随着越來越多關于資料洩露的事件被公開,企業已經意識到關鍵資料保護對企業的重要意義。特别是在一些研究機構和軍事保密機關,對出入人員的管控措施十分嚴格,不僅不能攜帶具有拍攝功能的工具,也不許随意攜帶usb移動儲存設備。
一些使用者抱怨,之是以會有這些安全防護措施,主要是因為重大資料洩露事件不斷發生,公司隻好使出各種方式保護研發、合同、财務等機密檔案。
此時此刻,資料安全到底如何防護?随着資料洩露引發的危機逐漸擴大,企業對資料丢失防護(dlp)産品的需求逐漸加大。事實上,無論是硬體防護,還是文檔保護(file protection)、i/o保護(i/o protection)、區域網路保護(lan protection)都屬于dlp的範疇。這也正好迎合了dlp産品的三種分類:
第一,文檔保護(file protection):通過對文檔本身進行安全管控避免資料外洩,例如文檔加密等。
第二,i/o保護(i/o protection):控制輸入/輸出裝置的使用情況,以防止機密檔案通過usb等移動儲存設備洩露。
第三,區域網路保護(lan protection):對區域網路内運作的各種業務進行管控,通過限制、檢測、記錄網絡内運作的email、msn、qq、http、ftp等業務,防範機密檔案透過網際網路洩露。
這三種資料安全防護方式到底有何不同? 下面細細道來。
文檔保護(file protection)發展趨勢
目前,文檔保護主要有兩種模式,一種是僅能用來保護檔案使用者洩露機密檔案的“數字版權管理(digital rights management,drm)”,另外一種是可以同時防護檔案作者與檔案使用者的“即時讀寫加解密”。
1、數字版權管理
無論是前幾年較常被市場讨論的數字版權管理(drm)或企業級數字版權管理(enterprise digital rights management,e-drm),皆起源于微軟在2004年的大規模炒作。
微軟為炒做該市場,除針對終端應用軟體與伺服器系統推出相對應的産品,如office irm(information rights management)與windows rms(rights management services)等,鑒于協同工作日趨普及,微軟也在其企業産品上,整合上述的drm功能。
drm可以防止由于企業員工不慎将受到drm保護的機密檔案轉給他人時洩露資料。在打開drm檔案時,必須接入到授權伺服器取得授權,才可以打開檔案,是以企業無須擔心機密檔案會因有心人士的不法手段而外洩。
不過,自微軟推出rms以來,僅有微軟的office系統架構在rms上,其他應用軟體廠商并未支援rms驗證機制。
企業如欲将其他應用軟體的檔案整合至drm機制中,企業it管理人員必須通過外挂程式将每一個應用軟體(每一個版本)及欲限制的功能整合至drm中,其工作量十分龐大。事實上,即使做得出來,也可能出現未控制到的安全隐患。
是以,可以簡單的認為drm僅适用于以microsoft office與arobat pdf方式的文檔。
另外值得一提的是,drm技術防範的對象是文檔的使用者,而非作者。是以,需要一套可以防止作者故意洩露機密資料的防護工具,在這種狀況下,出現所謂的即時讀寫加解密産品。
2、即時讀寫加解密産品
由于drm不适合保護microsoft office與arobat pdf以外的文檔,也無法防範檔案作者盜取機密資料,是以可在機密檔案儲存時,自動進行加密、打開時自動解密的“即時讀寫加解密”技術得到推崇。
“即時讀寫加解密”的技術實作門檻很高,必須在驅動層(driver layer)設計核心模式驅動程式,直接運作于windows等作業系統的核心(kernel)中,接管檔案系統。
即時讀寫加解密技術之是以實作上如此複雜,是為了要確定該機制不會造成使用者電腦不穩定,甚至破壞文檔等情況發生。
通過即時讀寫加解密産品,企業不需限制儲存裝置、輸入/輸出裝置、網絡、電子郵件以及qq/msn等的使用功能,因為文檔在儲存時,即處于加密狀态,即便該檔案被洩露出去也無法打開。
另外,有的即時讀寫加解密産品,會限制保護檔案格式的數量。企業it管理人員可以根據企業實際需求,來選擇保護不同類型的檔案格式。
i/o保護(i/o protection)發展趨勢
當企業未實施檔案加解密保護機制時,可以通過設定i/o裝置的方式,防止内部機密檔案洩露。由中央控管所有終端計算機的儲存及usb移動儲存設備、列印機等輸入/輸出裝置,限制這些裝置的讀寫權限;此外,有些産品在使用者終端計算機使用者将資料複制到usb移動儲存設備或刻錄到CD光牒時,系統會自動進行檔案加密等保護措施。
使用上述的i/o保護産品時,必須特别注意該産品是否可以防護到每一種儲存裝置、輸入/輸出裝置,假若有遺漏,即可能成為企業的安全隐憂。
然而,如今企業提倡人性化管理,通過限制i/o裝置讀寫的方式來防止資料洩露,顯得過于嚴厲。是以,筆者認為所謂的i/o保護産品,隻是dlp技術未成熟時的過渡産物,當dlp技術日趨成熟,i/o保護産品必将遭市場淘汰。
區域網路保護(lan protection)發展趨勢
區域網路保護類産品與i/o保護産品的概念相似,是通過監測、記錄或限制區域網路中未加密文檔的方式,來實作資料丢失防護。
其中常見的産品一種是針對網絡或郵件伺服器進行檢測;另外一種通過事先分析機密檔案的特征,決定機密檔案是否可以通過網絡、儲存裝置與輸入/輸出裝置傳送。
顯而易見,區域網路保護類産品僅适用于事後審計,難以做到即時防止機密檔案洩密,假若僅是為審計企業關鍵資料的傳播狀況,筆者看不出其與ids産品有何異同。
至此,相信讀者已經對如今dlp産品有了大緻的了解。随着企業關鍵資料保護需求的日益增加,以及公安部82号令、薩班斯法案等相關法律法規的不斷出台與完善,資料安全的時代已經到來。it專家網提醒您,在選購dlp産品時要充分了解相關dlp産品的防護機制,考慮企業的實際需求,這樣才有助于您打造适合于企業自身的資料丢失保護解決安全。
作者:張帥
來源:51cto
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)