当前,企业商业机密保护已经是当前企业管理的重要方面,如何保护公司数据安全、防止公司商业机密泄露已经是企业管理人员的重要共识。那么,企事业单位如何保护公司数据安全,防止公司无形资产泄密呢?
一、需求分析
保护敏感数据防止未授权泄露已经成为全球公司关注的一个重大问题。老克所在公司(简称A公司,下同),存在着诸多安全隐患,如 敏感文件存在访问权限管理问题、文件和数据存在内容监控问题、数据库的审计问题(错误原因:数据库审计作为事后审查的依据可记录数据访问行为,但对于防止数据泄漏来说,并不是真正的防泄漏技术)、上网行为管理问题(错误原因:上网行为管理作为员工网络行为的一种监控技术,可以发现网络上的违规行为并根据策略阻断非法网站的外连,但并不是真正意义上的DLP技术,不能和DLP混为一谈)、安全管理制度存在严重漏洞 。这些安全隐患,将给A公司带来很严重的安全问题,有可能带来不可挽回的经济损失。
经分析,造成A公司用户信息泄漏的主要原因为 对邮件内容缺乏有效监管,通过发送电子邮件,容易将敏感数据作为附件发送出去,缺乏USB、移动硬盘、CD……等移动存储介质的有效监管,容易使移动存储介质成为敏感数据的载体,缺少应用层流量及内容监控手段,公司缺少安全规定,内网安全管理有严重漏洞,员工缺乏安全常识,无法实现对终端有针对性的监管 。 A公司的关键数据并不像通常所想象的那么安全,采取常规的安全防御措施也很可能无法阻止数据的泄露。
所以A公司需要一套能够保护企业的关键数据不被有意或无意泄露的解决方案——数据防泄漏(DLP)解决方案。
二、解决思路
数据丢失防护(Data Loss Prevention),又成为“数据泄露防护”(Data leakage prevention, DLP),有时也称为“信息泄漏防御”(Information leakage prevention, ILP)。
数据丢失防护是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。 数据防泄漏(DLP)解决方案(下称DLP解决方案)可以很容易地鉴别员工如何访问互联网会导致数据丢失,因此很多公司开始在网络中部署DLP,通过DLP来指定政策、检测网络流量、准确地检测事件并能够主动阻止不适当的数据传输。在网络中部署了DLP技术后,这些公司就能够立即降低在传输中丢失数据的风险。
DLP可以让你看到哪些数据库、文件服务器、笔记本电脑和台式机装载着敏感数据,当有人通过电子邮件向外发出源代码或者将客户名单复制到USB驱动时,DLP都会及时告知你。并且DLP还可以帮助你执行某些政策来阻止包含机密数据的网络传输以及制止向USB、iPod等驱动复制任何数据,同时能够自动化其他执行行为,如通知发件人、对电子邮件路由加密等,以确保敏感数据没有被暴露在文件系统中。
数据丢失防护解决方案能够帮助CIO和CSO解决以下三个基本问题:
公司的机密信息位于何处?
这个数据是如何被使用的?
该如何较大程度地防止该数据被丢失?
