随着越来越多关于数据泄露的事件被公开,企业已经意识到关键数据保护对企业的重要意义。特别是在一些研究机构和军事保密机关,对出入人员的管控措施十分严格,不仅不能携带具有拍摄功能的工具,也不许随意携带USB移动存储设备。
一些用户抱怨,之所以会有这些安全防护措施,主要是因为重大数据泄露事件不断发生,公司只好使出各种方式保护研发、合同、财务等机密文件。
此时此刻,数据安全到底如何防护?随着数据泄露引发的危机逐步扩大,企业对数据丢失防护(DLP)产品的需求逐渐加大。事实上,无论是硬件防护,还是文档保护(File Protection)、I/O保护(I/O Protection)、局域网保护(LAN Protection)都属于DLP的范畴。这也正好迎合了DLP产品的三种分类:
第一,文档保护(File Protection):通过对文档本身进行安全管控避免资料外泄,例如文档加密等。
第二,I/O保护(I/O Protection):控制输入/输出设备的使用情况,以防止机密文件通过USB等移动存储设备泄露。
第三,局域网保护(Lan Protection):对局域网内运行的各种业务进行管控,通过限制、检测、记录网络内运行的Email、MSN、QQ、http、ftp等业务,防范机密文件透过互联网泄露。
这三种数据安全防护方式到底有何不同? 下面细细道来。
文档保护(File Protection)发展趋势
当前,文档保护主要有两种模式,一种是仅能用来保护文件使用者泄露机密文件的“数字版权管理(Digital Rights Management,DRM)”,另外一种是可以同时防护文件作者与文件使用者的“即时读写加解密”。
1、数字版权管理
无论是前几年较常被市场讨论的数字版权管理(DRM)或企业级数字版权管理(Enterprise Digital Rights Management,E-DRM),皆起源于微软在2004年的大规模炒作。
微软为炒做该市场,除针对终端应用软件与服务器系统推出相对应的产品,如Office IRM(Information Rights Management)与Windows RMS(Rights Management Services)等,鉴于协同工作日趋普及,微软也在其企业产品上,整合上述的DRM功能。
DRM可以防止由于企业员工不慎将受到DRM保护的机密文件转给他人时泄露数据。在打开DRM文件时,必须接入到授权服务器取得授权,才可以打开文件,因此企业无须担心机密文件会因有心人士的不法手段而外泄。
不过,自微软推出RMS以来,仅有微软的Office系统架构在RMS上,其他应用软件厂商并未支持RMS验证机制。
企业如欲将其他应用软件的文件整合至DRM机制中,企业IT管理人员必须通过外挂程序将每一个应用软体(每一个版本)及欲限制的功能整合至DRM中,其工作量十分庞大。事实上,即使做得出来,也可能出现未控制到的安全隐患。
因此,可以简单的认为DRM仅适用于以Microsoft Office与Arobat PDF方式的文档。
另外值得一提的是,DRM技术防范的对象是文档的使用者,而非作者。因此,需要一套可以防止作者故意泄露机密数据的防护工具,在这种状况下,出现所谓的即时读写加解密产品。
2、即时读写加解密产品
由于DRM不适合保护Microsoft Office与Arobat PDF以外的文档,也无法防范文件作者盗取机密资料,因此可在机密文件储存时,自动进行加密、打开时自动解密的“即时读写加解密”技术得到推崇。
“即时读写加解密”的技术实现门槛很高,必须在驱动层(driver layer)设计内核模式驱动程序,直接运行于Windows等操作系统的内核(kernel)中,接管文件系统。
即时读写加解密技术之所以实现上如此复杂,是为了要确保该机制不会造成用户电脑不稳定,甚至破坏文档等情况发生。
通过即时读写加解密产品,企业不需限制储存设备、输入/输出设备、网络、电子邮件以及QQ/MSN等的使用功能,因为文档在储存时,即处于加密状态,即便该文件被泄露出去也无法打开。
另外,有的即时读写加解密产品,会限制保护文件格式的数量。企业IT管理人员可以根据企业实际需求,来选择保护不同类型的文件格式。
I/O保护(I/O Protection)发展趋势
当企业未实施文件加解密保护机制时,可以通过设置I/O设备的方式,防止内部机密文件泄露。由中央控管所有终端计算机的储存及USB移动存储设备、打印机等输入/输出设备,限制这些设备的读写权限;此外,有些产品在用户终端计算机使用者将资料复制到USB移动存储设备或刻录到光盘时,系统会自动进行文件加密等保护措施。
使用上述的I/O保护产品时,必须特别注意该产品是否可以防护到每一种储存设备、输入/输出设备,假若有遗漏,即可能成为企业的安全隐忧。
然而,如今企业提倡人性化管理,通过限制I/O设备读写的方式来防止数据泄露,显得过于严厉。因此,笔者认为所谓的I/O保护产品,只是DLP技术未成熟时的过渡产物,当DLP技术日趋成熟,I/O保护产品必将遭市场淘汰。
局域网保护(Lan Protection)发展趋势
局域网保护类产品与I/O保护产品的概念相似,是通过监测、记录或限制局域网中未加密文档的方式,来实现数据丢失防护。
其中常见的产品一种是针对网络或邮件服务器进行检测;另外一种通过事先分析机密文件的特征,决定机密文件是否可以通过网络、储存设备与输入/输出设备传送。
显而易见,局域网保护类产品仅适用于事后审计,难以做到即时防止机密文件泄密,假若仅是为审计企业关键数据的传播状况,笔者看不出其与IDS产品有何异同。
至此,相信读者已经对如今DLP产品有了大致的了解。随着企业关键数据保护需求的日益增加,以及公安部82号令、萨班斯法案等相关法律法规的不断出台与完善,数据安全的时代已经到来。IT专家网提醒您,在选购DLP产品时要充分了解相关DLP产品的防护机制,考虑企业的实际需求,这样才有助于您打造适合于企业自身的数据丢失保护解决安全。
作者:张帅
来源:51CTO