《数据防泄密方案》由会员分享,可在线阅读,更多相关《数据防泄密方案(14页珍藏版)》请在金锄头文库上搜索。
1、数据防泄密方案大纲数据防泄密背景介绍随着信息技术的飞速发展,计算机和网络已成为日常办公、 通讯 交流和协作互动的必备工具和途径。但是,信息系统在提高人们工作 效率的同时,也对信息的存储、访问控制及信息系统中的计算机终端 及服务器的访问控制提出了安全需求。目前对内外安全的解决方案, 还停留在防火墙、入侵检测、网络防病毒等被动防护手段上。在过去 的一年中,全球98.2%的计算机用户使用杀毒软件,90.7%设有防火 墙,75.1%使用反间谍程序软件,但却有 83.7%的用户遭遇过至少一 次病毒、蠕虫或者木马的攻击,79.5%遭遇过至少一次间谍程序攻击 事件。据国家计算机信息安全测评中心数据显示,由于
2、内部重要机密数据通过网络泄露而造成经济损失的单位中, 重要资料被黑客窃取和 被内部员工泄露的比例为1: 99.这是来自于国家计算机信息安全测 评中心的一个数据,据调查显示,互联网接入单位由于内部重要机密 通过网络泄密而造成重大损失的事件中,只有1%是被黑客窃取造成的,而97%都是由于内部员工有意或者无意之间泄露而造成的。在这个大的前提下,我们开始今天的话题。一、什么是数据防泄密例一、新华网北京11月21日电(记者南婷、林苗苗)腾讯 QQ 群数据遭泄露,用户姓名年龄等信息均可“秒查” QQ是我国公民使用 最为广泛的即时通讯工具,此次数据泄露涉及7000多万个QQ群、12亿个部分重复的QQ号。其中
3、的含义不言而喻,这个泄露影响的不 仅仅是腾讯自己,这已经涉及到了所有 QQ用户的信息安全、财产安 全甚至是人身安全。例二、世界最大职业中介网站Monster遭到黑客大规模攻击,黑 客窃取在网站注册的数百万求职者个人信息,并进行勒索;程序员程稚瀚四次侵入北京移动充值中心数据库,盗取充值卡密码,获利300多万元。2003年广东联通7名人员,利用内部工号和密码,对欠费 停机手机进行充值,使联通损失 260万元。2005年12月25日,美 国银行披露,2004年12月下旬,丢失了包括1200万信用卡信息的磁 带备份.-Gartner Research CSI/FBI 2005年计算机犯罪和和安全会的
4、相关报告中提到70%的信息系统数据丢失和遭受攻击,都来自于内部。1、数据防泄密简介在信息安全领域,DLP是英文 Data LeakPrevention( DLP数据泄 露防护系统)的缩写,数据泄密防护(DLP是通过一定的技术手段,防 止企业的指定数据或信息资产以违反安全策略规定的形式流出企业 的一种策略。DLP这一概念来源于国外,是目前国际上最主流的信息 安全和数据防护手段。安全落实安全 评俞弔雪韋般* 昉霜丟然;就少FS失Jl k 士 ffV 士 kJL-奁厚安全工IF3閒隹文化申介安全状况寧壬宓全知总苣 71R4 云=尸山工_L亡二 PH( S-j8C3hh题与人员胡 芒土暂i:里技朮和人
5、数据防泄漏的目的2、数据泄漏的方式从实际情况来看,数据泄露的原因主要有三种:窃密、泄密和失 密。结合各种实际情况,数据泄露的主要途径有以下七种:1. 国外黑客和间谍窃密:国际国内许多黑客和间谍,通过层出 不穷的技术手段,窃取国内各种重要信息,已经成为中国信息安全的 巨大威胁。如果放任不管,必将造成无可估量的损失。2. 外部竞争对手窃密:企业与企业之间采用多种方式窃取竞争对手机密信息,自古以来都是普遍发生的。如果中国企业不重视自身 机密信息的保护,不仅会造成商业竞争的被动,直接损失造成经济损 失,甚至会导致整体行业的衰落与灭亡。3. 内部人员离职拷贝带走资料泄密:由于中国企业不重视知识 产权保护
