• 总部联系方式    

    总部电话:021-51212121

    总部传真:021-51212480(自动)/021-51212481(人工)

    服务热线:400-628-6280

    邮箱:support@huagai.com

    地址:上海市闸北区江场西路299弄中铁中环时代广场4号楼4层

    邮编:200436

    路线图:

  • 抵御数字“黑洞”——DLP数据防泄漏浅析 浏览次数:6911 次   浏览时间:2017/7/26 2:40:38
  •  “信息”无疑已经成为越来越多企业的核心资产。研发资料、客户信息、商业策划、专利技术,这些企业商业机密已不再存放于纸张等传统介质上和保险箱中,而是成为一个个二进制数据,在网络中快速流动。相比于实物,数据信息的不可见和流动性使传统的物理防护手段无能为力,数据防泄漏技术应运而生。

        “数据防泄漏”通常简称为DLP,该缩写来源其英文名称Data Loss Prevention,或是Data Leak Prevention,但不论何种称呼,其本质均是指通过采用各种手段,预防或阻止企业敏感信息外泄。

    一、当前数据泄漏的安全形势

        从互联网诞生和企业信息化之初,关于数据安全的讨论便已开始。但在当前,相对于企业传统的、孤岛式的信息系统,信息化的持续深入以及新技术的快速发展,数据泄漏带来的安全风险又有了新的变化。

     1、数据集中化加剧了信息泄漏时的严重性:以云计算为代表的新技术正在不断推动企业数据的集中与整合,但数据在集中的同时,也意味着风险的集中。一旦数据保护的最后一道防线被攻破,黑客在短时间内即可获取大量的、集中存放的敏感信息,加剧了信息泄漏时后果的严重性。

    2、网络泛在化使信息泄漏的途径大幅增加:随着智能终端与无线网络的普及,BYOD被越来越多的企业所采用,网络接入终端已经从不易移动的办公电脑扩展到可随身携带的智能手机、平板电脑。BYOD在提高信息获取便利性的同时,也增加了信息的泄漏途径。

    3、攻击趋利化使高价值信息的目标性愈发明显:以APT攻击(Advanced Persistent Threat,高级持续性威胁)为代表,当前越来越多的黑客攻击,其实质是依靠网络技术实施经济犯罪。高价值信息往往成为明确的攻击目标,例如企业客户资料、价格信息、专利技术等。

    二、常见数据泄漏途径

        按照发生数据泄漏时的主观原因进行分类,通常可以划分为窃密、泄密和失密。窃密主要指外部人员,如间谍、黑客、竞争对手等通过非法手段恶意窃取信息数据。泄密和失密则是由于内部人员出于主观有意或无意中造成信息泄漏。这是目前三种主要的信息泄漏方式,也是DLP重点的防护目标。

        从发生数据泄漏的具体途径来看。典型的几种方式包括:
    1、 外部恶意网络攻击;
    2、 人员流动造成资料泄密;
    3、 内部人员无意或恶意泄密;
    4、 内部文件权限设置失当;
    5、 存储设备丢失或维修失密。

        从根本上来说,数据泄漏均是由于技术或管理层面相关措施的缺失而引起的。这些缺失,如同企业安全防护体系的中的“黑洞”,随时可能吞噬企业的商业秘密和敏感信息。

    三、典型数据防泄漏技术

        数据防泄漏的根本目标是要保护企业的机密信息不被非法存储、使用和传输。因此,根据当前主要的数据泄漏途径,主流DLP产品和方案通常从终端、网络、服务器/存储三个维度进行防护。但在具体采用的技术上,又有多种技术,这些不同的技术方案各有所长。

    1、 基于内容的DLP
        这种技术是企业用户预先定义安全策略,确定需要保护的具体内容、存储位置等,之后进行深度内容扫描,建立所需要保护的机密信息样本库,类似于文件的指纹库。对结构化数据和非结构化数据而言,这个过程是不同的。结构化数据,如数据库中的表,一般通过精确匹配的方式从中抽取相应字段生成标签,而非结构化数据,如Word文档、PPT等,则通过文档扫描建立索引文件。

