directive。
推荐指数:★★★★★
7、RSA数据防泄密解决方案
RSA Data Loss Prevention (DLP)帮助企业发现和监控敏感数据(如客户信用卡数据、员工 PII 或公司知识产权)的位置和流。 通过电子邮件、Web、PC、智能手机等培训终端用户并实施控制措施,防止敏感数据丢失。
产品官网:http://china.emc.com/security/rsa-data-loss-prevention.htm
方案特色:RSA Data Loss Prevention实现了最全面的覆盖,可防止敏感数据通过多种风险媒介丢失,这些媒介包括电子邮件、网络邮件、社交媒体、FTP、Web、Web 2.0、PC、虚拟机、智能手机、Microsoft SharePoint、文件服务器、NAS/SAN、数据库和 USB 设备。同时,RSA Data Loss Prevention拥有准确的分类、平台集成、工作流自动化等特性。
推荐指数:★★★★☆
▲主流数据防泄密产品功能对比(点击看大图)
四、数据防泄密产品选型
近几年来,随着数据防泄密市场的持续火热,很多厂商都加入到这一领域,市场上的防泄密产品五花八门,产品理念也各有不同,作为企业CSO们,这时产品选型成了困扰其的最大难题。在接下来的内容中,我们将给出五位行业专家对于数据防泄密产品选型的建议和想法,希望能对CSO们的产品选型有所帮助。
“企业在规划数据防泄密项目时,选择成熟、稳定及可靠的产品技术是基础,能否为企业提供完整、长远且切实可行的方案,才是最重要的!”亿赛通CEO阮晓迅表示,目前,电信、金融、石化等众多行业开始对数据泄露防护产生了越来越多的需求,这些行业用户对数据泄露防护产品和技术的需求是有很大不同的。对于这些行业用户普遍具有信息化能力强、保密意识及水平较高、信息安全体系建设趋于完善以及法律法规健全等特点,在选择数据泄露防护产品和技术时,更多的是关注业务连续保障能力及持续安全服务能力,可否提供企业级应用及服务支撑能力是高端行业用户的关注重点。
启明星辰DLP产品经理吴鲁加谈到,“简单来说,DLP项目的成败就看DLP项目是否实现了企业预期的目标。通常情况下,我们建议企业先摸清自身的防泄密需求,确立对企业切实可行的目标——这对不同的企业往往是不同的,但都需要考虑下面的要素:对现状的把握:部署DLP系统后,至少需要能够了解全局的保密状况和发展趋势;对漏洞的封锁:通过技术和管理手段,对最敏感的数据资产可能的泄密渠道进行封锁;对事件的追踪:发生安全事件之后,能够通过DLP系统进行追溯,进一步挖掘事件背后的问题。”
迈克菲技术产品经理李明表示,加密解密和权限管理并不属于DLP产品,它们都不具备DLP的核心技术Content Aware。一般而言,加密解密适合机密信息不多,中小规模的企业。这样的企业接触到机密信息的员工不同,也较容易改变使用习惯,如果发生主动泄密行为也比较容易查清;DLP产品适合于中型至大型企业,它的优点是不改变用户使用数据的习惯,能够很好地解决主动泄密问题。带来的挑战是对于IT人员的要求较高,需要进行工作流的设计。企业选择这些产品需要结合自己的实际,包括规模、特点、管理方式、企业文化、预算、目标等等。
明朝万达总裁王志海介绍到,数据防泄漏产品与技术繁多,企业如果选择的产品不合适,失败的风险就很大。选择产品一是要根据企业的业务系统特点来选择,甚至同意企业的不同部门也要选择不同的建设方案;二是要根据企业的管理文化特点来选择,国有企业选择偏向人性化的“软”方案,民企则可以选择强制性的“硬”方案。选型过程中技术特点和管理文化这两点都要重视,否则都可能面临失败。
赛门铁克中国区安全产品总监卜宪录谈到,防止企业数据泄漏,保护企业数据安全是一个系统性的工程,为了更好防止企业数据泄漏,企业应和相关技术提供商根据自身情况采取合适的解决方案。目前市场上数据泄漏防护主要的技术手段有三种:加密、文件权限管理DRM以及数据丢失防护DLP(data loss Prevention)。
企业是否需要同时选择这三种技术手段呢?卜宪录谈到,一般企业都会采取分阶段的建设规划,通常的会先考虑:第一阶段从整个企业的角度选择DLP,对整个企业范围内的敏感信息进行发现、监控和保护;第二阶段:针对某个办公部门一些特定类型的文件进行安全保护选择加密解决方案。DLP技术最大的特点就是面向内容,而不是面向文件,因此基于内容检测的DLP对敏感数据的分布具有更深的洞察力,部署起来也更容易。
