利用數(shù)據(jù)泄露防護保護企業(yè)數(shù)據(jù)安全

高奔

[摘 要] 本文首先闡述數(shù)據(jù)泄露進行防護的主要的技術(shù)，然后依照現(xiàn)在數(shù)據(jù)泄露防護發(fā)展和建設(shè)過程存在的一般性問題進行闡述，重點突出對企業(yè)怎樣選與怎樣用這兩個方面的解決，確保企業(yè)的數(shù)據(jù)始終處于安全的狀態(tài)。

[關(guān)鍵詞] DLP 終端控制；數(shù)據(jù)安全；數(shù)據(jù)加密；數(shù)據(jù)泄露

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 01. 095

[中圖分類號] TP309；TP393.08 [文獻標識碼] A [文章編號] 1673 - 0194（2017）01- 0169- 02

0 引 言

在市場經(jīng)濟發(fā)展的今天，隨著信息的電子化進步和發(fā)展，對企業(yè)來說數(shù)據(jù)也是一類重要的資產(chǎn)，它也變成了每個企業(yè)的核心競爭力。所以企業(yè)非常重視對關(guān)鍵數(shù)據(jù)的保護，只有對數(shù)據(jù)進行安全的保護，才可以讓企業(yè)在日趨激烈的市場競爭里脫穎而出。在實際情況中，關(guān)鍵數(shù)據(jù)一旦丟失，就會對企業(yè)造成嚴重的經(jīng)濟損失，也可能讓企業(yè)處于破產(chǎn)的危險境地。目前互聯(lián)網(wǎng)的發(fā)展呈現(xiàn)越來越快的傳播和使用趨勢，企業(yè)的網(wǎng)絡(luò)和外部的網(wǎng)絡(luò)在邊界上變得不是那么清晰，電子郵件等把企業(yè)的網(wǎng)絡(luò)和外部世界進行了非常緊密的聯(lián)系。

1 數(shù)據(jù)泄露防護介紹

數(shù)據(jù)泄露防護是依照企業(yè)的安全策略，使用集中管理的模式，經(jīng)過深刻的內(nèi)容分析，監(jiān)視靜止或者是活動中的關(guān)鍵數(shù)據(jù)，防止這些關(guān)鍵數(shù)據(jù)以違反安全策略的形式流出，數(shù)據(jù)泄露防護英文縮寫為DLP。而且為了適應(yīng)互聯(lián)網(wǎng)里面非常復(fù)雜的環(huán)境，DLP需要可以跨越不同的平臺。DLP系統(tǒng)是新興安全的產(chǎn)品，它以細致的內(nèi)容檢查以及分析作為主要的依據(jù)，不但可以保護互聯(lián)網(wǎng)里面運動的數(shù)據(jù)，同時還可以保護互聯(lián)網(wǎng)上面靜止的數(shù)據(jù)和在計算機中存儲的重要數(shù)據(jù)。

而依照分布的位置不同，數(shù)據(jù)泄露防護的使用方案是可以分為互聯(lián)網(wǎng)數(shù)據(jù)泄露防護方案，英文縮寫為NDLP。以及計算機數(shù)據(jù)泄露防護方案，英文縮寫為HDLP。對于互聯(lián)網(wǎng)數(shù)據(jù)泄露的防護方案一般都是安放在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行連接的地方，對全部的數(shù)據(jù)做好安全的檢查。對計算機本機里面數(shù)據(jù)泄露的防護方案應(yīng)該安放在存有關(guān)鍵數(shù)據(jù)的主機上，如果發(fā)現(xiàn)了需要保護的數(shù)據(jù)被轉(zhuǎn)移時，HDLP就會馬上進行攔截。

內(nèi)容分析可以對互聯(lián)網(wǎng)的流量以及文件做出準確分析，依照事先做出的政策對關(guān)鍵的內(nèi)容進行識別。內(nèi)容的分析主要有對內(nèi)容的描述技術(shù)以及登記技術(shù)進行使用。內(nèi)容的描述技術(shù)使用主要依靠表達式和專業(yè)詞來進行識別。使用規(guī)則的表達式做出類型的匹配工作。使用事先設(shè)置好的詞語進行特殊概念匹配。內(nèi)容的登記技術(shù)是要靠企業(yè)為系統(tǒng)制定的保護數(shù)據(jù)的目標，主要有文檔的匹配，文件的組合，數(shù)據(jù)庫的識別等等。

