数据安全:企业最宝贵的资产保护
在当今数字化的商业环境中,数据无疑是公司最重要的资产,同时也是最需要精心保护的部分。数据是企业运营的命脉,维持着整个神经系统的活力。为了帮助企业防范数据泄露的风险,一个专业的行业应运而生,其核心技术便是数据丢失防护 (Data Loss Prevention, 简称 DLP)。
DLP 技术的核心功能在于两点:
- 识别需要保护的敏感数据。
- 阻止此类数据的丢失。
这些需要保护的数据通常可以划分为三大类:
- 使用中的数据:指正在被积极使用的数据,通常位于计算机的 RAM、高速缓存或 CPU 寄存器中。
- 传输中的数据:指在网络中传输的数据,网络可以是安全的内部网络,也可能是像互联网这样的公共网络。
- 静态数据:指处于非活动状态,存储在数据库、文件系统或存储设备中的数据。
就覆盖范围而言,DLP 解决方案主要分为两大类型:
- 企业级 DLP (Enterprise DLP, EDLP)
- 集成式 DLP (Integrated DLP, IDLP)
EDLP 解决方案旨在覆盖所有可能的泄露途径,提供全面的保护。 而 IDLP 解决方案则更专注于特定的协议或特定的数据类型,例如网络安全、电子邮件加密或设备控制。
如何选择优秀的 DLP 解决方案?
选择 DLP 解决方案并非一蹴而就,没有通用的“最佳”方案。合适的解决方案需要根据企业的具体情况进行定制,包括企业的规模、预算、敏感数据的类型、网络基础设施以及技术需求等。因此,在做出选择之前,企业需要认真研究和分析自身的需求,并在 DLP 方法、检测技术和解决方案架构之间找到最佳平衡。
理想的 DLP 解决方案应具备以下关键特性:
- 全面覆盖:能够监控所有出站流量,阻止通过电子邮件和 Web/FTP 传输的数据泄露,并保护所有存储资源和端点的数据。
- 集中管理控制台:通过统一的管理界面,简化系统配置、策略创建、报表生成、事件管理和风险检测等操作。
- 合规的事件管理:能够有效处理数据泄露事件,降低因事件处理不当而造成的罚款和损失。
- 准确的检测方法:采用多种检测技术,避免仅依赖模式匹配而产生大量的误报。
DLP 的主要方法
最初,DLP 解决方案通过一套组件来覆盖整个企业的基础设施。 但如今,各种供应商采用的方法已经各不相同,主要可以分为两大类:
- 传统 DLP
- 代理 DLP
传统 DLP 方案,如 Forcepoint、McAfee 和 Symantec 等供应商提供的方案,通常采用多管齐下的方法,在网络网关、存储基础设施、端点和云环境中提供保护。 这种方法在早期 DLP 市场中占据了主导地位,并对今天的 DLP 市场格局产生了深远的影响。
代理 DLP 方案,也称为端点 DLP 解决方案,则采用内核级的端点代理来监控所有用户和系统的活动。 这种方法通过深入的活动监控来实现更精细的数据保护。
选择哪种方法取决于企业需要保护的数据类型、所在行业以及合规性要求。 例如,医疗保健和金融行业的企业需要使用 DLP 来满足合规性要求,因此需要能够跨不同渠道检测个人和健康信息的解决方案。而对于那些需要保护知识产权的企业,则需要更专业的检测手段。
DLP 架构:应对复杂性
DLP 技术非常复杂,需要整合网络、电子邮件、数据库、安全等多个领域的知识。 而且,DLP 解决方案的影响范围可能超出 IT 领域,涉及到法律、人力资源、风险管理等部门。此外,DLP 解决方案通常部署、配置和管理都较为复杂。
传统的 DLP 解决方案往往需要多种设备和软件来构建完整的解决方案,包括物理或虚拟设备和服务器。 这些设备需要与企业的网络架构进行集成,涉及到出站流量检查、电子邮件阻止等操作。集成的复杂性增加了管理的难度。
代理 DLP 解决方案通常不像传统解决方案那样复杂,因为它们几乎不需要或根本不需要网络集成。 然而,由于这些解决方案在内核级别与操作系统进行交互,需要进行仔细的调整,以避免与操作系统和其他应用程序发生冲突。
DLP 供应商概览
Acronis DeviceLock
