企業DLP解決方案

陸杰

摘 要：隨著信息化技術的發展，現代企業的各項工作都離不開計算機和信息系統。與此同時，企業的客戶隱私、公司敏感數據、財務等機密信息的增加，正驅使著各個組織對敏感數據的安全有著更高的要求。本文對DLP的企業需求進行了詳細分析，并提出了防護策略。

關鍵詞：計算機安全 數據保護 企業安全

中圖分類號：F426.6 文獻標識碼：A 文章編號：1672-3791（2014）06（a）-0025-01

1 DLP簡介

數據泄露防護（Data leakage prevention，DLP），又稱為“數據丟失防護”也稱為“信息泄漏防護”。數據泄露防護（DLP）是通過一定的技術手段，防止企業的指定數據或信息資產以違反安全策略規定的形式流出企業的一種策略。

2 需求分析

2.1 黑客以及間諜的竊密

國內外越來越多的黑客及間諜，通過層出不窮的技術手段，盜取國內企業各種重要機密數據，已成為中國信息安全的巨大威脅之一。如果置之不理不采取相關的應急和長遠措施，必將造成無法估量的損失。

2.2 行業競爭對手的有意竊取

信息技術的發展為盜取信息提供了一定的便利，怎么樣做好防護是不得不采取的必要措施。如果企業不重視自身重要機密信息的保護，不但會造成商業競爭的被動，直接導致經濟損失，更會導致整個行業因惡性競爭帶來的衰落與滅亡。

2.3 在職員工無意或者惡意的泄密

目前，企事業單位人員對于信息安全資產的重要性認識不夠，導致部分涉密人員無意泄密，為部分不良分子提供了可乘之機。另外部分不良的涉密人員，出于對企業的不滿，肆意將機密信息公之于眾，帶來巨大的無法挽回的損失和不良影響。

2.4 內部文檔權限失控導致泄密

目前，極大多數單位涉密信息的權限劃分是粗放型的，沒有細分到相應的個人。因此，內部數據和文檔在權限管控方面的失控，會導致不具備權限的人員獲得涉密信息，或者是低權限的人員獲得高涉密信息。從而導致重要機密數據的泄密，無法從根本上杜絕。

2.5 存儲等硬件設備丟失或維修導致失密或泄密

筆記本電腦、移動硬盤、存儲卡之類的移動存儲設備，一旦遺失或維修，其存儲的數據往往暴露無遺。特別是數據一般都有恢復的特別屬性，所以移動設備的使用和監管是非常重要的一個步驟。

3 防護方法

3.1 終端數據防泄露

在終端數據防泄露方面，中國人以獨有的技術敏感和產品領悟力，推出的文件透明加密、權限管理、外發控制等軟件，以文檔透明加密為核心，輔以權限控制，外發管理、日志審計等功能，能從源頭上確保數據安全。

3.2 磁盤數據防泄露

磁盤是存儲數據的物理設備。針對磁盤進行管控，就可以防止數據泄露。當前，防止磁盤數據泄露，全球最領先的技術是全磁盤加密。國家法律規定，凡涉及到商用密碼的軟件產品，都必須由具備國家商用密碼生產定點單位資格和國家商用密碼銷售許可單位資格的企業生產和銷售。而且，還必須具備國家保密局、軍隊和公安部的相關銷售資質才可以在國內銷售。因此，國外FDE軟件在中國不能得到廣泛應用。

3.3 端口數據泄露防護

通過端口管控，來防止數據泄露。從技術上講，不論是物理端口，還是網絡端口，基本上都能得到保護。但是，從理論上說，只要數據進行了加密，就不再需要外圍的端口防護。既已進行了加密，又對端口進行防護，貌似有重復建設之疑。但是企業可以采用多重防護來保護數據，這是可以采用的辦法。

3.4 服務器（數據庫）數據防泄露

大中型企業的數據安全最重要的地方，應該是保護服務器和數據庫。針對文件服務器數據，目前主要還是通過身份認證和權限控制這兩種訪問控制手段來確保安全。而針對應用服務器數據安全，相應的技術手段是相當孱弱的。

數據庫的數據安全保護則更為復雜，有三種主要的手段：（1）基于文件的數據庫加密技術；（2）基于記錄的數據庫加密技術；（3）子密鑰數據庫加密。但是這三種手段都會給數據庫的性能帶來極大的影響。針對數據庫防泄露，必須采用更為先進的技術手段。

3.5 移動存儲設備防泄密

移動存儲設備主要指移動硬盤、U盤、PC儲存卡、MP3、MP4、數碼照相機、數碼攝像機、手機、光盤和軟盤等。隨著移動存儲設備的廣泛使用，移動存儲設備導致泄密的現象越來越普遍。目前針對移動設備泄密的解決辦法主要有兩方面：一是對計算機及內部網絡各種端口進行管控，對接入端口的移動設備進行統一認證，硬件綁定等方式，限制移動存儲設備的使用；二是對移動存儲設備本身設置口令/密碼進行身份識別，并且對移動存儲設備內的數據進行加密。通常所謂的介質管理，就是指移動存儲設備管理。

4 具體設計

完整的數據安全解決方案應包括從身份認證、授權管理、終端管理、數據加密、傳輸安全等一系列的內容，需要結合前期數據安全項目咨詢、中期數據安全防護產品實現以及后期遵循PDCA思想的循環改進及服務的多種方式進行設計企業數據防泄密解決方案，沒有前期的安全咨詢和評估作為基礎，中期的數據安全產品很難有針對性的部署和實施，數據安全產品沒有部署完善，對整個數據安全項目的有效性及后續有針對性的項目改進都會造成非常大的影響。數據安全防護項目需要結合安全評估咨詢、數據安全產品實現以及后期的數據安全服務的多種方式進行建設。

企業數據防泄密主要從DLP安全策略和數據安全防護技術兩方面來考慮。

DLP安全策略包括基本的安全管理制度和安全管理流程。其中安全管理標準包括：數據資產管理標準，賬戶安全管理標準，授權管理標準，公司保密制度，安全事件管理標準，應用開發安全標準，備份與恢復管理制度，用戶遠程接入安全標準等。安全流程包括：新系統上線安全檢查流程，數據防泄密授權管理流程，第三方安全管理流程，安全事件監控匯報和處理流程，日志安全維護流程等一系列安全流程。

數據安全防護技術包括：用戶身份與信任憑證管理，訪問控制，信息流控制，數據完整性保護，安全監控與審計等。用戶身份與信任憑證管理包括：企業的集中用戶管理，用戶權限分配，用戶目錄管理等。訪問控制包括：網絡安全域劃分，安全策略控制，會話管理，單點登錄等。信息流控制包括：數據流加密，數據流內容檢測，邊界信息流控制，信息傳輸控制，遠程安全接入等。數據完整性保護包括：數據及文件信息加密保護，終端安全管理，惡意代碼防護，補丁管理，策略符合性管理，時間同步管理，備份管理和業務持續性管理。數據安全監控和審計包括：數據泄密事件監控，告警，操作審計，數據庫審計等。

參考文獻

[1] 深圳虹安公司.DLP—— 信息安全發展的先鋒[J].信息安全與通信保密，2010，9（2）：43-44.

[2] 吳澤君.利用數據泄漏防護保護企業數據安全[J].計算機安全，2010，12（1）：32-33.endprint