安全头等大事—防数据泄露
2009-09-10 网界网
* 2007年,美国零售巨头TJX公司的网络被入侵。黑客进入了TJX的中心数据库并窃取了大量敏感的客户数据,据统计至少有4570万张信用卡和借记卡的信息被盗。后来,TJX至少花费了2.56亿美元来处理该安全事件。
* 2008年,美国负责全国家庭贷款的机构Countrywide的文档被窃。一名员工在超过两年的时间里一共窃取了大约200万份客户记录,并将它们出售给第三方。
* 2009年,IDC和EMC的安全子公司RSA联手对大约400位企业主管级官员进行了调查。调查结果显示,这400人在过去的12个月中碰到了大约5.8万起内部风险事件,平均每个企业每年将遇到近150起内部风险事故。
以上事实表明,企业的关键数据并不像通常所想象的那么安全,采取常规的安全防御措施也很可能无法阻止数据的泄露。那么,我们该用什么方法保护数据的安全呢?为了保护企业的关键数据不被有意或无意泄露,一种新的安全技术出现了,这就是数据泄露防护(Data Leakage Prevention,DLP)。
为保护数据而生
DLP也被称为数据泄露预防。它是版权管理的一种变体,且常被企业用来进行更大范围的数据防护。版权管理倾向于将一些文档和文件类型进行打包,以便对其进行保护;而DLP更注重对企业的网关进行保护和监控。
DLP技术是通过一定的技术或管理手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。DLP关注的焦点在于,防止敏感信息经电子邮件、文件传输、即时消息、网页发布、便携式存储设备或介质等途径泄露出去。
McAfee公司高级系统工程师王昊说:“最早的数据泄露防护概念在2004年出现,这个概念的出现和整个信息安全技术的发展趋势有关,业界普遍的观点认为,信息安全(IT Security)已经从边界安全向内容安全进行延伸,传统的边界安全设备如防火墙,VPN等根本无法对进出互联网的内容(数据)进行识别,同时伴随出现的各种法律法规如塞班斯法案、GLBA、HIPPA等对数据资产(公司专利、财务报告、员工信息、信用卡持卡人信息等)的安全性提出了明确的安全要求,这一系列的因素促使数据泄露防护产品的诞生。”
DLP是从数据丢失防护(Data Loss Prevention)概念演变而来。从2005年开始,Gartner针对内容监控、过滤和数据丢失防护的主题进行产品调查。在2007,Gartner将主题更名为数据泄露防护并对产品与技术进行区隔来调查与评比,评比重点放在网络网关防护与主机端点防护二项。
Gartner认为,作为一种重要的信息安全控制解决方案,DLP的发展正处于迅猛上升阶段。DLP帮助企业进行异常业务流程的识别和和矫正,监控并阻止突发性敏感数据泄露,同时还提供支持、遵从协议和审计等。
大多数信息泄露防护解决方案都提供了一些缺省模板,以便识别常见的敏感信息。企业可以对模板进行定制,以满足其特定的需求。
安全你的关键数据
DLP能做很多事情,概括起来就是防止数据资产通过所有可能的方式泄漏。具体来说,首先是从公司海量的文件中迅速定位到需要受到保护的数据资产,这种自动发现数据资产的方式包括文件存放路径、包含的关键字、生成文件的应用程序、正则表达式或者文件“指纹”等,被发现的数据资产通过各种行为如USB存储设备、剪贴板、邮件、Web发布、截屏、打印、网络共享、即时消息等多种方式传播到公司外部环境(如员工私人电脑、外部邮箱、私人USB存储设备等)时DLP产品能够实施阻止、监视、存储证据、通知用户、强制加密等多种可选的反应规则,达到防止数据泄漏的目的。
趋势科技技术顾问林义轩向记者介绍,DLP的功能主要包括:感知数据并有效防护数据的泄露,对于数据外泄的可能发生要能有相对的智慧,能主动告知使用者与管理者此事件的分级与行为;能在不干扰使用者正常行为的操作下进行传出与写出数据的侦测,对于敏感数据或数据的描述与比对要精确与精准;对事件的追查与日常的管理要便于使用。
Websense中国区技术经理陈纲说:“Websense强调针对内容的数据泄露防护。因此DLP至少应能从内容上对敏感数据进行判断,并能从终端和网络两个层面对敏感数据进行检测与分析。能对各类主流的文档格式进行判断与识别,并正确地还原这些文档中的数据,对数据泄露进行监测与防护。”
