1、揭秘国内外数据防泄密解决方案“大阅兵”安全谈:个人信息保护国内外解决方案比较 个人信息保护成为 2012 年业界热点。随着 3.15 晚会济南移动垃圾短信事件的曝光,所有人都意识到个人信息保护不再是一个遥远的话题,而是发生在我们每个人身边。管理手段的孱弱,技术手段的缺失,导致数据泄漏事件的频频爆发,已经成为国内公共结构的梦魇。针对越演越烈的数据泄漏事件,国内外 IT 厂商纷纷推出关于数据泄漏防护的的解决方案。 一、环境不同导致不同的产品设计理念 在国外,个人信息一直受到法律的高度保护。1974 年美国颁布隐私权法 ,德国1976 年颁布联邦资料保护法 ,1984 年英国制订数据保护法 ,199
2、5 年欧盟制订了关于个人信息运行和自由流动的保护指令 ,1998 年美国与欧盟签订了“安全港”协定(safe harbor) ,而最近新加坡也出台对垃圾信息给以高额处罚等等。 对于侵犯个人信息保护法律的个人和单位,在国外都受到严厉的制裁。在强有力的法律手段保护下,任何单位和个人都不敢轻易碰触法律这个高压线。对单位来说,凡是违反此类法律的,其赔偿金额是极为惊人的。2007 年在美国 TJX 零售公司发生的 4500 多万客户的信息卡及保密资料丢失,导致其客户和银行业对其提起诉讼,最终 TJX 公司需要向客户赔付 1.01 亿美元,并承受严重的企业声誉损失。国外个人信用体系的完备,也是防止个人从内
3、部泄密的主要原因。在美国敢于从内部泄密获利者,其下场是非常明显的,很可能终身失业。国外法律环境的完善,比较有效地震慑内部有意泄密者,所以在国外内部有意泄密者较少。据此,国外关于个人信息保护的产品设计理念,立足在防止外部入侵和内部无意的泄密。 在国内,法律法规不健全,不能有效追究内部泄密者的责任,所以国内个人信息保护基本形同虚设,内部人员违法违规将内部信息主动泄密,这是造成国内个人信息保护不力的主要原因。 因此,国内 IT 厂商针对个人信息保护的解决方案,采用“事前主动防御,事中实时控制,事后及时追踪,全面防止泄密”的设计理念,不仅防止外部入侵,更重要的是防止内部泄密,包括有意泄密和无意泄密。
4、二、国内外主要解决方案比较 在国外,基于防止外部入侵窃密和内部无意泄密的需求,国外 IT 厂商纷纷推出数据泄漏防护(DLP)解决方案,其中主要的代表厂商有趋势科技、赛门铁克、RSA(EMC ) 、Websense、麦咖啡等。 2008 年 6 月 17 日,趋势科技收购 Provilla 公司,推出数据外泄防护系统,当员工在对敏感文件进行不合适的操作时,该系统可以发出警报,这一警报将在员工电脑屏幕上以对话框的形式出现。这些警报框将指导员工如何处理机密信息,提高他们的安全意识并获得他们的支持,从而防止数据“出门”。管理员可以对警报对话框进行详细定制,当违规行为发生时,员工电脑屏幕上会弹出对话框,
5、说明正在进行什么操作、为什么要这么操作以及到那里获取详细信息。管理员还有一种选择是对敏感数据进行特定的操作之前,要求他们提供正当的理由。这种质询/应答特性提供了另一层面的正确处理敏感数据的意识,而且如果该操作不是有意为之,还提供了取消这个操作的途径。 在国内,2012 年山丽网安推出了山丽防水墙信息防泄漏体系 5.0。山丽网安以“全盘透明加密解密技术” 为基础,采用对应中国用户需求的各种策略,以透明加密和权限管理两功能为核心,结合身份认证、日志审计、外设管理、密文烧录管理、文档自动备份等功能,建立完善的体系。在系统自身的安全性方面,还采用灾难恢复管理,确保系统可靠、安全地运行。山丽防水墙信息防
6、泄漏体系对数据(文档)安全进行全方位、多角度、全生命周期的保护,彻底实现数据保护的完整性、保持性和安全性。 三、国内外 DLP 解决方案比较 从国内外 DLP 解决方案来看,在解决数据泄漏防护需求的思路上,大体上是相同的。 通常认为,DLP 可分为 6 个步骤:(一) 企业先将数据进行分类,同时预先对“ 涉密数据”进行定义,然后确定哪些数据需要保护;(二) 确定涉密数据在企业系统中的存放位置,企业确定有多少数据存放在员工的计算机、公司的服务器或数据库等;(三) 清楚掌握数据的位置,便能为数据的流出、流入提供实时的监控及保护,包括经电子邮件、http 、即时消息等途径发放的资料;(四 ) 数据泄
