应用数据泄漏(DLP)解决方案实现企业数据保护策略

DLP产品目前在中国市场很火,在《中国IT市场分析与预测2007-2011》中,IDC通过对用户投资重点进行调研发现:29.8%的用户会考虑投资数据失泄密管理,DLP在投资重点中居第二位。这意味着越来越多的企业在数据泄露防护方面愿意投入更多的资金,也就是说未来几年内企业对DLP产品的需求会越来越高。

企业建站必须是能够以充分展现企业形象为主要目的,是企业文化与产品对外扩展宣传的重要窗口,一个合格的网站不仅仅能为公司带来巨大的互联网上的收集和信息发布平台,创新互联面向各种领域:成都搅拌罐车成都网站设计营销型网站解决方案、网站设计等建站排名服务。


常见的防泄密选择是DLP(数据泄漏保护)、DRM(数字权限保护)、Encryption(加密)和Management(管理)。这些产品是如何实现数据保护的?

数据泄漏保护(DLP)

◆全面评估信息风险,包括网络、端点和存储

◆全面检测数据库、文件、邮件、文字等泄密通道,及时报警或阻止

◆统一制定防泄漏策略

◆遵从SOX等法案法规

◆实施和部署简单,无需更改流程,无需人工参与,可在企业范围应用

◆能够有效的与DRM/加密工具集成使用,使得后者更有效  

最近几年国家颁布了个人信息保护法,以及相关信息安全保护制度,DLP在数据遵从方面的作用也越来越大。而且DLP产品在使用过程中还能与第三方的DRM或加密系统进行集成,从而使企业的保密效果更好。

数字权限保护(DRM)

◆DRM可以决定数据的访问和使用方式,功能强大

◆仅限于特定的文档类型

◆需要与企业应用紧密集成,大量依靠人工参与

◆部署实施十分复杂并难以持续运维

◆仅适用于研发等少数小组   

加密(Encryption)

◆能够阻止没有权限的人非法获取信息,即使丢失也没关系

◆依赖手工进行  

但加密存在的弊端是:密钥的管理很复杂;不能解决无意识泄密和主动泄密;仅适用于笔记本或者少量文件服务器。

管理(Management)

技术不能解决所有的问题,还需要管理制度来实现,对企业来说管理制度必不可少,通过管理制度,才能实现DLP、DRM、Encryption产品的功能。通过管理来协调产品,使其达到很好的效率。使员工意识到自己在数据保护方面应负的责任。

下图是数据保护建议流程:

从图中可以看出,数据保护的基本流程是:DLP—DRM—加密。DLP是识别整个企业风险,从网络到端点到存储,对企业进行全面的分析和评估。DRM是对企业内部一些部门级别的文档进行保护。比如Office文档。加密主要针对个别部门的机密文档和具有特殊需求的文件进行加密。一般我们会用DLP进行整体的分析,然后进行全面的数据使用监控,大范围的进行控制。再使用DRM和加密对特别文档进行保护,从而实现对企业数据的保护。

我们在实现DLP产品时,首先要熟悉公司内部的数据。首先要弄清楚以下问题:机密数据存放在哪个服务器或数据库上?知道数据存放位置之后,才能对数据进行有效的保护。其次还要考虑机密数据是怎样被使用的?在现实中有很多方式都可能导致数据泄露,比如说通过U盘拷贝、打印等方式,我们需要对这些方式进行一些初步的分析。通过分析,确定哪些方式风险最高,从而使我们能更有效的识别风险。如何防止数据丢失,是通过全方位的数据保护,还是通过特定的方式,比如邮件或邮件服务器来实现?考虑到这三点之后,我们在进行数据防护的时候才能比较合理的部署产品,使其效率达到最高。

赛门铁克针对数据泄漏(DLP)推出了解决方案:Symantec Vontu DLP,下图是Symantec Vontu DLP 的架构图:

