信息安全防范的头等大事—严防数据泄露

　　慧聪安防网 * 2007年，美国零售巨头TJX公司的网络被入侵。黑客进入了TJX的中心数据库并窃取了大量敏感的客户数据，据统计至少有4570万张信用卡和借记卡的信息被盗。后来，TJX至少花费了2.56亿美元来处理该安全事件。

　　* 2008年，美国负责全国家庭贷款的机构Countrywide的文档被窃。一名员工在超过两年的时间里一共窃取了大约200万份客户记录，并将它们出售给第三方。

　　* 2009年，IDC和EMC的安全子公司RSA联手对大约400位企业主管级官员进行了调查。调查结果显示，这400人在过去的12个月中碰到了大约5.8万起内部风险事件，平均每个企业每年将遇到近150起内部风险事故。

　　以上事实表明，企业的关键数据并不像通常所想象的那么安全，采取常规的安全防御措施也很可能无法阻止数据的泄露。那么，我们该用什么方法保护数据的安全呢?为了保护企业的关键数据不被有意或无意泄露，一种新的安全技术出现了，这就是数据泄露防护(Data Leakage Prevention，DLP)。

　　为保护数据而生

　　DLP也被称为数据泄露预防。它是版权管理的一种变体，且常被企业用来进行更大范围的数据防护。版权管理倾向于将一些文档和文件类型进行打包，以便对其进行保护;而DLP更注重对企业的网关进行保护和监控。

　　DLP技术是通过一定的技术或管理手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。DLP关注的焦点在于，防止敏感信息经电子邮件、文件传输、即时消息、网页发布、便携式存储设备或介质等途径泄露出去。

　　McAfee公司高级系统工程师王昊说：“最早的数据泄露防护概念在2004年出现，这个概念的出现和整个信息安全技术的发展趋势有关，业界普遍的观点认为，信息安全(IT Security)已经从边界安全向内容安全进行延伸，传统的边界安全设备如防火墙，VPN等根本无法对进出互联网的内容(数据)进行识别，同时伴随出现的各种法律法规如塞班斯法案、GLBA、HIPPA等对数据资产(公司专利、财务报告、员工信息、信用卡持卡人信息等)的安全性提出了明确的安全要求，这一系列的因素促使数据泄露防护产品的诞生。”

　　DLP是从数据丢失防护(Data Loss Prevention)概念演变而来。从2005年开始，Gartner针对内容监控、过滤和数据丢失防护的主题进行产品调查。在2007，Gartner将主题更名为数据泄露防护并对产品与技术进行区隔来调查与评比，评比重点放在网络网关防护与主机端点防护二项。

　　Gartner认为，作为一种重要的信息安全控制解决方案，DLP的发展正处于迅猛上升阶段。DLP帮助企业进行异常业务流程的识别和和矫正，监控并阻止突发性敏感数据泄露，同时还提供支持、遵从协议和审计等。

　　大多数信息泄露防护解决方案都提供了一些缺省模板，以便识别常见的敏感信息。企业可以对模板进行定制，以满足其特定的需求。

　　安全你的关键数据

　　DLP能做很多事情，概括起来就是防止数据资产通过所有可能的方式泄漏。具体来说，首先是从公司海量的文件中迅速定位到需要受到保护的数据资产，这种自动发现数据资产的方式包括文件存放路径、包含的关键字、生成文件的应用程序、正则表达式或者文件“指纹”等，被发现的数据资产通过各种行为如USB存储设备、剪贴板、邮件、Web发布、截屏、打印、网络共享、即时消息等多种方式传播到公司外部环境(如员工私人电脑、外部邮箱、私人USB存储设备等)时DLP产品能够实施阻止、监视、存储证据、通知用户、强制加密等多种可选的反应规则，达到防止数据泄漏的目的。

　　趋势科技技术顾问林义轩向记者介绍，DLP的功能主要包括：感知数据并有效防护数据的泄露，对于数据外泄的可能发生要能有相对的智慧，能主动告知使用者与管理者此事件的分级与行为;能在不干扰使用者正常行为的操作下进行传出与写出数据的侦测，对于敏感数据或数据的描述与比对要精确与精准;对事件的追查与日常的管理要便于使用。

　　Websense中国区技术经理陈纲说：“Websense强调针对内容的数据泄露防护。因此DLP至少应能从内容上对敏感数据进行判断，并能从终端和网络两个层面对敏感数据进行检测与分析。能对各类主流的文档格式进行判断与识别，并正确地还原这些文档中的数据，对数据泄露进行监测与防护。”

　　要想在一个复杂的企业网络环境中成功部署好DLP解决方案，并不是一件很容易的事情。这是因为在部署DLP方案的同时必须考虑它与网络中已经部署好了的安全解决方案的共存及相互协作的问题，确保实施的DLP解决方案不能与现有的安全措施相互冲突。还要解决如何将它无缝地集成到现有的网络结构当中去，又不影响企业正常的网络业务的问题。目前已经存在一些成功部署DLP解决方案的最佳做法。

　　这些部署DLP解决方案的最佳做法由5个步骤构成，它们是：部署DLP解决方案的总体策略、指定部署人员、DLP产品选型、部署处理流程和DLP部署检验。这5个步骤之间首尾相连构成一个不断往复的部署过程。

　　第一步：制定部署DLP解决方案的总体策略。总体策略应当包括预期要达到的目标和具体的部署计划，以及如何监督它的实施。在决定部署DLP解决方案之前，企业必须先来了解企业中的哪些数据属于机密数据。企业还必须制定一个评估DLP实施效果的绩效指标，用来确定使用DLP后到底取得了什么样的效果。这个绩效指标可以是实施DLP解决方案后机密数据泄漏事件的月下降率，以及员工违反安全操作的发生率等来评定。

　　同时，企业还应当考虑部署DLP解决方案时可能对现有网络业务和工作方式，以及员工的操作习惯带来的影响，并以此来决定要不要对员工进行培训，以便他们能遵从DLP解决方案的要求。而且，企业还应当考虑部署DLP解决方案是否会牵扯到员工个人隐私的法律问题。

　　企业还应当明确每种机密数据的属主。这样做是很重要的，企业应当将每个员工可以接触到什么样的机密数据做一个具体的了解，并以此建立一个员工与所属机密数据的对应表。这样做有利于明确员工对机密数据的权限范围，以及出现数据丢失事件后明确责任承担人。

　　另外，据一些调查机构统计分析得知，企业中大部分的机密数据都是在一些经常发生违规行为的区域丢失也去的，因此，企业可以按数据丢失的严重程度将企业网络划分出多个保护级别，然后在部署DLP解决方案时，先重点防范数据丢失程度最严重的区域，再由此从高到低的方式按级分别部署。这样能让企业在部署DLP解决方案时有主有次，条理清晰。