終端的控制技術(shù)主要是分布在個人計算機里面終端的各種代理程序，代理程序可以對互聯(lián)網(wǎng)用戶的數(shù)據(jù)活動進行監(jiān)視，找出躲在計算機以及服務(wù)器這些終端端點上的關(guān)鍵數(shù)據(jù)?？梢越?jīng)過文件的監(jiān)視做好終端數(shù)據(jù)的發(fā)現(xiàn)，利用內(nèi)置過濾模塊在加密數(shù)據(jù)活動前對它們進行相應(yīng)的檢查。在沒有經(jīng)過授權(quán)的編碼軟件里面如果監(jiān)測到了非常敏感的信息內(nèi)容，就會限制終端對數(shù)據(jù)的粘貼等功能，從而保護數(shù)據(jù)的安全。

DLP系統(tǒng)使用的加解密技術(shù)也對敏感關(guān)鍵數(shù)據(jù)進行加密，加密的對象通常是文檔里面制定的范圍。這樣的技術(shù)在中國的國內(nèi)的DLP解決形式被企業(yè)廣泛的來使用，而國外的DLP解決形式，企業(yè)使用的密碼算法屬于國際的通用算法。比較一些大家可以看到，國內(nèi)的DLP廠商進行的商密算法在安全度上是很高的。

2 怎樣選擇正確的DLP方案

各個企業(yè)在選擇DLP前，第一步需要進行自我診斷，自我診斷的內(nèi)容有要確定保護目標，目標在的位置以及它輸出的渠道是怎樣的，做好這些內(nèi)容是DLP系統(tǒng)實施里面非常重要的，也是非常關(guān)鍵的。利用自我診斷需要做到下面的幾個目標：

（1）要確定企業(yè)對于數(shù)據(jù)保護的目標，包括長遠的和近期的。同時還有決定什么樣的內(nèi)容是屬于保護的，怎么做好保護。保護的內(nèi)容應(yīng)該召集IT部門，財務(wù)部，人力資源部這些有聯(lián)系的部門進行共同討論，最后達成保護的目標是以及保護的方案。

（2）完成數(shù)據(jù)的分類：企業(yè)里面的IT部門以及業(yè)務(wù)部門一定要進行密切的合作，依照敏感性以及輕重性的不一樣對企業(yè)里面數(shù)據(jù)做好分類。

（3）進行數(shù)據(jù)流轉(zhuǎn)的研究工作：上面已經(jīng)依照數(shù)據(jù)的敏感性和輕重性進行了分類，對于比較敏感的關(guān)鍵數(shù)據(jù)，企業(yè)的內(nèi)網(wǎng)在傳播的過程中需要做好準確的判斷，有數(shù)據(jù)生成，流轉(zhuǎn)形式和流轉(zhuǎn)數(shù)據(jù)的控制和存儲的方式。

對企業(yè)的內(nèi)網(wǎng)和其他的網(wǎng)絡(luò)進行連通的現(xiàn)象，需要使用網(wǎng)絡(luò)數(shù)據(jù)的泄露防護體系，在網(wǎng)絡(luò)的邊界地方做好常規(guī)的檢查。這些設(shè)備是網(wǎng)絡(luò)監(jiān)視的有效工具，依照企業(yè)敏感關(guān)鍵信息的關(guān)鍵字和主要的文件格式隨機的生成信息的過濾庫，在企業(yè)的內(nèi)網(wǎng)和外網(wǎng)進行聯(lián)系的渠道中監(jiān)測信息是否泄露，確保數(shù)據(jù)不會違規(guī)上傳到外網(wǎng)。

衡量這些產(chǎn)品的非常主要的指標就是系統(tǒng)對終端的環(huán)境在兼容性方面的注意，和系統(tǒng)對終端占用的程度是多少。企業(yè)選擇產(chǎn)品前，需要進行足夠的測試，測試環(huán)境主要有系統(tǒng)和企業(yè)現(xiàn)在用到的殺毒軟件以及各種應(yīng)用軟件的兼容性。

3 結(jié) 語

DLP對于保護企業(yè)敏感關(guān)鍵數(shù)據(jù)方面有很大的幫助和作用，它可以有效的減少了時間成本。DLP系統(tǒng)可以讓企業(yè)在競爭保護自己信息的安全，讓企業(yè)立于不敗之地。不過企業(yè)也需要清醒地認識到，不是說只要布置了DPL系統(tǒng)就可以高枕無憂了，還需要在平時的具體使用中持續(xù)的進行優(yōu)化，這樣才可以真正的保證企業(yè)在發(fā)展DPL系統(tǒng)的最終目標。

主要參考文獻

[1]沈昌祥.構(gòu)造積極防御的安全保障框架[J]. 計算機安全，2003（10）：34.