要想在一个复杂的企业网络环境中成功部署好DLP解决方案,并不是一件很容易的事情。这是因为在部署DLP方案的同时必须考虑它与网络中已经部署好了的安全解决方案的共存及相互协作的问题,确保实施的DLP解决方案不能与现有的安全措施相互冲突。还要解决如何将它无缝地集成到现有的网络结构当中去,又不影响企业正常的网络业务的问题。目前已经存在一些成功部署DLP解决方案的最佳做法。
这些部署DLP解决方案的最佳做法由5个步骤构成,它们是:部署DLP解决方案的总体策略、指定部署人员、DLP产品选型、部署处理流程和DLP部署检验。这5个步骤之间首尾相连构成一个不断往复的部署过程。
第一步:制定部署DLP解决方案的总体策略。总体策略应当包括预期要达到的目标和具体的部署计划,以及如何监督它的实施。在决定部署DLP解决方案之前,企业必须先来了解企业中的哪些数据属于机密数据。企业还必须制定一个评估DLP实施效果的绩效指标,用来确定使用DLP后到底取得了什么样的效果。这个绩效指标可以是实施DLP解决方案后机密数据泄漏事件的月下降率,以及员工违反安全操作的发生率等来评定。
同时,企业还应当考虑部署DLP解决方案时可能对现有网络业务和工作方式,以及员工的操作习惯带来的影响,并以此来决定要不要对员工进行培训,以便他们能遵从DLP解决方案的要求。而且,企业还应当考虑部署DLP解决方案是否会牵扯到员工个人隐私的法律问题。
企业还应当明确每种机密数据的属主。这样做是很重要的,企业应当将每个员工可以接触到什么样的机密数据做一个具体的了解,并以此建立一个员工与所属机密数据的对应表。这样做有利于明确员工对机密数据的权限范围,以及出现数据丢失事件后明确责任承担人。
另外,据一些调查机构统计分析得知,企业中大部分的机密数据都是在一些经常发生违规行为的区域丢失也去的,因此,企业可以按数据丢失的严重程度将企业网络划分出多个保护级别,然后在部署DLP解决方案时,先重点防范数据丢失程度最严重的区域,再由此从高到低的方式按级分别部署。这样能让企业在部署DLP解决方案时有主有次,条理清晰。
第二步:为部署需安排人员和明确责任。DLP解决方案的总体策略制定好以后,接下来就是为实施此策略配备相关的人员、给他们分配好角色和明确人员具体承担的责任。这些人员将是部署DLP解决方案的规划、设计和实施的执行主体。
第三步:DLP产品选择。DLP产品按适用范围来分有两种主要类型:基于主机的DLP和基于网络的DLP。最好的DLP部署方式就是综合使用基于主机型DLP软件和基于网络的DLP产品,这样才能够对企业网络中的所有需要的位置都能进行防范。
第四步:DLP解决方案的具体部署处理流程。在部署DLP解决方案之前,企业应当已经建立一个可以用来正确部署DLP解决方案的业务处理流程。这个流程中规范了部署时应该按什么步骤、方式来进行,什么人负责什么位置,以及事件的管理、调试、报告机制和系统操作等各个方面。还应当规范人员、物质和设备的管理、保管和使用及调配,以及相互之间如何协作和上下交流等各个方面。但有一条,DLP解决方案的具体部署处理流程应当尽量精简和规范化。
企业往往需要模块化部署DLP数据保护解决方案。这种部署方式能够将企业所有的DLP部署面分割成几个模块来一步步地实现,能够将部署DLP时对业务的影响降到最低,也让DLP部署更加清晰明了,能够让人掌握部署的进度,发现问题并及时解决。
另外,在部署DLP解决方案之前,为了能够让方案实施人员了解企业当前的网络结构及DLP产品应用的具体位置和对象,我们有必要为此先绘制一个企业部署DLP解决方案的网络拓扑图。
还有,在部署DLP解决方案之时,企业还要确保实施的DLP解决方案完全遵从当地的数据保护法规和员工的隐私保护条例。任何违反这些法规的操作都必需严格禁止,以防止以后出现不必要的麻烦。
同时,在部署DLP解决方案时,应当根据进度,对已经实施了DLP解决方案的区域进行相应的检验,以确定部署部署DLP解决方案后能达到什么样的效果,以及还有什么需要调整和改进的。但这样的分步检验不能影响总的项目完成进度。
第五步:检验DLP解决方案的部署效果。当完成DLP解决方案的具体部署工作后,虽然在部署的过程中可能对某个段的部署结果进行的检测,但是,这样的检测并不能了解到整体的部署效果。因此,在完成DLP解决方案的部署后,还应当检测整个DLP 解决方案的部署效果。