6、,不重视机密信息安全,所以离职人员在离职前都会大量拷 贝带走核心资料。在这些人员再次就业之时,这些被拷贝带走的商业 信息,就成为竞争对手打击和挤压原单位的重要武器。4. 内部人员无意泄密和恶意泄密:国家单位和企事业单位人员 对于信息安全重要性的认识不足, 会导致涉密人员在无意中泄密。而 部分不良分子,出于对原就业单位的报复,肆意将机密信息公之于众, 甚至发布到网上任人浏览。5. 内部文档权限失控失密:在内部,往往机密信息会分为秘密、 机密和绝密等不同的涉密等级。当前多数单位的涉密信息的权限划分 是相当粗放的,很难细分到相应的个人。因此,内部数据和文档在权 限管控方面的失控,会导致不具备权限的人
7、员获得涉密信息, 或者是 低权限的人员获得高涉密信息。6. 存储设备丢失和维修失密:移动存储设备例如笔记本电脑、移动硬盘、手机存储卡、数码照相/摄录机等,一旦遗失、维修或者 报废后,其存储数据往往暴露无遗。艳照门事件”就是此类事件的典型。7. 对外信息发布失控失密:在两个或者多个合作单位之间,由 于信息交互的频繁发生,涉密信息也可能泄露,导致合作方不具备权 限的人员获得涉密信息。甚至是涉密信息流出到处于竞争关系的第三 方。二、为什么要采取数据防泄密措施数据泄漏愈演愈烈,传统的防火墙、反病毒软件、入侵检测等信息安全防护措施,已难以独立应对。值得庆幸的是,在IT新技术迅速变化的新生态中,当传统安全
8、法则在面临巨大挑战的同时, 也为信 息安全市场的发展提供了新的机遇:DLP数据泄露防护系统的异军突 起。DLP以数据为焦点、风险为驱动,依据数据特点与应用场景,在 DLP平台上按需灵活米用敏感内容识别、 加密、隔离等不同技术手段, 防止敏感数据泄露、扩散。此外,DSM数据加密软件、DSA数据安全隔离等产品也必将获得 广泛应用。通常而言,DSM数据加密软件主要用于保护文档类数据, DSA数据安全隔离则多用于保护源代码、图纸等数据,而数据泄露防 护(DLP系统则多为大型、集团用户所青睐区别于传统边界防御转而关注信息安全本质 -数据与内容安全的 DLP,有助于从根本上实现被动防御向主动防御的积极转变
9、。新形势、 新安全,我们需要新的安全理念和相应解决方案来应对新的挑战。1、数据防泄密原理通过身份认证和加密控制以及使用日志的统计对内部文件经行 控制。目前,在数据泄漏防护市场里面,国内具备自主知识产权的产 品生产厂家为数不多,以上参考虹安信息的 DLP数据泄漏防护系统。DLP原理2、终端数据防泄密终端防泄密系统具有硬盘加密、移动存储介质管理、外设管理、协议外发加密和应用程序外发加密等功能, 以用户单位内部局域网为 边界对敏感数据进行保护,为用户提供数据安全防范措施,减少数据 泄密风险。系统同时具有完善的安全审计功能,提供事后追踪手段。硬盘加密提供全盘加密功能,利用加密技术实现对硬盘上存储 的数
10、据进行保护。移动存储介质管理提供完善的移动存储设备管理方案,实现对 已注册设备、未注册设备进行统一的管理,并通过注册、授权、挂失 和注销等手段实现移动存储设备生命周期管理。终端外设管理 系统提供对所有的外部设备进行管理。协议外发加密系统提供网络协议外发加密功能,实现通过客户 端外发的文件自动透明被加密,从而保证客户端存储数据的安全性。应用程序外发加密 系统提供应用程序外发加密功能,实现通过应用程序外发的文件自动透明被加密,从而保证客户端存储数据的安 全性。网络管理系统提供客户端网络层管理,通过网络层控制可实现 虚拟安全域管理和网络外发白名单功能。r2备钮还原DLP据泄露防护平台U盘安全置理外设
11、管理数据防泄密需求数据防泄密的七个误区3、现有的数据防泄密方式1、内网管理软件内网管理一般是指对单位内部网络终端的综合管理。内网管理软件主要通过禁止远程屏幕拷贝、远程屏幕监控、全硬盘文件监控和文 件监视、上网行为检查和打印监控等网络监控功能(可选组件);具有有禁用USB禁用光驱、软驱、管理非法外联等阻断管理功能;具 有禁用QQ、禁用BT、禁用游戏、远程修改IP、禁止修改IP、通过进 程知识库进行木马分析和查杀、自动补丁分发的补丁管理、注册表监 控、流量排名和流量报警阻断等运行维护功能。内网管理软件属于早期的初级防泄密手段。 从技术上讲,内网管 理不可能阻截所有的泄密通道,而且没有对文档和数据进