从这个架构我们可以看到,在图中间有个Vontu Enforce 平台,这个平台是由Vontu界面和数据库来实现的,通过登陆Enforce界面,来实现从中央到周围所有模块化的服务器的管理,同时所有的信息都会存放在Enforce数据库中。图中右上角是一个叫Network monitor的服务器,主要是对从企业网关出去的流量进行分析,识别所有从网管出去的内容(如发出去的邮件、ftp等)是否含敏感信息。实现Network monitor很简单,只需要在网关的出口处,将网关流量镜像到安装Network monitor的服务器上就可以了,如果Network monitor出现问题,也不会对企业网络有影响。在右下角有一个Vontu Network Prevent的服务器,Network Prevent可以实时对企业发出的邮件、http流量进行监控,并且它还可以实时阻止以及对相关内容进行修改后再进行发送。也就是说Network Prevent不仅具有Network monitor的所有功能,也能实时对检测到的违规数据进行屏蔽。左下角是一个Vontu Endpoint Discover和Vontu Enforce Prevent,它们在一台服务器上面,称为Vontu Endpoint模块,通过Vontu  Endpoint模块来实现对客户端的一些安全策略。在客户端安装Vontu agent,通过 Vontu agent与Vontu Endpoint Server 联动,下载一些相关策略,从而实现客户端的本地操作,如文档打印、USB传输、本地磁盘的读写、离线邮件发送。在客户端上我们可以通过Vontu agent来实现在线和离线的数据防护。左上角是Vontu Network Discover 和Vontu Network Prevent模块,该模块主要针对企业内部存储数据,很多时候我们需要用这个模块对企业内部的文档服务器、数据库服务器以及应用服务器进行过滤扫描,来了解企业内部所有机密文件的存放位置,这样才能对这些数据进行更好的保护。这样从客户端访问的数据就是经过保护的数据,从而能防止用户获得其不该访问的数据,造成泄密。赛门铁克的DLP中包含三大模块:网关(Network monitor和Network Prevent)、终端(Endpoint Discover和Enforce Prevent),以及存储(Network Disc。

在DLP产品中,最关键的是数据防泄密策略,下图详细介绍了DLP策略:

赛门铁克DLP产品中有三大独特的检测技术:描述内容匹配(DCM)、精确数据匹配(EDM)和 索引文件匹配(IDM )。描述内容匹配主要是对关键字、非索引数据、词典和数据标识、文件大小和类型的匹配。它是比较普遍的检测方式。索引文件匹配主要是扫描文件服务器,如果终端用户发送机密邮件,或者用U盘拷贝,它会对指纹进行匹配。如果用户对机密文件进行了修改,在最后的文档中也会有相似的匹配。精确数据匹配可通过关键字和文件的方式来识别敏感的机密信息。像银行、证券他们的机密信息是客户信息,这些信息一般放在数据库中。那么如何实现对数据库信息的保护?精确数据匹配通过实现对需要保护的数据库的表内扫描,对每个单元格内容进行指纹匹配。当终端用户向外发送机密信息邮件或用U盘拷贝时,就可以检索到。赛门铁克DLP产品通过这三大独特的检测技术实现了对整个数据的防护。

Symantec DLP产品Vontu可以对整个数据丢失威胁进行全面覆盖,包括终端(如U盘、打印机、本地硬盘)、网络(电子邮件、HTTP、FTP)和存储(Web服务器、数据库)。它还通过单一的DLP策略进行全面覆盖,在中央进行策略设定,同时分发给终端、网络和存储,实现统一的管理。

Symantec DLP产品事件响应流程分为两种结构:

fan-out响应架构,即在事件发生后,通过某几个人先对这些事件进行初步的查看,然后将这些事件转到其相关的部门进行查看。fan-in响应架构则是在事件生成后,将事件先路由到相关的事件责任部门进行具体的查看,在相关部门进行审计后,再将事件的信息汇总到事件响应团队来进行最终审核。企业可以根据自己的需求来实施。

DLP产品Vontu如何将剩余风险压缩到最小?

下图对此有详细介绍,图中假设DLP项目为一年,共分为四个阶段,第二阶段是对企业行为的调整、第三阶段是对员工行为的调整:

从图中可以看到,Vontu并不能把风险压缩到零,也就是说DLP产品不可能将企业的数据泄漏风险降为零,因为在公司内部还需要结合第三方产品来实现,比如终端安全、标准化等方式。

Symantec DLP 成功模型,请见下图。

本文名称:应用数据泄漏(DLP)解决方案实现企业数据保护策略
文章分享:http://www.mswzjz.com/qtweb/news18/177468.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联