可以通过向企业外部发送非受权的机密数据的方式来检验网络型DLP产品的监控和控制效果,以及通过在主机上应用非授权U盘地设备复制数据来检测主机型DLP软件对可移动设备在主机上的控制能力等等。至于具体的检测方式和检测的细粒度,可以由企业自己来自行决定。当然是越细越好,越严格越好。
在这里,需要明确的一点是:DLP解决方案的部署是一个长期的过程,它应当与数据的整个生命周期相对应,并不是一次部署以后就不需要去管理和维护了。因此,企业在部署完DLP解决方案后,还应当不断地检验它的执行效果,然后根据检测结果来调整DLP策略,以便它在数据整个生命周期中的各个阶段都有能到企业的要求。
术业有专攻
一些安全产品,例如:端点安全产品、上网行为管理产品也能实现一些防数据泄露的功能,澄清它们和DLP方案的区别将有助于用户选择适合自己的产品。
陈纲认为,端点(终端)安全产品的数据泄露防护功能往往采用设备管控等手段,而做不到对内容的控制。以U盘的使用为例,端点安全产品通过限制使用U盘来进行,而DLP产品能做到如果往U盘拷贝敏感数据则被禁止,拷贝其他非敏感数据则允许。这就像是有拍照功能的手机,虽然能起到一定的拍照作用,但与真正的相机相比还是有差距的。XX补充了一些看法。他说:“端点安全管理产品主要针对客户端的应用程序及外围管控进行管理与限制停用,但较缺乏弹性,而DLP不但拥有端点安全产品所有的功能,更可对外传的信息进行管理并限制,相较于传统的端点安全管理产品更可在不影响使用者行为与操作的情况下,对所传出的数据进行搜集与记录/阻拦。”
DLP厂商通常可以提供主机(端点)DLP产品和网关DLP产品两种解决方案,两者是互补的关系,网关DLP产品对于通过Web、邮件或者即时消息方式的数据泄露能够实时反应,但对于通过USB存储设备、抓屏、打印等方式的实时数据泄露防护,必须要通过主机DLP方式实现。据王昊介绍,网关DLP的优势在于处理图形文件的防护,通过网关的人工智能分析能够有效地防止更改过的任何图形文件泄露;主机DLP的优势在于对加密的数据文件也能够有效防护。
和上网行为管理产品相对比,DLP方案的功能明显强大许多。
上网行为管理产品可以阻止简单的基于关键字的数据外泄,但它如何实现对上传的某个Word文档中是否包含某些敏感内容来进行判断和阻断呢?这明显是上网行为管理产品做不到的。
上网行为管理产品可以防止一些简单的数据外泄,比如阻断Web或者即时消息传送的文件,但是这种防护的手段是非常粗放的,只能针对文件的后缀名、文件名等,会造成大量的误报,如果更改文件名或者后缀即可绕过上网行为管理产品的控制,因此对于数据泄露防护还是需要专业的产品。专业的DLP产品从设计之初就已经考虑了各种数据泄露的途径,包括Web、打印机、USB存储设备、邮件和即时消息等,实现了真正的数据外泄防护。
DLP方案在审计方面也与传统安全审计产品有很大区别。林义轩说:“传统安全审计产品主要是依据使用者的操作方式来进行审计的动作,而对DLP来说数据才是所要保护的重点。不论数据是以档案方式存在还是一小段数据的片段,都存在可能造成泄密的风险,因此主要审计的动作是对数据的内容本身进行检查后放行与审计。”
王昊说:“DLP也包括一些审计功能,不过DLP的审计与安全审计产品有所区别。”与其他安全审计产品一样,DLP产品必须保证审计的完整性,比如被审计的安全事件的发生时间、地点、身份识别、证据的完整性等,但DLP的安全审计只会关注与数据资产安全事件相关的证据,通过设置相应的策略,任何数据泄露的事件都会触发DLP产品的安全审计功能,把数据泄露事件发生的时间、地点、用户身份、证据、触发规则等全部集中存放,为事后审计提供完整的证据链。
融合让DLP变得更好
在国内市场上,存在两种DLP解决方案。一种DLP解决方案以信息分类为基础,结合外设及网络协议控制、信息过滤等技术来防止敏感数据泄露,其代表厂商大多是国外安全厂商,例如McAfee、趋势科技、Websense、RSA等。这类;另一种解决方案由国内安全厂商提供,以文档透明加密和权限管理为核心,结合了文档备份、文档外发控制、网络边界控制、终端管理等功能。这一类以北京亿赛通为代表。
鉴于国内用户的信息化状况和数据防泄露的需求特点,国外DLP解决方案需要集成加密功能。但是国外DLP厂商不具备在国内销售密码产品的资质,这是一个让国外DLP厂商无法跨越的门槛。对国外DLP厂商而言,最好的办法就是与国内DLP厂商合作,将产品互相集成,连接成为一个完整的DLP产品线,才能满足国内用户的需求。