认识企业数据防泄漏系统的本质.docxVIP

PAGE 1 PAGE 1 认识企业数据防泄漏系统的本质  随着信息网络的飞速发展，重要数据信息泄露问题越来越严重。依据当今企事业单位对数据防泄漏的需求，在分析了电子数据所涵盖的信息敏感程度以及数据的存在形态基础上，指出了数据泄露的主要途径和数据防护的本质。最终通过对比各类数据防泄漏的特点并解析了关键技术要点，提出了一种基于技术和管理的全面多层次的数据防泄漏解决方案。  1数据防泄漏的需求  随着企业信息化的发展，电子化的数据已经成为每个政府、企业、个人的重要资产。企业信息化系统产生了大量如客户资料、营销方案、财务报表、研发数据等关乎企业核心竞争力的机密资料。一方面，对于现在的网络信息传播能力来说，一旦有相关敏感信息泄露出去，将会在极端时间内传播开，带来的影响将会是无可逆转；另一方面，对重要数据的非法获取也变得特别具有针对性。假如说以前的黑客是为了证明自己的技术来进行相关攻击行为的话，现在的入侵者更多具有特别明确的目的一一为了经济利益或者达成其他影响。信息系统强大的开放性和互通性催生了商业泄密、网络问谍等众多灰色名词，“力拓案”、“维基泄密”等事件让信息安全事件快速升温，信息防泄漏成为企业越来越关注的焦点。  数据的保密性、完整性、可用性关系到政府、重要行业和企业的影响力、生存力及竞争力。数据安全，作为信息安全领域的重要组成部分，涵盖防丢失、防破坏、防泄漏及防滥用等多个层面，正越来越受到大家的关注。如何保证重要的数据信息不被泄露已经成了企业最关键的安全工作之一。相关的法律法规，也越来越重视相关企业的数据防护，国外比较闻名的比如塞班斯法案(sarbanes-Oxley)、健康保险携带与责任法案(HIPAA)、金融机构保护客户信息法案(GLBA)和支付卡行业数据安全标准(PCI—DSS)，在国内，多达18部法律法规全面规范信息安全，比如政府，证券，金融相关行业的法规以及消费者权益保护法等等，也有相关规定明确必需保护行业或者涉及到消费者的关键信息。  面对这样的严峻形势和政策法规要求，国内外安全厂商今年来纷纷推出自己的数据防泄漏解决方案，这些解决方案的最终目的只有一个：确保数据安全，防止数据泄漏，但安全防护的动身点、侧重点、技术点各不相同，本文从数据，防泄漏的概念入手，结合各类数据防泄漏的特点重点解析数据防泄漏的本质及关键技术，最终提出数据防泄漏防护体系的解决思路。  2数据防泄漏的本质  数据防泄露是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略，是数据安全的子集。从定义上看，信息防泄漏系统重点解决公司的机密敏感数据信息位于何处、数据信息是如何被使用、如何最大程度地防止该数据被泄露以及数据被非法使用的取证。  2．1数据(Data)的本质  信息系统的本质就是对数据进行处理，通过对数据的组合形成各种数据模型，进而通过工作流等机制实现对数据的管理。每个企业都有自己的海量数据，假如对各种各样的海量数据全部进行同样的级别的防护，则犹如没有任何防护，因此数据防泄漏的一个基本点就是要对信息的机密性、重要性、商业价值性进行分类。数据分类策略是保护企业信息资产、管理敏感信息存取的基础。企业应当基于敏感程度将信息分成不同的分类等级，如内部、外部、机密等，其中机密是最敏感的信息分类，只能在企业内部特定人员的使用，如泄漏则会严重影响到公司利益和声誉。企业机密信息通常包括以下内容：创新点、私有源代码、技术或规格说明书、能被竞争者利用的产品信息；不公开的销售和财政信息；关于公司运营的任何信息，比如商业战略规划和发展目标；企业私有的个人信息如员工银行帐户、工资信息等。对于可以完成对外公开的数据，则不需要任何的信息防泄漏保护措施，而对于关系到企业生存、发展、声誉的重要数据，应当掌握其存储位置，使用方式和传输方式。  企业数据主要以3种形态存在：平凡信息，如网页、邮件等；结构化数据，如数据库、EXCEL表格等；非结构化数据，如WORD文档等。企业敏感信息的泄露主要通过以上3种形态流出企业，所以需要对于以上3种形态的数据敏感信的挖掘与识别，以及对3种形态的数据信息进行权限掌握和生命周期限制。  2．2泄漏(Loss)的本质  无论是黑客的攻击、还是内部人员有意无意的泄露，数据泄漏通常由以下三个途径造成：物理途径：从桌面计算机、便捷计算机、服务器或移动终端通过数据线拷贝数据到光驱或移动硬盘等移动存储介质上；通过打印机打印带出公司或者通过传真机发送；通过获取计算机的电磁辐射信息利用一定的技术进行数据还原进而获取数据信息。网络途径：通过有线网络、无线网络发送数据，这种方式可以是黑客攻击“穿透”计算机后造成，也可以是内