7、漏多数是人为所致,因此企业必须制定员工传送机密数据的权限;(五) 企业亦需监控数据被送达的地方是否安全,如商业伙伴或网上电子邮件等;( 六 ) 企业必需注意员工运用什么途径传送档案,这些途径包括所有移动储存硬盘和点对点传送等。 四、国内外 DLP 解决方案不同之处 分析国内外个人信息保护解决方案,我们可以发现其不同之处: 1、设计理念不同 国外 DLP 基于良好的法律环境,内部有意泄密相对极少,对内部人员确认为可信,数据泄漏主要来自外部入侵和内部无意间的泄密。因此,国外 DLP 主要用来防止外部入侵和内部无意间泄密。 国内 DLP 主要基于国内环境,法律威慑力小,追踪难度大,泄密者比较容易逃脱
8、法律制裁,犯罪成本比较小;同时,国内各种管理制度不完善,内部人员无意间失密的概率也比较大。所以国内 DLP 既能防止内部泄密,包括内部有意泄密和无意泄密,同时也能防止外部入侵窃密。 2、主要功能不同 从趋势科技、赛门铁克、RSA(EMC) 、Websense、麦咖啡等发布的产品来看,国外DLP 产品主要包含的功能模块有:内容识别分类、输出内容监控、敏感信息阻截、审计、移动设备管理。这些功能对于内部无意间泄密基本上是满足需求的,但是对于外部入侵防护的效果相当有限。这里还有一个比较大的问题在于内容识别分类。内容识别分类是国外DLP 产品的核心功能,但是这项功能的有效性还有待改进。结构化数据相对来说
9、比较容易被识别和分类,但对于非结构化数据来说,有效性不高,这是目前国外 DLP 比较致命的缺陷之一。从总体上说,国外 DLP 产品还是采用被动防范的手段来解决。 国内 DLP 产品以透明加密和权限管理为核心,结合身份认证、日志审计、文档自动备份、文档外发管理、设备安全管理、磁盘全盘加密等功能,其实是针对文档(数据)采用双重保护手段。一是文件级的加密权限保护,二是磁盘级的加密保护。其中防水墙文档透明加密子系统、防水墙文档权限管理子系统、防水墙文档安全管理子系统、防水墙文档外发管理子系统是文件级加密权限保护,全盘加密系统和加密安全网关是磁盘级加密保护。国内 DLP 是从主动防范的立足点来解决问题的
10、。 3、产品适用范围不同 国外 DLP 基本实施在中国的外企。这是由于外企在国外总部基本采用了国外 DLP 产品,在中国只是延续其总部的防范手段。从目前的市场应用来看,一部分外企比较容易接受国外 DLP 产品,并有实施。 国内 DLP 考虑中国特殊国情,基于国内环境设计,所以其适用范围相当广泛。以山丽网安防水墙为例,当前主要适用目标客户群在于:军工、政府、企业。包括各国家部委、金融、电力、电信、军工集团、大型企业(集团) ,并向中小企业及个人用户拓展,销售主体为政府用户、金融和军工和大型企业集团用户。山丽网安防水墙为丰田汽车、贝卡尔特、凸版印刷、中国银行等多家世界五百强企业成功部署了数据泄漏防
11、护解决方案,同时还为2010 年上海世博会、2010 广州亚运会等国际级大型活动提供过数据安全保障支持。 4、产品实施后效果不同 国外 DLP 在中国存在普遍的水土不服现象,主要原因还是在防内和防外的问题上。国外 DLP 无法防止内部主动泄密。国内 DLP 以加密权限为核心,从主动预防的立足点来防止数据泄漏,对数据(文档)进行加密,从源头上进行控制。即使内部数据流失到外部,也因为已被加密而无法使用,从而保证了数据(文档)的安全。 五、国内 DLP 解决方案总体上优于国外 DLP 综上所述,国内 DLP 解决方案的优势是显而易见的。从技术上讲,国内 DLP 完全能防止数据(文档)的泄漏问题,是适合中国国情的解决方案。 国外 DLP 解决方案不适合中国用户情况,无法满足用户需求。从总体上讲,可以解决部分问题,但无法严密地防范泄密,只能更多地依赖管理手段。关于这一点,国外 DLP 厂商也有清醒的认识。 “在预防数据泄密和安全威胁的问题上,公司需要拥有主动性战略。安全产品确实有效果,但是还需要广大员工在日常工作中积极参与。人们需要知道他们的一些行为,比如把文件拷到 U 盘带出办公室,可能会损害公司的数据安全。从以上言论可以看出,国外 DLP 产品的有效性确实有所欠缺,只好寄希望于员工自觉遵守制度来保证;对于内部员工主动泄密和窃密者,却是无能为力。