Acronis DeviceLock 通过保护敏感数据来提供全面的端点解决方案,并在检查信息操作的同时防止未经授权的数据传输或访问。 它可以深入了解数据保护、数据流和用户行为,同时降低数据保护的复杂性和报告时间。 您还可以利用中央管理控制台来监控用户活动,收集日志,并使用报告工具。 该产品还提供对 Microsft RDS、Citrix XenApp、Citrix XenDesktop、 VMware 工作站播放器 等虚拟环境的控制。
ManageEngine
ManageEngine Device Control Plus 通过允许您分配基于角色的访问控制、保护设备免受恶意软件攻击以及分析设备,来保护您的数据。 它通过设置只读访问权限、阻止用户从可移动设备复制文件等简单策略来阻止对设备的未授权访问,并且可以根据您业务处理的数据设置对文件类型和文件大小的限制。该解决方案还提供了用于跟踪设备使用情况的报告和审核功能。
Digital Guardian
Digital Guardian 起源于 2003 年的 Verdasys,专注于提供防止知识产权盗窃的技术。 除了监控非法活动外,该解决方案还记录明显的良性活动,以检测可疑行为。 该公司还收购了 Code Green Networks,以用传统的 DLP 工具补充其 ADLP 解决方案,但两者之间没有高度集成。
Forcepoint
Forcepoint 的安全平台包括用于 URL 过滤、电子邮件和网络安全的产品。 它与其他一些知名解决方案相辅相成,例如 SureView Insider Threat Technology、McAfee 的 Stonesoft NGFW 和 Imperva 的 Skyfence CASB。Forcepoint 解决方案的架构相对简单,易于使用,并提供了按国家、行业等分类的策略。 该解决方案还具有一些独特的功能,例如 OCR 功能和事件风险排名。
McAfee
在被英特尔收购后,McAfee 对其 DLP 产品没有进行太多投资,但之后重新成为独立公司,并进行了一些更新。 McAfee DLP 解决方案主要分为三个部分:网络、发现和端点。其独特的 McAfee DLP Monitor 组件可以捕获违反策略的事件数据和所有网络流量,用于审查分析。 McAfee 的 ePolicy Orchestrator 负责 DLP 解决方案的大部分管理工作。
赛门铁克
赛门铁克 是 DLP 领域的领导者,其产品组合包括 Network Prevent for Web、Network Prevent for Email、Network Monitor、Endpoint Prevent、Data Insight、Endpoint Discover 等组件。 特别是其 Data Insight 组件,提供了对非结构化数据使用情况、所有权和访问权限的可见性,具有很强的定制化能力,但同时也带来了更高的复杂性。
RSA
RSA 数据丢失防护 允许您发现和监控敏感数据的流动,如公司 IP、客户信用卡等。 它通过提供全面的覆盖范围、平台集成和工作流自动化而脱颖而出,并采用内容分类、指纹识别、元数据分析等多种技术来识别敏感信息。 RSA 的覆盖范围不仅包括常见的电子邮件、Web 和 FTP,还包括社交媒体、USB 设备、SharePoint 等。
CA 数据保护
CA 数据保护(Broadcom 的 DLP 产品)除了使用中的数据、传输中的数据和静态数据外,还增加了第四类需要保护的数据:访问中的数据。 该解决方案的重点在于数据的位置、处理方式和敏感度级别,旨在通过控制信息和访问权限来减少数据丢失和滥用。
DLP:节约成本还是造成损失?
好的 DLP 解决方案可以帮助企业节省大量的资金。但如果选择不当或部署不当,也可能造成严重的损失。因此,企业需要认真分析自身的需求,并选择最适合的解决方案。同时,部署和实施 DLP 解决方案也需要投入时间和精力,才能真正发挥其价值。