云时代该如何掌控企业数据安全

　云时代该应该这样掌控企业数据安全，在2016年的安全界盛会RSA 2016上DLP（Data Loss Prevention, 数据防泄密）成为企业用户关注度最高的产品，大会的DLP分类厂商多达88家，从本次大会上，可以看到企业数据防泄露产品的一些发展趋势。

DLP与网关功能整合

将DLP与网关类产品的传统安全功能进行整合，实现从内容层面的安全检测和防御，比如将DLP功能加入Web网关、将DLP功能加入URL与反垃圾邮件网关等，代表厂商有Forcepoint、ClearSwift等。

基于终端加密与权限控制的DLP+

从数据泄露的源头上对其进行封堵。在终端对文档进行不同的访问权限、 *** 作权限和外发权限控制，并对发送者和接收者制定不同的权限策略。数据在外发的时候是加密的，只有被信任的接收者才能够看到文件内容或对文件执行对应的 *** 作。代表企业Vera、Fasoo。

针对特定应用的DLP

只针对特定应用（如Exchange、outlook、office365、SharePoint）或特定通道（Email Cloud Service）的DLP检测。这类产品会在终端进行访问、打印、拷贝等 *** 作的权限控制，并针对文件类型、收发件人、以及文件内容定义敏感信息检测策略，实现固定终端和移动终端的DLP检测。代表厂商有Messageawre、Mimecast等。

公有云环境下CASB成为重要方向

随着国外（特别是美国）企业对SaaS（Office365、DropBox、Box、Facebook等云服务）的依赖程度日益增高，已经将很多数据、业务迁移到云服务和云平台上，企业员工对公有云环境的使用也会成为一个安全问题。数据泄露已经成为云安全面临的首要威胁，通过Office365、DropBox等云服务和云存储上传或共享文件时，都有可能带来数据泄露的问题。CASB（Cloud Access Security Broker，云访问安全代理）的方法是一种解决思路，实现在“任何时间、任何地点”保护企业数据不被泄露。基于CASB的DLP实现可以分为两种形式：

形式一：应对企业内部DLP问题

保持原有DLP产品的软硬件形态不变，在原有网关上增加对云服务和云应用的支持，可以部署在企业网的终端和边界处。代表厂商Symantec、Intel Security（McAfee）、AvePoint等传统DLP厂商。

形式二：应对企业员工移动办公的DLP问题

 CASB作为一种云服务，部署在企业员工使用的云平台上，在云中为用户提供单点登录、访问控制、行为监控、数据防护、安全合规等服务。DLP是CASB要考虑的重要问题，也是产品落地的明确方向，CASB也在积极寻求与传统DLP厂商的合作。对于DLP而言，相对于传统边界部署上方案，CASB的区别在于其结合了用户、设备、内容和应用这几个维度，来理解数据是如何在云环境中被共享或被使用的，从而做出相应的策略配置。基于CASB的DLP产品形态也从传统的Network+Endpoint+Storage DLP变成了Cloud+Mobile DLP。代表厂商有Skyhigh、BlueCoat等。

云时代该如何掌控企业数据安全

数据是企业中最重要也是最需要保护的资产，因此数据安全也变得越来越重要。随着公有云和BYOD技术的不断发展，数据防泄密（Data Loss Prevention, DLP）作为数据安全领域最重要的技术产品，也面临着“实现云中数据泄露防护”的挑战。虽然目前国内企业和个人用户对云服务和应用的依赖还较小，但Cloud+Mobile的DLP将成为DLP产品的发展趋势，国内的DLP产品，也需要快速适应从on-premise到cloud-based的转变。

数据防泄密系统：这是一套从源头上保障数据安全和使用安全的软件系统。包含了文件透明加解密、内部文件流转功能、密级管控、离线管理、文件外发管理、灵活的审批流程、工作模式切换、服务器白名单等功能。从根本上严防信息外泄，保障信息安全。

广义上说上网行为管理设备也算网络流量控制，但其主要用途是记录和控制网络中的用户行为，比如限制用户使用QQ、玩游戏等等，但其网络流量控制功能较弱，一般适用于上网人数较少的场合。由于上网行为管理设备的应用场景复杂，网络流量控制功能和性能并不专业，对带宽的优化能力很弱，采用行为管理设备充当网络流量控制设备使用还可能导致网络延迟增大， 偶尔还会导致断网现象发生。行为管理设备适合于对网络稳定性要求不苛刻的一般的办公网络。行为管理厂家主要是国内厂家，如深信服和网康。

