您好,欢迎访问三七文档
数据防泄密方案大纲数据防泄密背景介绍随着信息技术的飞速发展,计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径。但是,信息系统在提高人们工作效率的同时,也对信息的存储、访问控制及信息系统中的计算机终端及服务器的访问控制提出了安全需求。目前对内外安全的解决方案,还停留在防火墙、入侵检测、网络防病毒等被动防护手段上。在过去的一年中,全球98.2%的计算机用户使用杀毒软件,90.7%设有防火墙,75.1%使用反间谍程序软件,但却有83.7%的用户遭遇过至少一次病毒、蠕虫或者木马的攻击,79.5%遭遇过至少一次间谍程序攻击事件。据国家计算机信息安全测评中心数据显示,由于内部重要机密数据通过网络泄露而造成经济损失的单位中,重要资料被黑客窃取和被内部员工泄露的比例为1:99.这是来自于国家计算机信息安全测评中心的一个数据,据调查显示,互联网接入单位由于内部重要机密通过网络泄密而造成重大损失的事件中,只有1%是被黑客窃取造成的,而97%都是由于内部员工有意或者无意之间泄露而造成的。在这个大的前提下,我们开始今天的话题。一、什么是数据防泄密例一、新华网北京11月21日电(记者南婷、林苗苗)腾讯QQ群数据遭泄露,用户姓名年龄等信息均可“秒查”!QQ是我国公民使用最为广泛的即时通讯工具,此次数据泄露涉及7000多万个QQ群、12亿个部分重复的QQ号。其中的含义不言而喻,这个泄露影响的不仅仅是腾讯自己,这已经涉及到了所有QQ用户的信息安全、财产安全甚至是人身安全。例二、世界最大职业中介网站Monster遭到黑客大规模攻击,黑客窃取在网站注册的数百万求职者个人信息,并进行勒索;程序员程稚瀚四次侵入北京移动充值中心数据库,盗取充值卡密码,获利300多万元。2003年广东联通7名人员,利用内部工号和密码,对欠费停机手机进行充值,使联通损失260万元。2005年12月25日,美国银行披露,2004年12月下旬,丢失了包括1200万信用卡信息的磁带备份.---GartnerResearch;CSI/FBI2005年计算机犯罪和和安全会的相关报告中提到70%的信息系统数据丢失和遭受攻击,都来自于内部。1、数据防泄密简介在信息安全领域,DLP是英文DataLeakPrevention(DLP数据泄露防护系统)的缩写,数据泄密防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外,是目前国际上最主流的信息安全和数据防护手段。数据防泄漏的目的2、数据泄漏的方式从实际情况来看,数据泄露的原因主要有三种:窃密、泄密和失密。结合各种实际情况,数据泄露的主要途径有以下七种:1.国外黑客和间谍窃密:国际国内许多黑客和间谍,通过层出不穷的技术手段,窃取国内各种重要信息,已经成为中国信息安全的巨大威胁。如果放任不管,必将造成无可估量的损失。2.外部竞争对手窃密:企业与企业之间采用多种方式窃取竞争对手机密信息,自古以来都是普遍发生的。如果中国企业不重视自身机密信息的保护,不仅会造成商业竞争的被动,直接损失造成经济损失,甚至会导致整体行业的衰落与灭亡。3.内部人员离职拷贝带走资料泄密:由于中国企业不重视知识产权保护,不重视机密信息安全,所以离职人员在离职前都会大量拷贝带走核心资料。在这些人员再次就业之时,这些被拷贝带走的商业信息,就成为竞争对手打击和挤压原单位的重要武器。4.内部人员无意泄密和恶意泄密:国家单位和企事业单位人员对于信息安全重要性的认识不足,会导致涉密人员在无意中泄密。而部分不良分子,出于对原就业单位的报复,肆意将机密信息公之于众,甚至发布到网上任人浏览。5.内部文档权限失控失密:在内部,往往机密信息会分为秘密、机密和绝密等不同的涉密等级。当前多数单位的涉密信息的权限划分是相当粗放的,很难细分到相应的个人。因此,内部数据和文档在权限管控方面的失控,会导致不具备权限的人员获得涉密信息,或者是低权限的人员获得高涉密信息。6.