gtxyzz

应用数据泄漏(DLP)解决方案实现企业数据保护策略

gtxyzz 安全防护 2023-01-13 349浏览 0

DLP产品目前在中国市场很火,在《中国IT市场分析与预测2007-2011》中,IDC通过对用户投资重点进行调研发现:29.8%的用户会考虑投资数据失泄密管理,DLP在投资重点中居第二位。这意味着越来越多的企业在数据泄露防护方面愿意投入更多的资金,也就是说未来几年内企业对DLP产品的需求会越来越高。

常见的防泄密选择是DLP(数据泄漏保护)、DRM(数字权限保护)、Encryption(加密)和Management(管理)。这些产品是如何实现数据保护的?

数据泄漏保护(DLP)

◆全面评估信息风险,包括网络、端点和存储

◆全面检测数据库、文件、邮件、文字等泄密通道,及时报警或阻止

◆统一制定防泄漏策略

◆遵从SOX等法案法规

◆实施和部署简单,无需更改流程,无需人工参与,可在企业范围应用

◆能够有效的与DRM/加密工具集成使用,使得后者更有效  

最近几年国家颁布了个人信息保护法,以及相关信息安全保护制度,DLP在数据遵从方面的作用也越来越大。而且DLP产品在使用过程中还能与第三方的DRM或加密系统进行集成,从而使企业的保密效果更好。

数字权限保护(DRM)

◆DRM可以决定数据的访问和使用方式,功能强大

◆仅限于特定的文档类型

◆需要与企业应用紧密集成,大量依靠人工参与

◆部署实施十分复杂并难以持续运维

◆仅适用于研发等少数小组   

加密(Encryption)

◆能够阻止没有权限的人非法获取信息,即使丢失也没关系

◆依赖手工进行  

但加密存在的弊端是:密钥的管理很复杂;不能解决无意识泄密和主动泄密;仅适用于笔记本或者少量文件服务器。

管理(Management)

技术不能解决所有的问题,还需要管理制度来实现,对企业来说管理制度必不可少,通过管理制度,才能实现DLP、DRM、Encryption产品的功能。通过管理来协调产品,使其达到很好的效率。使员工意识到自己在数据保护方面应负的责任。

下图是数据保护建议流程:

应用数据泄漏(DLP)解决方案实现企业数据保护策略

从图中可以看出,数据保护的基本流程是:DLP—DRM—加密。DLP是识别整个企业风险,从网络到端点到存储,对企业进行全面的分析和评估。DRM是对企业内部一些部门级别的文档进行保护。比如Office文档。加密主要针对个别部门的机密文档和具有特殊需求的文件进行加密。一般我们会用DLP进行整体的分析,然后进行全面的数据使用监控,大范围的进行控制。再使用DRM和加密对特别文档进行保护,从而实现对企业数据的保护。

我们在实现DLP产品时,首先要熟悉公司内部的数据。首先要弄清楚以下问题:机密数据存放在哪个服务器或数据库上?知道数据存放位置之后,才能对数据进行有效的保护。其次还要考虑机密数据是怎样被使用的?在现实中有很多方式都可能导致数据泄露,比如说通过U盘拷贝、打印等方式,我们需要对这些方式进行一些初步的分析。通过分析,确定哪些方式风险最高,从而使我们能更有效的识别风险。如何防止数据丢失,是通过全方位的数据保护,还是通过特定的方式,比如邮件或邮件服务器来实现?考虑到这三点之后,我们在进行数据防护的时候才能比较合理的部署产品,使其效率达到最高。

赛门铁克针对数据泄漏(DLP)推出了解决方案:Symantec Vontu DLP,下图是Symantec Vontu DLP 的架构图:

应用数据泄漏(DLP)解决方案实现企业数据保护策略

从这个架构我们可以看到,在图中间有个Vontu Enforce 平台,这个平台是由Vontu界面和数据库来实现的,通过登陆Enforce界面,来实现从中央到周围所有模块化的服务器的管理,同时所有的信息都会存放在Enforce数据库中。图中右上角是一个叫Network monitor的服务器,主要是对从企业网关出去的流量进行分析,识别所有从网管出去的内容(如发出去的邮件、ftp等)是否含敏感信息。实现Network monitor很简单,只需要在网关的出口处,将网关流量镜像到安装Network monitor的服务器上就可以了,如果Network monitor出现问题,也不会对企业网络有影响。在右下角有一个Vontu Network Prevent的服务器,Network Prevent可以实时对企业发出的邮件、http流量进行监控,并且它还可以实时阻止以及对相关内容进行修改后再进行发送。也就是说Network Prevent不仅具有Network monitor的所有功能,也能实时对检测到的违规数据进行屏蔽。左下角是一个Vontu Endpoint Discover和Vontu Enforce Prevent,它们在一台服务器上面,称为Vontu Endpoint模块,通过Vontu Endpoint模块来实现对客户端的一些安全策略。在客户端安装Vontu agent,通过 Vontu agent与Vontu Endpoint Server 联动,下载一些相关策略,从而实现客户端的本地操作,如文档打印、USB传输、本地磁盘的读写、离线邮件发送。在客户端上我们可以通过Vontu agent来实现在线和离线的数据防护。左上角是Vontu Network Discover 和Vontu Network Prevent模块,该模块主要针对企业内部存储数据,很多时候我们需要用这个模块对企业内部的文档服务器、数据库服务器以及应用服务器进行过滤扫描,来了解企业内部所有机密文件的存放位置,这样才能对这些数据进行更好的保护。这样从客户端访问的数据就是经过保护的数据,从而能防止用户获得其不该访问的数据,造成泄密。赛门铁克的DLP中包含三大模块:网关(Network monitor和Network Prevent)、终端(Endpoint Discover和Enforce Prevent),以及存储(Network Disc。

在DLP产品中,最关键的是数据防泄密策略,下图详细介绍了DLP策略:

应用数据泄漏(DLP)解决方案实现企业数据保护策略

赛门铁克DLP产品中有三大独特的检测技术:描述内容匹配(DCM)、精确数据匹配(EDM)和 索引文件匹配(IDM )。描述内容匹配主要是对关键字、非索引数据、词典和数据标识、文件大小和类型的匹配。它是比较普遍的检测方式。索引文件匹配主要是扫描文件服务器,如果终端用户发送机密邮件,或者用U盘拷贝,它会对指纹进行匹配。如果用户对机密文件进行了修改,在最后的文档中也会有相似的匹配。精确数据匹配可通过关键字和文件的方式来识别敏感的机密信息。像银行、证券他们的机密信息是客户信息,这些信息一般放在数据库中。那么如何实现对数据库信息的保护?精确数据匹配通过实现对需要保护的数据库的表内扫描,对每个单元格内容进行指纹匹配。当终端用户向外发送机密信息邮件或用U盘拷贝时,就可以检索到。赛门铁克DLP产品通过这三大独特的检测技术实现了对整个数据的防护。

Symantec DLP产品Vontu可以对整个数据丢失威胁进行全面覆盖,包括终端(如U盘、打印机、本地硬盘)、网络(电子邮件、HTTP、FTP)和存储(Web服务器、数据库)。它还通过单一的DLP策略进行全面覆盖,在中央进行策略设定,同时分发给终端、网络和存储,实现统一的管理。

Symantec DLP产品事件响应流程分为两种结构:

fan-out响应架构,即在事件发生后,通过某几个人先对这些事件进行初步的查看,然后将这些事件转到其相关的部门进行查看。fan-in响应架构则是在事件生成后,将事件先路由到相关的事件责任部门进行具体的查看,在相关部门进行审计后,再将事件的信息汇总到事件响应团队来进行最终审核。企业可以根据自己的需求来实施。

DLP产品Vontu如何将剩余风险压缩到最小?

下图对此有详细介绍,图中假设DLP项目为一年,共分为四个阶段,第二阶段是对企业行为的调整、第三阶段是对员工行为的调整:

应用数据泄漏(DLP)解决方案实现企业数据保护策略

从图中可以看到,Vontu并不能把风险压缩到零,也就是说DLP产品不可能将企业的数据泄漏风险降为零,因为在公司内部还需要结合第三方产品来实现,比如终端安全、标准化等方式。

Symantec DLP 成功模型,请见下图。

应用数据泄漏(DLP)解决方案实现企业数据保护策略

继续浏览有关 安全 的文章
发表评论