狭义的即专用的网络流量控制设备主要目的是优化带宽， 通过限制带宽占用能力强的应用以保护关键应用，通过多种复杂的策略来实现合理的带宽分配。由于专用的流量控制设备往往用于大流量的环境中，因此，网络流量控制设备最重要的指标是其处理能力，当然稳定性和支持各种复杂的带宽分配策略的功能也非常重要。网络流量控制产品一般根据其性能划分档次，一般从几十兆bps、百兆bps 以下为一个档次，往上有数百兆bps，数Gbps的，最高档为几十Gbps。百兆以下的设备的接口一般是电口的。高档设备的接口有电口，但更多是光口的。专业的网络流量控制设备国内的厂商有国外的，也有国内的，国外主要有ALLOT、Sandvine，性能不错、价格很高、国内协议识别率较低、用户界面不太友 好，功能偏少。PACKETEER（已被BLUECOAT收购）也是国外品牌，但性能一般。CISCO、华三这个两个国际大公司的网络流量控制产品没人会用，自己的工程师都很难设置调试，价格很高、协议识别也很差，Sandvine也很难用。国内品牌现在也不少了，迈科、Acenet是打者国外品牌旗号的国内产品。迈科有版权纠纷，原来是以色列的L7的代理，采用的L7的技术，后来闹翻了，迈科有高校和企业的案例。锐捷（OEM迈科）、网络掌门、Panabit、城市热点（OEM Panabit）、北邮宽广、盖奇信息、信风、华为、金御、西默、纽盾、华夏创新、阿姆瑞特等都是国内品牌。网络掌门是武汉绿网的，这家公司以前是做电信行业的，和信风、华为类似做大流量旁路监控的，产品有共享检测、信息推送、行为分析等。Panabit是北京一个工作室开发的，由于提供免费软件产品而在网络管理员中小有名气。目前已知最大处理能力为4Gbps，性能和功能也不错，有高校和企业案例。北邮宽广主要做10GPOS，用NP2800实现，强调性能，但功能非常简单，不是完全意义上的网络流量控制产品，案例主要是运营商。南京信风，主要是旁路分析，不是专用网络流量控制系统。华为也主要是旁路分析系统不是专用网络流量控制系统。网康、深信服也有网络流量控制产品，但性能较差，不知是否受其行为管理产品的影响，应该没有运营商和高校的案例。金御在高校有些案例。西默、纽盾、东华等产品性能标称有5Gbps，但案例主要在企业，似乎不能满足高校和运营商的大流量需求。华夏创新的产品主要是加速，网络流量控制功能性能较弱。其它品牌情况未知。流量控制产品实际性能和厂家标称的差别有可能很大，性能强的产品有可能功能很弱，功能完整的性能必然受影响，同样一条双向千兆的链路，有些标称4、 5Gbps的产品有可能也不能正常使用，比如企业里的千兆环境实际流量并不大，而高校和小型的运营商由于用户多，带宽紧张，往往带宽会占的非常满，千

兆的网络高峰期流量可能高达960Mbps，这时是检验网络流量控制产品性能的最有效的场景。目前基于X86通用平台的网络流量控制产品比专用NP和多和处理器的产品功能强，但性能偏弱。在通用平台上达到2Gbps还是比较容易的，但超过4Gbps就不太容易实现了。能在通用平台上实现6G、8Gbps的就需要很强的软件优化能力了。专用平台的网络流量控制设备虽然已经有20Gbps的产品，但在功能上往往很难满足需求，因此采用通用平台实现万兆以太网全功能网络流量控制处理是下一阶段网络流量控制设备的制高点，哪个厂家能率先推出全功能满负荷的20Gbps网络流量控制设备，将会占据相当大的市场份额。现在2级运营商从电信买带宽购买带宽大概是70万人民币，据笔者了解，目前国内产品在网络流量控制这块真正可以提供万兆的产品除了盖奇信息，另外的厂家都是宣传大于实际，盖奇信息现在可以提供40Gbps的产品，系统架构为MIPS64架构，其采用最新技术的OCTEON® III MIPS64家族的1-48核多核处理器，最高端设备突破了应用处理上的100Gbps障碍。

---