存储设备丢失和维修失密:移动存储设备例如笔记本电脑、移动硬盘、手机存储卡、数码照相/摄录机等,一旦遗失、维修或者报废后,其存储数据往往暴露无遗。“艳照门事件”就是此类事件的典型。7.对外信息发布失控失密:在两个或者多个合作单位之间,由于信息交互的频繁发生,涉密信息也可能泄露,导致合作方不具备权限的人员获得涉密信息。甚至是涉密信息流出到处于竞争关系的第三方。二、为什么要采取数据防泄密措施数据泄漏愈演愈烈,传统的防火墙、反病毒软件、入侵检测等信息安全防护措施,已难以独立应对。值得庆幸的是,在IT新技术迅速变化的新生态中,当传统安全法则在面临巨大挑战的同时,也为信息安全市场的发展提供了新的机遇:DLP数据泄露防护系统的异军突起。DLP以数据为焦点、风险为驱动,依据数据特点与应用场景,在DLP平台上按需灵活采用敏感内容识别、加密、隔离等不同技术手段,防止敏感数据泄露、扩散。此外,DSM数据加密软件、DSA数据安全隔离等产品也必将获得广泛应用。通常而言,DSM数据加密软件主要用于保护文档类数据,DSA数据安全隔离则多用于保护源代码、图纸等数据,而数据泄露防护(DLP)系统则多为大型、集团用户所青睐区别于传统边界防御转而关注信息安全本质-数据与内容安全的DLP,有助于从根本上实现被动防御向主动防御的积极转变。新形势、新安全,我们需要新的安全理念和相应解决方案来应对新的挑战。1、数据防泄密原理通过身份认证和加密控制以及使用日志的统计对内部文件经行控制。目前,在数据泄漏防护市场里面,国内具备自主知识产权的产品生产厂家为数不多,以上参考虹安信息的DLP数据泄漏防护系统。DLP原理2、终端数据防泄密终端防泄密系统具有硬盘加密、移动存储介质管理、外设管理、协议外发加密和应用程序外发加密等功能,以用户单位内部局域网为边界对敏感数据进行保护,为用户提供数据安全防范措施,减少数据泄密风险。系统同时具有完善的安全审计功能,提供事后追踪手段。硬盘加密提供全盘加密功能,利用加密技术实现对硬盘上存储的数据进行保护。移动存储介质管理提供完善的移动存储设备管理方案,实现对已注册设备、未注册设备进行统一的管理,并通过注册、授权、挂失和注销等手段实现移动存储设备生命周期管理。终端外设管理系统提供对所有的外部设备进行管理。协议外发加密系统提供网络协议外发加密功能,实现通过客户端外发的文件自动透明被加密,从而保证客户端存储数据的安全性。应用程序外发加密系统提供应用程序外发加密功能,实现通过应用程序外发的文件自动透明被加密,从而保证客户端存储数据的安全性。网络管理系统提供客户端网络层管理,通过网络层控制可实现虚拟安全域管理和网络外发白名单功能。数据防泄密需求数据防泄密的七个误区3、现有的数据防泄密方式1、内网管理软件内网管理一般是指对单位内部网络终端的综合管理。内网管理软件主要通过禁止远程屏幕拷贝、远程屏幕监控、全硬盘文件监控和文件监视、上网行为检查和打印监控等网络监控功能(可选组件);具有有禁用USB、禁用光驱、软驱、管理非法外联等阻断管理功能;具有禁用QQ、禁用BT、禁用游戏、远程修改IP、禁止修改IP、通过进程知识库进行木马分析和查杀、自动补丁分发的补丁管理、注册表监控、流量排名和流量报警阻断等运行维护功能。内网管理软件属于早期的初级防泄密手段。从技术上讲,内网管理不可能阻截所有的泄密通道,而且没有对文档和数据进行加密,所以其防泄密程度有限,难以做到真正的数据泄露。因此,内网管理软件更多被视为网络运维管理软件,而作为防泄密方式逐渐被淘汰。2、文档加密软件文件加密主要是指文档加密软件,目前在中国大概有很多家文档加密软件企业。文档加密软件是通过对内网终端的产生和存储的文档进行透明加密或者文档使用权限管理,使终端得到控制,实现文档安全管理。随着技术的发展和用户需求的延伸,不仅要求对内网终端进行管控,还需要从磁盘、端口、服务器、数据库等多方面进行管理。单一的文档加密软件只能对终端进行加密控制,不是一个完整的解决方案,已经不能完全满足用户需求,而是逐渐成为一种标准工具。