数据泄露防护（DLP）分域安全简述_信息安全_基础信息化_1536.docVIP

数据泄露防护（DLP）分域安全简述_信息安全_基础信息化 ??? 目前，数据防泄露是信息安全的热点问题。随着网络应用的飞速发展、Internet应用的日益广泛，信息安全问题变得尤为突出。建立完善的数据泄露防护体系、保护核心资源，已迫在眉睫。鉴于目前内部局域网的现状，可以针对数据存储层和数据传输层进行加密，结合文档和数据生命周期，对内部网络分为终端、端口、磁盘、服务器、局域网四大区域，并针对数据库、移动存储设备、笔记本电脑等特例，统一架构，分别防护，实现分域安全。 ??? 一、数据泄露的主要威胁　 ??? 电子文档多以明文方式存储在计算机硬盘中，分发出去的文档无法控制，极大的增加了管理的复杂程度。影响文档安全的因素很多，既有自然因素，也有人为因素，其中人为因素危害较大，归结起来，按照对电子信息的使用密级程度和传播方式的不同，我们将信息泄密的途径简单归纳为如下几方面： ??? 1.由电磁波辐射泄漏泄密(传导辐射 、设备辐射等) ??? 这类泄密风险主要是针对国家重要机构、重要科研机构或其他保密级别非常高的企、事业单位或政府、军工、科研场所等，由于这类机构具备非常严密的硬保密措施，只需要通过健全的管理制度和物理屏蔽手段就可以实现有效的信息保护。 ??? 2.网络化造成的泄密(网络拦截、黑客攻击、病毒木马等) ??? 网络化造成的泄密成为了目前企业重点关注的问题，常用的防护手段为严格的管理制度加访问控制技术，特殊的环境中采用网络信息加密技术来实现对信息的保护。访问控制技术能一定程度的控制信息的使用和传播范围，但是，当控制的安全性和业务的高效性发生冲突时，信息明文存放的安全隐患就会暴露出来，泄密在所难免。 ??? 3.存储介质泄密(维修、报废、丢失等) ??? 便携机器、存储介质的丢失、报废、维修、遭窃等常见的事件，同样会给企业带来极大的损失，在监管力量无法到达的场合，泄密无法避免。 ??? 4.内部工作人员泄密(违反规章制度泄密、无意识泄密、故意泄密等) ??? 目前由于内部人员行为所导致的泄密事故占总泄密事故的70%以上，内部人员的主动泄密是目前各企业普遍关注的问题，通过管理制度规范、访问控制约束再加上一定的审计手段威慑等防护措施，能很大程度的降低内部泄密风险，但是，对于终端由个人灵活掌控的今天，这种防护手段依然存在很大的缺陷，终端信息一旦脱离企业内部环境，泄密依然存在。 ??? 5.外部窃密 ??? 国家机密、军事机密往往被国外间谍觊觎，商业机密具备巨大的商业价值，往往被竞争对手关注。自古以来对机密信息的保护，都不可避免以防止竞争对手窃密作为首要目标。 ??? 二、数据泄露防护的实现方式 ??? 当前，数据泄露防护以动态加解密技术为核心，分为文档级动态加解密和磁盘级动态加解密两种方式。 ??? 1. 文档级动态加解密技术　　 ??? 在不同的操作系中(如WINDOWS、LINUX、UNIX等)，应用程序在访问存储设备数据时，一般都通过操作系统提供的API 调用文件系统，然后文件系统通过存储介质的驱动程序访问具体的存储介质。在数据从存储介质到应用程序所经过的每个路径中，均可对访问的数据实施加密/解密操作，可以研制出功能非常强大的文档安全产品。有些文件系统自身就支持文件的动态加解密，如Windows系统中的NTFS文件系统，其本身就提供了EFS(Encryption File System)支持，但作为一种通用的系统，难以做到满足各种用户个性化的要求，如自动加密某些类型文件等。由于文件系统提供的动态加密技术难以满足用户的个性化需求，第三方的动态加解密产品可以看作是文件系统的一个功能扩展，能够根据需要进行挂接或卸载，从而能够满足用户的各种需求。 ??? 2.磁盘级动态加解密技术 ??? 对于信息安全要求比较高的用户来说，基于磁盘级的动态加解密技术才能满足要求。在系统启动时，动态加解密系统实时解密硬盘的数据，系统读取什么数据，就直接在内存中解密数据，然后将解密后的数据提交给操作系统即可，对系统性能的影响仅与采用的加解密算法的速度有关，对系统性能的影响也非常有限，这类产品对系统性能总体的影响一般不超过10%(取目前市场上同类产品性能指标的最大值)。 ??? 三、数据泄露防护分域控制方案 ??? 在数据泄露防护方面，可以从不同角度来保证安全。单一针对某个局部的防护技术可能导致系统安全的盲目性，这种盲目是对系统的某个或某些方面的区域采取了安全措施而对其它方面有所忽视。因而，针对数据安全，我们采用分域控制方案，将整个网络分为终端、端口、磁盘、内部网络四种域，进而对各域的安全采取不同的技术措施。 ??? 1.终端 ??? 终端是指在接入内部网络的各个操作终端。为了保证安全，可以从四个方面采取措施： ??? 1.针对研发类、技术类局域网终端，可以采