首页 > 信息安全 > 正文

数据防泄密:加密、审计一个都不能少

2012-08-07 15:43:47  来源:通信世界网

摘要:从2002年起,国内就出现了以防止敏感信息泄露为目的的防水墙系统,数据防泄密领域先后发展了主机监控与审计、桌面管理、终端安全、补丁管理、移动存储介质管理......
关键词: 数据安全 审计

    最近几年,随着越来越多的运营商、银行内部人员窃取倒卖用户隐私的事件被曝光,数据防泄密已经成为很多企业关注的问题。企业的CIO都知道数据防泄密很重要,但问题的重点在于,很多情况下,企业对信息泄密的事件往往无法做到事前预防及事后的追溯。


    从2002年起,国内就出现了以防止敏感信息泄露为目的的防水墙系统,数据防泄密领域先后发展了主机监控与审计、桌面管理、终端安全、补丁管理、移动存储介质管理、终端准入等安全管理手段。目前这类手段就如同IDS、防火墙、杀毒软件一样,从网络边界、系统安全、设备管控的角度来保证内部信息不受外部的入侵、更多的是用堵的方式来堆砌高墙,把需要保护的信息给围起来。


    然而随着互联网的快速发展,这种方式已经很难适应企业的业务模式,这面高墙已经千疮百孔。那么真正有效的解决方案是什么?我们先分析一下企业的业务行为

\


    从图中,我们可以看到信息的产生、存储、流转直至销毁,基本都运转存储在业务系统、邮件服务器、文件服务器、移动设备和终端上。


    对于业务系统、文件服务器、移动介质上的数据安全,目前市场上已经有比较成熟的主机审计系统、邮件网关、移动介质管理系统、准入控制系统来对应解决。但是当数据从业务系统中下载下来、从文件服务器中拷贝出来放到终端的时候,就失去了严格的审计和安全防护。在终端上,用户具有了对数据的完全操作权限,用户可以随意的拷贝、外发、打印。特别是对于移动终端,即使有了桌面管理系统,也无法完全做到终端离线后在外网的行为管控。并且从业务需求来看,也没有理由因为终端存在10个重要的文档而去阻止另外1000个文档都不能外发和拷贝,所以数据防泄密的问题难点,还是纠结在如何能平衡好安全性和易用性。


    基于新的安全需求,国外首先提出了DLP(数据防泄密)的概念,并且有了一些相对成熟的终端DLP产品,通过定义敏感词的方式,首先发现企业所关心的重要文档在哪里,并且审计用户都是怎么使用这些数据,有没有拷贝,有没有打印,有没有通过IM软件外发等等。通过直观的视图来分析企业的数据安全风险在哪里,用户有没有可疑的泄密行为,并且做到及时的阻断和报警。


    但是对于移动设备来说,这种方式还存在一个弊端――无法解决设备丢失带来的泄密问题。这时就需要配合加密手段,对重要的数据事先做到加密保护。两者是相辅相成的。


    加密是强制性的保护手段,在高机密范围内使用,需要事先找到机密的文档,但用户往往缺乏相应的技术手段发现机密在哪里。DLP终端是审计类的产品,能够帮助用户找到机密文档在哪里,并且监督这些机密的文档是否都被加密保护了。


    目前同时拥有加密和审计两种防护产品的厂商,国外有赛门铁克,国内则是启明星辰。从审计角度来说,启明星辰的天榕DLP(数据防泄密)更了解国内的应用,对QQ外发、中文分词做的更好。赛门铁克DLP(数据防泄密)的功能更丰富些。从加密的技术上来看,两者存在着本质的不同,赛门铁克是磁盘加密,只满足用户主动加密保护。天榕加密是文件透明加密,满足系统强制加密和用户主动加密两种方式。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:liangxuejuan

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。