可以看到,国内的DLP产品依旧依托于透明加密的功能,在此基础上通过多种权限设置等手段防止机密外发,从而实现“数据防泄漏”;而国外的DLP是通过检测和审计文件中的机密内容来阻止外发,从而实现内容上的“数据防泄漏”。
从本质上看,国内数据防泄漏是基于数据的主动防泄漏,以人为控制为主;而国外数据防泄漏是基于内容的审计,以审计为主。国外厂商所说的DLP是以防止无意泄漏为目标的,而国内厂商则是以防止任何方式的泄漏为目标。
云时代该应该这样掌控企业数据安全,在2016年的安全界盛会RSA 2016上DLP(Data Loss Prevention, 数据防泄密)成为企业用户关注度最高的产品,大会的DLP分类厂商多达88家,从本次大会上,可以看到企业数据防泄露产品的一些发展趋势。
DLP与网关功能整合
将DLP与网关类产品的传统安全功能进行整合,实现从内容层面的安全检测和防御,比如将DLP功能加入Web网关、将DLP功能加入URL与反垃圾邮件网关等,代表厂商有Forcepoint、ClearSwift等。
基于终端加密与权限控制的DLP+
从数据泄露的源头上对其进行封堵。在终端对文档进行不同的访问权限、 *** 作权限和外发权限控制,并对发送者和接收者制定不同的权限策略。数据在外发的时候是加密的,只有被信任的接收者才能够看到文件内容或对文件执行对应的 *** 作。代表企业Vera、Fasoo。
针对特定应用的DLP
只针对特定应用(如Exchange、outlook、office365、SharePoint)或特定通道(Email Cloud Service)的DLP检测。这类产品会在终端进行访问、打印、拷贝等 *** 作的权限控制,并针对文件类型、收发件人、以及文件内容定义敏感信息检测策略,实现固定终端和移动终端的DLP检测。代表厂商有Messageawre、Mimecast等。
公有云环境下CASB成为重要方向
随着国外(特别是美国)企业对SaaS(Office365、DropBox、Box、Facebook等云服务)的依赖程度日益增高,已经将很多数据、业务迁移到云服务和云平台上,企业员工对公有云环境的使用也会成为一个安全问题。数据泄露已经成为云安全面临的首要威胁,通过Office365、DropBox等云服务和云存储上传或共享文件时,都有可能带来数据泄露的问题。CASB(Cloud Access Security Broker,云访问安全代理)的方法是一种解决思路,实现在“任何时间、任何地点”保护企业数据不被泄露。基于CASB的DLP实现可以分为两种形式:
形式一:应对企业内部DLP问题
保持原有DLP产品的软硬件形态不变,在原有网关上增加对云服务和云应用的支持,可以部署在企业网的终端和边界处。代表厂商Symantec、Intel Security(McAfee)、AvePoint等传统DLP厂商。
形式二:应对企业员工移动办公的DLP问题
CASB作为一种云服务,部署在企业员工使用的云平台上,在云中为用户提供单点登录、访问控制、行为监控、数据防护、安全合规等服务。DLP是CASB要考虑的重要问题,也是产品落地的明确方向,CASB也在积极寻求与传统DLP厂商的合作。对于DLP而言,相对于传统边界部署上方案,CASB的区别在于其结合了用户、设备、内容和应用这几个维度,来理解数据是如何在云环境中被共享或被使用的,从而做出相应的策略配置。基于CASB的DLP产品形态也从传统的Network+Endpoint+Storage DLP变成了Cloud+Mobile DLP。代表厂商有Skyhigh、BlueCoat等。
云时代该如何掌控企业数据安全
数据是企业中最重要也是最需要保护的资产,因此数据安全也变得越来越重要。随着公有云和BYOD技术的不断发展,数据防泄密(Data Loss Prevention, DLP)作为数据安全领域最重要的技术产品,也面临着“实现云中数据泄露防护”的挑战。虽然目前国内企业和个人用户对云服务和应用的依赖还较小,但Cloud+Mobile的DLP将成为DLP产品的发展趋势,国内的DLP产品,也需要快速适应从on-premise到cloud-based的转变。
数据防泄密系统:这是一套从源头上保障数据安全和使用安全的软件系统。包含了文件透明加解密、内部文件流转功能、密级管控、离线管理、文件外发管理、灵活的审批流程、工作模式切换、服务器白名单等功能。从根本上严防信息外泄,保障信息安全。
以下是DLP数据泄漏防护系统的原理图
通过身份认证和加密控制以及使用日志的统计对内部文件进行控制。目前,在数据泄漏防护市场里面,国内具备自主知识产权的产品生产厂家为数不多,以上参考虹安信息的DLP数据泄漏防护系统。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)