3、硬件加密硬件加密是通过专用加密芯片或独立的处理芯片等实现密码运算。将加密芯片、专有电子钥匙、硬盘一一对应到一起时,加密芯片将把加密芯片信息、专有钥匙信息、硬盘信息进行对应并做加密运算,同时写入硬盘的主分区表。这时加密芯片、专有电子钥匙、硬盘就绑定在一起,缺少任何一个都将无法使用。经过加密后硬盘如果脱离相应的加密芯片和电子钥匙,在计算机上就无法识别分区,更无法得到任何数据。硬件加密方式往往是对硬盘上的数据进行管控,使用范围相当有限,不是主要的防泄密手段。4、国外数据泄露防护从2006年开始,基于防止外部入侵窃密和内部无意泄密的需求,国际信息安全巨头包括趋势科技、赛门铁克、RSA(EMC)、Websense、麦咖啡等,陆续推出了DLP(数据泄露防护)产品。国外DLP核心技术包括:内容识别分类、输出内容监控、敏感信息阻截、审计、移动设备管理。这些功能对于内部无意间泄密基本上是满足需求的,但是对于外部入侵防护的效果相当有限。国外DLP比较致命的缺陷之一是对内部有意带走资料的行为无法防范。5、国内数据泄露防护由于中国国情的特殊性,防泄密的重点是防止内部泄密,同时也要防外部窃密。因此,基于国内用户的需求,数据泄露防护体系采用分域安全理论,将网络分为终端、端口、磁盘、服务器和局域网五大安全域,并以笔记本电脑、移动存储设备、数据库为安全域特例,针对各个安全域及特例实施相应安全策略,形成终端文档加解密、端口管理、全磁盘加密、文档安全网关、安全U盘、安全移动硬盘等一系列DLP产品,在确保网络各个节点数据安全的基础上,构建整体一致的立体化DLP解决方案。三、数据防护的准则1、数据防泄密的七个误区误区一:防泄密是IT部门的事情数据防泄密工程在现实的情况中,往往都是由IT部门在主导和推动此过程,在讨论业务策略及系统方案实现上,往往最容易被忽视和出问题的正是这个环节,这可能导致产品部署后总是发生问题或者难以匹配业务变化的需求,IT部门和业务部门在过程中都成了受害者。资深信息安全专家认为,数据防泄密项目中业务部门应作为主角充分参与,同时IT部门也应该就方案与业务部门充分商讨评估,双方也要就实施后的业务影响及风险进行二次评估,这样才能确保防泄密风险的处置。误区二:规划部署跟着感觉走目前很多企业都有数据防泄密的需求,但是我们也发现不少已经部署过数据防泄密产品的企业,自始至终都没有制定有效的书面数据防泄密政策和风险管理机制。没有建立数据防泄密政策,工作必然缺乏指引和方向,这也会导致业务部门和IT部门在数据防泄密项目部署时,往往都是跟着感觉走非常被动。部署防泄密产品前,需要清晰的了解数据是如何分级分类的,由谁负责以及如何使用保管,数据资产价值和保护现状如何,如何才能满足数据保护的合规要求,泄密事件的跟踪分析和处理过程,这些都是要在实施前就要充分考虑的问题。对于最终用户来讲,不知道哪些数据是重要的,不同密级的数据该如何执行保护,谁需要对数据安全管理负责,导致用户意识薄弱且执行力差。因此,我们建议企业在实施部署防泄密产品前,应当就上述问题充分调研并就自身特点形成书面的数据保护政策,确保防泄密产品部署的有效性和可执行性。误区三:产品是数据防护的万能良药对于安全管理而言,数据防泄密工作不仅仅需要安全产品来实现,更需要配套的安全管理手段来进行实施指引和规范,安全产品作为辅助管理目标落实的工具会起到重要的作用,但不能完全依赖产品而偏离管理目标。很多时候我们发现客户虽然部署了防泄密产品,实际上防护效果依旧不尽如人意,恰恰因为缺乏总体的数据安全管理政策和持续运维保障机制,使得防护效果未能达到预期效果,也未能完全发挥出产品的最大价值。因此数据防泄密项目管理规划在先,产品落实在后,只有双重手段保障才能体现投资价值的长久回报。误区四:忽视员工保密意教育对于信息安全管理来讲,目前大多数企业都基本达成了如下共识,即人是信息安全管理工作中的最大风险,也是最核心的安全要素之一,而对于人员培训恰恰是很
本文标题:数据防泄密方案
链接地址:https://www.777doc.com/doc-2334529 .html