科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道数据安全跨越文档透明加密 构建完善DLP数据泄露防护体系

跨越文档透明加密 构建完善DLP数据泄露防护体系

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在当下,数据泄露防护已是信息安全领域的热点,并逐渐成为企业信息安全防护的主流选择,在这样的市场需求下,不少原本只能提供文档透明加密产品的企业纷纷改头换面,对自己的文档加密产品稍加包装后就推出了自己的“DLP解决方案”,那么,这些“DLP”是否就真的可称为DLP呢?

来源:ZDNet安全频道 2012年8月9日

关键字: DLP 数据泄露

  • 评论
  • 分享微博
  • 分享邮件

  随着网络应用的飞速发展、Internet应用的日益广泛,信息安全问题变得尤为突出,传统的信息安全产品的应用局限已不能应对不断增长的安全威胁,针对数据与内容本身的安全防护——DLP(Data Leakage Prevention 数据泄露防护)就是在这种情况下被引入国内的。在当下,数据泄露防护已是信息安全领域的热点,并逐渐成为企业信息安全防护的主流选择,在这样的市场需求下,不少原本只能提供文档透明加密产品的企业纷纷改头换面,对自己的文档加密产品稍加包装后就推出了自己的“DLP解决方案”,那么,这些“DLP”是否就真的可称为DLP呢?

  所谓DLP,是指以内容为核心,通过一定的技术手段,防止企业指定数据或信息资产以违反安全策略规定的形式流出的一整套防护措施。国内最早推出DLP产品的深圳虹安认为,随着技术水平的不断进步以及应对安全威胁的需要,DLP也在不断的发展,目前完整的DLP应该从文档加密、环境隔离、虚拟安全桌面等核心层面,通过应用认证、加密、标签、审计、内核驱动、沙箱、还原、访问控制、应用防火墙等技术手段,对机密文档、U盘外设、外发文件、浏览器应用、笔记本、应用系统等多方面进行控制与保护,是一个体系化的数据安全防护网络。而文档透明加密是一种直接运行在操作系统内核中,支持动态地加密文件,专门针对文档进行保护的加密技术,它只是DLP(数据泄露防护)体系中的一部分。简单来说,文档透明加密和DLP有以下几个方面的不同:

  首先,文档透明加密产品无法对企业机密数据实现全面的安全管理。无论是内部人员有意、无意造成的泄密问题,离线文档丢失问题,还是应用系统内的文件安全问题,透明加密类产品只能做到部分解决,不能真正的为用户提供系统性的、全方位的、立体化的安全保护。随着信息技术的飞速发展,技术手段不断进步,泄密的途径、手段也是越来越多样化。而DLP包括了移动存储介质管理(U盘、移动硬盘等)、外部设备管理、web应用数据安全问题管理、文件外发控制管理、应用系统安全管理、数据备份还原等功能。对QQ、MSN等即时通讯工具、移动存储介质、网页、电子邮件等途径的数据泄密问题,以及OA系统中的数据、打印、截屏、内存注入等数据防泄密问题,DLP不仅仅通过文件透明加密处理,同时结合其他多样化的技术手段,做到全面有效的防数据泄密,真正构建起系统性的、全方位的、立体化的安全体系,实现对企业机密数据全面的安全管理。这些都不是文件透明加密产品所能满足的。

  其次,以文档透明加密为核心的系列产品不符合安全的最小化原则,无法对数据进行有效的密级管理。透明加密是根据配置的策略将所有文档进行加密,而据调查显示:企、事业单位中80%以上文档是不需防护的普通文档,若将文档全部加密,既不符合企业实际操作的需要,又违反了安全范围最小化的原则。而DLP则配合精细的文档权限和文件流转管理,通过对文档数据进行精确密级管理,控制重要部门的机密文档在很小的范围内流通,完全符合安全最小化原则的概念,同时遵从合规化设计,真正做到符合企业实际所需。

  再次,对于源代码之类的流转性不强,但重要程度很高的数据,以及那些大型文件数据,文件操作复杂部门的数据,并不适宜用文档透明加密产品为其提供安全保护,用DLP数据安全域的方式是一个更恰当的选择。DLP通过构建数据安全域,控制和审计各域间的数据流向,结合外设和网络管控,限制数据使用范围,构建安全加密子网以及各子网链接的安全网络,能更好的解决安全要求高,文件大,数量多,文件操作复杂部门的数据安全问题。由于DLP并不是对文件本身进行加密保护,而是对文件的存储环境进行安全保护,因此,对于源代码之类的文件,DLP是比文档透明加密更合适的选择。

  此外,DLP还可以通过构建虚拟安全桌面,从存储、运行和网络三个层次进行隔离,为用户信息建立完备的安全保障体系,在强调终端信息安全性的同时,更注重用户体验和企业管理实情,充分尊重用户的原有使用习惯,确保信息高效且安全的流通。

  文档透明加密类产品本身的局限已难以应对当今不断变化的安全威胁,保障企业核心信息资产安全需要更全面、更专业、更安全的DLP(数据泄露防护),企业对自身核心信息资产安全的保护也必然由普通的文档透明加密产品转向更完善的、更高层次的DLP产品。而随着企业对信息安全威胁防护需求的不断变化,国内DLP产品也逐步的趋向成熟与完善,文件密级管理、移动存储介质管理、外设端口控制、网页信息保护、即时通讯、数据安全域、数据安全隔离等功能共同构建起完善的DLP数据泄露防护体系,为企业提供全方位的信息安全防护。

  从深圳虹安最早在国内推出首款DLP产品开始,目前国内市场上已出现了数十家DLP厂商,与国外Symantec赛门铁克、McaFee迈克菲、Websense、趋势科技相比,大部分还存在着比较大的差距,不少还停留在提供文档透明加密产品的范畴,比较成熟的有虹安的DLP数据泄露防护系统,它从文档安全管理、文件外发控制管理、web数据安全管理、嵌入式安全管理、U盘外设安全管理、数据安全区域、虚拟安全桌面等方面形成了一个完整的数据泄露防护体系,是国内少数能提供完整的数据安全防护解决方案的企业之一,成为国产品牌与国外品牌相抗衡的代表。

  文档透明加密类产品作为数据泄露防护体系中的一个部分,在企业数据安全防护的过程中发挥过重要的作用,但是,随着安全威胁的不断增长,它已不能独立承担企业数据安全保护的重担,要为企业机密数据构建起真正的安全环境,我们需要功能更完善、防护更全面的DLP数据泄露防护体系。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章