数据泄露防护(DLP)分域安全技术浅析.docVIP

数据泄露防护(DLP)分域安全技术浅析 　　摘要:该文介绍了一个典型的分域安全控制方案,针对不同的网络区域采用不同的技术手段实现加密防护。 　　关键字:数据泄露防护;动态加解密技术;分域控制 　　中图分类号:TP274 文献标识码:A 文章编号:1009-3044(2009)36-10174-02 　　Data Leak Prevention (DLP) Security Technology Analysis of Fenwick 　　CAI Chuan-zhong 　　(Modern Education Technology Center, Anhui University of Architecture, Hefei 230031, China) 　　Abstract: This article describes a typical sub-domain security control program for different network areas using different techniques to achieve encryption protection. 　　Key words: DLP; dynamic encryption and decryption techniques; sub-domain control 　　目前,数据防泄露是信息安全的热点问题。随着网络应用的飞速发展、Internet应用的日益广泛,信息安全问题变得尤为突出。建立完善的数据泄露防护体系、保护核心资源,已迫在眉睫。鉴于目前内部局域网的现状,可以针对数据存储层和数据传输层进行加密,结合文档和数据生命周期,对内部网络分为终端、端口、磁盘、服务器、局域网四大区域,并针对数据库、移动存储设备、笔记本电脑等特例,统一架构,分别防护,实现分域安全。 　　1 数据泄露的主要威胁 　　电子文档多以明文方式存储在计算机硬盘中,分发出去的文档无法控制,极大的增加了管理的复杂程度。影响文档安全的因素很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来,按照对电子信息的使用密级程度和传播方式的不同,我们将信息泄密的途径简单归纳为如下几方面: 　　1)由电磁波辐射泄漏泄密(传导辐射 、设备辐射等) 　　这类泄密风险主要是针对国家重要机构、重要科研机构或其他保密级别非常高的企、事业单位或政府、军工、科研场所等,由于这类机构具备非常严密的硬保密措施,只需要通过健全的管理制度和物理屏蔽手段就可以实现有效的信息保护。 　　2)网络化造成的泄密(网络拦截、黑客攻击、病毒木马等) 　　网络化造成的泄密成为了目前企业重点关注的问题,常用的防护手段为严格的管理制度加访问控制技术,特殊的环境中采用网络信息加密技术来实现对信息的保护。访问控制技术能一定程度的控制信息的使用和传播范围,但是,当控制的安全性和业务的高效性发生冲突时,信息明文存放的安全隐患就会暴露出来,泄密在所难免。 　　3)存储介质泄密(维修、报废、丢失等) 　　便携机器、存储介质的丢失、报废、维修、遭窃等常见的事件,同样会给企业带来极大的损失,在监管力量无法到达的场合,泄密无法避免。 　　其他的如内部工作人员泄密(违反规章制度泄密、无意识泄密、故意泄密等)、 外部窃密等 　　2 数据泄露防护的实现方式 　　当前,数据泄露防护以动态加解密技术为核心,分为文档级动态加解密和磁盘级动态加解密两种方式。 　　1)文档级动态加解密技术 　　在不同的操作系中(如WINDOWS、LINUX、UNIX等),应用程序在访问存储设备数据时,一般都通过操作系统提供的API 调用文件系统,然后文件系统通过存储介质的驱动程序访问具体的存储介质。在数据从存储介质到应用程序所经过的每个路径中,均可对访问的数据实施加密/解密操作,可以研制出功能非常强大的文档安全产品。有些文件系统自身就支持文件的动态加解密,如Windows系统中的NTFS文件系统,其本身就提供了EFS(Encryption File System)支持,但作为一种通用的系统,难以做到满足各种用户个性化的要求,如自动加密某些类型文件等。由于文件系统提供的动态加密技术难以满足用户的个性化需求,第三方的动态加解密产品可以看作是文件系统的一个功能扩展,能够根据需要进行挂接或卸载,从而能够满足用户的各种需求。 　　2)磁盘级动态加解密技术 　　对于信息安全要求比较高的用户来说,基于磁盘级的动态加解密技术才能满足要求。在系统启动时,动态加解密系统实时解密硬盘的数据,系统读取什么数据,就直接在内存中解密数据,然后将解密后的数据提交给操作系统即可,对系统性能的影响仅与采用的加解密算法的速度有关,对系统性能的影响也非常有