12、行加密, 所 以其防泄密程度有限,难以做到真正的数据泄露。因此,内网管理软 件更多被视为网络运维管理软件,而作为防泄密方式逐渐被淘汰。2、文档加密软件文件加密主要是指文档加密软件,目前在中国大概有很多家文档 加密软件企业。文档加密软件是通过对内网终端的产生和存储的文档 进行透明加密或者文档使用权限管理, 使终端得到控制,实现文档安 全管理。随着技术的发展和用户需求的延伸,不仅要求对内网终端进行管 控,还需要从磁盘、端口、服务器、数据库等多方面进行管理。单一 的文档加密软件只能对终端进行加密控制, 不是一个完整的解决方案, 已经不能完全满足用户需求,而是逐渐成为一种标准工具。3、硬件加密硬件加密
13、是通过专用加密芯片或独立的处理芯片等实现密码运 算。将加密芯片、专有电子钥匙、硬盘一一对应到一起时,加密芯片 将把加密芯片信息、专有钥匙信息、硬盘信息进行对应并做加密运算, 同时写入硬盘的主分区表。这时加密芯片、专有电子钥匙、硬盘就绑 定在一起,缺少任何一个都将无法使用。经过加密后硬盘如果脱离相 应的加密芯片和电子钥匙,在计算机上就无法识别分区,更无法得到 任何数据。硬件加密方式往往是对硬盘上的数据进行管控,使用范围相当有 限,不是主要的防泄密手段。4、国外数据泄露防护从2006年开始,基于防止外部入侵窃密和内部无意泄密的需求, 国际信息安全巨头包括趋势科技、赛门铁克、RS(EMC)、Webs
14、ense 麦咖啡等,陆续推出了 DLP(数据泄露防护、产品。国外 DLP核心技 术包括:内容识别分类、输出内容监控、敏感信息阻截、审计、移动 设备管理。这些功能对于内部无意间泄密基本上是满足需求的,但是对于外部入侵防护的效果相当有限。国外DLP比较致命的缺陷之一是 对内部有意带走资料的行为无法防范。5、国内数据泄露防护由于中国国情的特殊性,防泄密的重点是防止内部泄密,同时也 要防外部窃密。因此,基于国内用户的需求,数据泄露防护体系采用 分域安全理论,将网络分为终端、端口、磁盘、服务器和局域网五大 安全域,并以笔记本电脑、移动存储设备、数据库为安全域特例,针 对各个安全域及特例实施相应安全策略,
15、 形成终端文档加解密、端口管理、全磁盘加密、文档安全网关、安全U盘、安全移动硬盘等一系 列DLP产品,在确保网络各个节点数据安全的基础上, 构建整体一致 的立体化DLP解决方案。三、数据防护的准则1、数据防泄密的七个误区误区一:防泄密是IT部门的事情数据防泄密工程在现实的情况中,往往都是由IT部门在主导和推动此过程,在讨论业务策略及系统方案实现上, 往往最容易被忽视 和出问题的正是这个环节,这可能导致产品部署后总是发生问题或者 难以匹配业务变化的需求,IT部门和业务部门在过程中都成了受害者。 资深信息安全专家认为,数据防泄密项目中业务部门应作为主角充分 参与,同时IT部门也应该就方案与业务部门充分商讨评估,双方也 要就实施后的业务影响及风险进行二次评估, 这样才能确保防泄密风 险的处置。误区二:规划部署跟着感觉走目前很多企业都有数据防泄密的需求, 但是我们也发现不少已经 部署过数据防泄密产品的企业,自始至终都没有制定有效的书面数据 防泄密政策和风险管理机制。没有建立数据防泄密政策,工作必然缺 乏指引和方向,这也会导致业务部门和 IT部门在数据防泄密项目部 署时,往往都是跟着感觉走非常被动。部署防泄密产品前,需要清晰 的了解数据是如何分级分类的,由谁负责以及如何使用保管,数据资 产价值和保护现状如何,如何才能满足
