梭子鱼：企业数据泄漏安全防护（DLP）指南

　　近期一系列企业数据受到黑客重创，并成为头条新闻，引发人们深思。痛定思痛之后，如何保护企业重要数据，有没有一个行之有效的方法，将是人们需要重点思考与行动的方向。

　　数据安全的重要性

　　数据泄漏的代价惊人，尤其是当这些数据泄漏关系到我们身边的每个人。2009年，美国加利福利亚大学的研究人员拦截了一个正在活动从事犯罪的僵尸网络(botnet)。仅仅八天，这个僵尸网络就窃取了70 G大小的财务数据，估计其价值达到830万美元。2011年4月，索尼公司披露，网络罪犯们盗窃了索尼 PlayStation Network 和索尼在线娱乐网(Sony Online Entertainment)的用户账户信息，受害用户超过1亿;失窃的数据包括用户信用卡和借记卡号码。专家估计，该次泄露事件将为索尼和信用卡签发方造成10到20亿美元的损失。

　　以下是两组数据：

　　1)国际开放安全基金会 (Open Security Foundation) 的资料显示，2010年一共报告了 451,000 起涉及敏感信息被盗窃、丢失或意外泄露的事件。从2005年到2009年，仅上市公司报告的、因犯罪性数据泄露造成的经济损失就达1390亿美元。不论是犯罪性的还是意外发生的， 数据丢失已成为大问题，它每年造成了上百亿美元的损失。

Figure 1 发生数据窃取的组织类型

　　2) 各类网站和存储设备构成数据记录失窃或意外泄露的主要部分，造成了巨大的经济损失。失窃或被滥用的信息占全部泄露的16%，而丢失的或失窃的备份磁带及其它介质占数据泄露损失记录的3%。另外，网页攻击最普遍且造成的损失最大。这些攻击造成94%的数据被盗用，平均每次失窃给受害组织造成 143,209 美元的损失。还有，它们主要来自 SQL 注入式攻击。通过比较可以看出，恶意代码所造成的平均损失为 124,083 美元，而内部人员每次恶意盗窃造成的平均损失为 100,300 美元。

　　上述两组数据均显示，一旦发生数据泄露事件，将给企业带来巨大的经济损失和难以弥补的灾难性损害。然而，在受访统计的企业中，了解到“企业数据的安全性”并未得到真正意义上的重视，其中，采取了具体的措施来防备数据丢失的企业最多只占25%。更多组织没有有效采取具体措施来防止数据丢失。同时大多数企业依然存在认为传统网络防火墙足以保护数据资产的误区，。事实上，由于网络防火墙无法对应用程序、电子邮件以及其他应用协议进行监测，从而使其成为实施攻击、窃取数据最有效的攻击方向。另外，许多企业将网络运营外包给第三方公司，错误地以为，服务合同中已包含了防止数据丢失的安全性措施。

　　数据泄漏的安全防护

　　数据泄漏防护 (DLP) 提供一系列正规的的数据防护手段，其基础是识别敏感数据并保护其免于失窃或泄露。梭子鱼专业研究团队——梭子鱼实验室的资料显示，从2010 年始，来自这方面威胁情况发生了重大变化。其中，来自电子邮件方面的安全威胁降低了一半，垃圾邮件总量从每月检测到 的520 亿封下降到每月 260 亿封。而利用搜索引擎和社交网站的网络攻击来传染用户电脑的发生率增长了55%。以前用于传播垃圾电子邮件的僵尸网站，被重新设置了功能，用来查找网络应用程序中的漏洞以及用于其它自动攻击。

　　针对这一研究，梭子鱼公司DLP 解决方案增强和综合了防护性能，同时能积极智能识别导致数据泄露的攻击并给予实时阻止。它们还监视特定信息的出站通讯，例如信用卡号码、社保号码、电子邮件地址和其它类型的敏感数据，防止这些信息传入网络。提供安全的访问数据的方式。

　　针对企业数据泄露防护，梭子鱼认为，不仅仅是某一款设备能简单解决的问题，它需要一个综合系统性解决方案，从多维度解决问题，梭子鱼针对上述，提供以下四个方面指南建议：

　　首先，从“网络应用”层面，规避数据泄露风险。梭子鱼web应用程序防火墙(WAF)提供网络应用层 DLP 解决方案，主要用于防止网络数据泄露。网页应用程序引导数据量通过三层网络防火墙，一段安全的应用程序中能在最大程度上防止因用户输入而造成的数据泄露。然而，一个程序中有数千行代码，而代码漏洞往往非常细微，难以识别，所以单纯依赖完善代码来防止数据泄露，本身就存在风险。梭子鱼WAF可对所有 Web 应用程序的输入项进行扫描，搜索可能存在的威胁，例如 SQL 注入、跨站点脚本攻击 (XSS)、OS 命令注入、站点勘察、会话劫持、恶意探测/爬网程序、cookie/会话窜改以及路径遍历。梭子鱼WAF可立即阻止检测到的各类攻击，同时扫描所有的出站数据信息，防止泄漏任何敏感数据— 这是最典型的 DLP 形式。另外，由于梭子鱼WAF具有综合的记录和报告功能，因此攻击一旦发生，将会保留一切证据供分析。

　　其次，从“电子邮件”层面，规避与切断数据泄露途径。梭子鱼反垃圾邮件和病毒防火墙(BSF)可阻止外网传入的、利用电子邮件为网络切入点的恶意软件和间谍软件攻击，同时还能扫描出站电子邮件和附件，以防止敏感数据遭遇恶意(故意)盗窃和意外泄露。梭子鱼BSF还具有电子邮件加密服务，用户可免费加密邮件，防止意外泄露敏感数据。

　　第三，针对“远程用户”层面，多维度防范数据泄露。梭子鱼SSL VPN使远程用户能够对企业内部网络资源进行安全访问。在外公干过程中或在不受保护的客户机上操作的授权客户，才可安全访问和使用网络应用程序、文件和其它内部资源，不会造成敏感数据的泄漏。

　　第四，随着“云”的发展与逐步落地，需要更长远的部署防数据泄露策略，确保数据安全。

　　梭子鱼Web安全网关(BWF)和 梭子鱼web安全云解决方案(BWSF) 是保护终端用户，如台式机，笔记本系统免于成为数据泄漏切入点的两种技术。恶意软件的设计目的是盗窃信息。但是，BWF作为一种工具，BWSF作为一种基于云计算的 SaaS，都能执行双向恶意程序扫描，免受网络中其它受感染系统传入的攻击;同时，对出去的信息进行扫描，以防止因内部系统受到感染或其它途径造成的数据丢失。梭子鱼间谍程序删除工具是 BWF 的一部分，对系统进行分析，并隔离可疑项，删除其上发现的所有间谍软件。

　　结论

　　由于数据泄露的后果通常非常严重，加之网络犯罪越来越趋于自动式扫描攻击，建议各个企业将 DLP 防护设为最高优先级，并给予重视，能够更加系统与专业的处理 DLP的相关问题。梭子鱼公司战略性地将 DLP 特性与以下产品或服务相结合：数据传输过程DLP 的Web 应用程序防火墙和病毒及垃圾邮件防火墙; 数据访问过程DLP的梭子鱼 SSL VPN、梭子鱼Web 安全网关和梭子鱼Web安全云服务;使企业能在整个网络层中开发出一种无缝 式DLP 结构。真正确保数据的安全性。