        安全策略定义完成后,通过在终端、网络出口部署扫描和控制设备,可以实时发现包含机密信息在内的文件的相关操作,例如复制、上传、U盘拷贝、邮件发送等,依照预先定义的安全策略进行拦截和告警,从而避免数据泄漏。

        基于内容的DLP技术优点在于部署简单、保护对象和保护范围广,是当前市场上的热点技术。但其缺点在于算法复杂,并且需要较高的性能以支持深度内容扫描。其中的一些核心技术,如自然语言处理、内容识别、数据挖据等是当前DLP厂商的攻关重点。

    2、 数字权限管理DRM
         DRM即Digital Right Management,它通过对文件设置许可权限,确保只有合法权限的用户可以进行阅读、修改等操作。DRM系统通常由服务器端和客户端组成,服务器端维护着信任实体数据库,包括用户/用户组及相应权限。文档作者或所有者确认相关用户的执行权限,之后发布文档。读者在执行相应操作时,例如读取、拷贝等,需要通过客户端登录至服务器端进行认证,确认是可信任对象后方可执行操作。

        DRM的优点是操作直观,用户、权限设置易于理解。但其缺点在于改变了传统的使用习惯,需要增加授权、认证环节,如果企业规模庞大,权限管理将是一项非常复杂的工作。同时,也难以避免文档原作者的泄密。

    3、 文件加密技术
        对需要保护的文件进行加密,这是最简单也是最常见的技术手段。提供加密功能的软件很多,从采用对称加密算法的简单工具到基于对称与非对称加密算法相结合的大型加密软件,如PGP,用户可以选择的工具很多。但这种基于加密的文件保护技术最大的问题在于密钥管理技术,同时,解密后的文件也失去了保护措施,因此,仅限于小范围的单个文件的防护。

         以上所介绍的三种技术各有一定的优缺点。从发展趋势来看,基于内容的DLP技术由于部署简单,覆盖范围广,更适合在整个组织范围内部署,因此得到了越来越多客户的认可,逐渐成为一种主流技术。

    四、大数据带来新的安全防护思路

        基于内容的DLP,其中一项核心技术是自然语言分析技术,该技术通过机器学习,能够在网络传输过程中精确识别出各种敏感数据,及时切断传输通道,从而避免数据外泄。但这种DLP技术,仅仅实现了“事中”的阻断,无法实现“事前”的防范。近年来兴起的大数据分析技术,为我们提供了新的安全思路,数据泄漏的“事前”防范将成为可能。

        如同宇宙中的黑洞一样,虽然黑洞无法直接观测,然而聪明的人类通过测量它对周围天体的作用和影响等蛛丝马迹来间接观测或推测它的存在。对于网络中各种可能引起数据泄漏的“黑洞”,大数据技术能够通过收集全网海量的安全威胁信息,依靠预制模型及机器学习,对各种信息进行聚类、关联分析,从中发现异常行为或恶意数据,在攻击发生早期便可识别并及时发出预警信息,进而及时调整安全策略,避免数据泄漏的发生。一旦这种技术得到应用,将极大的改变当前的安全防护思路和效果,实现从“事中”到“事前”的协同防御,从而帮助企业更有效的对敏感信息进行保护。

        在我们为新技术带来的曙光所鼓舞的同时,我们也应该认识到,世界上并没有绝对的安全,对各种数据防泄漏方案应当有适当的预期,依靠一朝一夕的建设是无法迅速实现安全目标的。在企业日常运作过程中,结合技术和管理手段,通过不断审视和改进,逐步完善企业信息安全环境,持续增强自身“免疫力”,方是企业数据安全的长久之道。

上一篇:细说LTE EPS网络架构及面临的安全及 下一篇:实实在在,不玩虚的——Hillstone