对于回答这三个问题,DLP做了三件基本的工作:(1)深度内容检测;(2)通过终端点、网络和存储系统自动保护敏感数据;(3)事件响应流程以确保员工的正确操作。 根据需求分析和前面介绍,A公司需要部署一套DLP解决方案才能从根本上解决用户信息外泄的安全威胁。 根据前面所述,A公司敏感信息可能会在 文件服务器、Web服务器/站点、协作平台、数据库、员工终端、U盘、SAN/NAS。
三、解决方案
为了解决A公司的问题,应清晰定义哪些类型的信息属于敏感信息;制定数据安全保护策略,对于敏感信息采取加密等保护措施;实时监控网络中通过电子邮件、Web等方式传输的信息,识别并存储对敏感信息的传输行为;采用自动化手段禁止将敏感信息拷贝到移动存储介质上;对涉及数据泄漏的安全事件处理过程留有完整记录;对外出员工的内网访问方式改为SSL VPN方式(错误原因:改变接入方式为SSL VPN对防止数据泄密没有实际意义的帮助,只是减少了接入环节的安全风险)。
在上述解决思路的基础上,遵循 清晰定义哪些类型的信息属于敏感信息;制定数据安全保护策略,对于敏感信息采取加密等保护措施;实时监控网络中通过电子邮件、Web等方式传输的信息,识别并存储对敏感信息的传输行为;采用自动化手段禁止将敏感信息拷贝到移动存储介质上;对涉及数据泄漏的安全事件处理过程留有完整记录;对外出员工的内网访问方式改为SSL VPN方式(错误原因:改变接入方式为SSL VPN对防止数据泄密没有实际意义的帮助,只是减少了接入环节的安全风险) 。
才能实现A公司数据安全防护的整体解决方案。 考虑DLP解决方案部署的实际情况,需要做如下具体措施: 对包含敏感数据的文件进行加密,拦截本地电子邮件,并对邮件进行加密(错误原因:很多用户认为数据防泄漏就是文档、邮件加密,这是认识上的误区,真正的DLP解决方案不一定包含文档加密内容,但不做文档加密,也同样可以达到数据防泄漏的目的)、
精确识别敏感数据内容,并区分其优先次序,定义访问权限,提供告警通知
控制不适当或不必要的数据访问以控制风险,对数据安全违规事件进行审计和报告
监控并分析终端中的敏感数据,制定策略防止和控制未经批准地将数据移离公司
对员工进行再教育,并制作详细的风险评估报告
部署DLP解决方案的真正价值: 能够自动执行政策是体现DLP价值的一个关键因素,它可以赋予你自动路由电子邮件到加密网关的功能,或者转移一个包含敏感数据的并已经被暴露在文件系统的过时的文件,当然,所有这些操作都是基于政策而言的。
DLP有一个较容易被忽视的功能,就是它能够通过对公司或者员工中被认为较易受攻击的因素进行加强防范来降低数据丢失风险。几乎所有数据泄漏事故都涉及到人以及处理信息时他们遵循的或者不遵循的流程。大部分数据泄漏都是由于人为因素造成的,他们无视于政策的存在,或者只是简单地遵循不安全的业务流程。
无论采用哪种方式,DLP都是根据政策来保护数据防止数据丢失的,同时DLP能够实时告知员工他或者她造成的错误行为然后提出纠正的方法,从而避免数据丢失事故的发生。这种现场纠错的功能不仅能够纠正员工的工作方式同样能够对相关人员的行为产生积极的影响。
四、产品选型
所以,对于A公司来说,完整的DLP解决方案应该是终端数据防泄漏。
目前,国内有很多商业机密保护软件、公司数据防泄漏软件。例如有一款“大势至电脑文件防泄密系统”(下载地址:
http://www.grabsun.com/monitorusb.html),通过将本系统部署在公司员工电脑上,就可以禁止U盘、禁用USB存储设备的使用;同时,还可以只让使用指定的U盘、只允许从U盘向电脑复制文件而禁止电脑文件复制到U盘;同时,还可以控制邮件使用,只让使用公司邮箱,禁止登陆员工个人邮箱,只让发送邮件正文禁止发送邮件附件;禁止网盘上传电脑文件、禁止FTP文件上传等。如下图:
同时,本系统还可以禁止电脑安装软件、只让电脑安装某些程序、禁止U盘启动电脑、禁止PE启动电脑、禁止开机按F8进入安全模式等,全面保护电脑文件安全。
此外,本系统还可以实现C/S架构部署,也即在公司一台电脑安装管理端,局域网其他电脑安装客户端,然后远程为局域网电脑设置电脑文件安全防护策略,实现了更为便捷的管理。