数据丢失防护(Data Loss Prevention)因为其含义模糊的缩写形式(DLP)在业界正迅速窜升为最容易被误解以及被滥用的名称,而且数据丢失防护的名称缩写还经常令人费解地出现在各种安全产品标签上,这使事情更加混乱了。
对于CIO而言,防止关键数据丢失的解决方案必须经过严格的检验。为此,CIO必须能够鉴别并选择正确的数据丢失防护解决方案,来帮助他们进行战略性的规划和有效地执行程序,从而大幅度降低数据丢失地风险。
与此同时,关于应该如何部署数据丢失防护解决方案的问题上,一直存在很多争论,主要包括以下问题:部署在网络上还是端点处呢?存储的数据该怎么办呢?DLP作为独立的解决方案或者作为更广泛的产品组合的一个功能,是否有所不同呢?
为了解决这些问题,首先我们必须先弄清楚什么是DLP,为什么DLP如此重要以及DLP是如何运作的。
什么是DLP?
数据丢失防护解决方案能够帮助CIO和CSO解决以下三个基本问题:
公司的机密信息位于何处?
这个数据是如何被使用的?
该如何最大程度地防止该数据被丢失?
对于回答这三个问题,DLP做了三件基本的工作:(1)深度内容检测;(2)通过终端点、网络和存储系统自动保护敏感数据;(3)事件响应流程以确保员工的正确操作。
DLP可以让你看到哪些数据库、文件服务器、笔记本电脑和台式机装载着敏感数据,当有人通过电子邮件向外发出源代码或者将客户名单复制到USB驱动时,DLP都会及时告知你。并且DLP还可以帮助你执行某些政策来阻止包含机密数据的网络传输以及制止向USB、iPod等驱动复制任何数据,同时能够自动化其他执行行为,如通知发件人、对电子邮件路由加密等,以确保敏感数据没有被暴露在文件系统中。
为什么DLP如此重要?
如今,人们无限制对互联网的访问以及前所未有的信息移动正在改变整个地球,在这个完全开放的新世界,信息可以很容易地被员工、合作伙伴、顾问、外包商及其他人随时随地获取共享或者访问。
大多数家庭配备了高带宽互联网连接,这使员工可以很轻易的向办公室或者从办公室转移大数量的数据信息。另外,移动设备也变得越来越小,并且功能更加强大。如今使用iPod就可以复制并装载所有美国公民的个人信息,还会剩余很多空间可以装载音乐。敏感数据可能通过不受保护的网站电子邮件被发送除去,机密文件也可能被暴露在共享服务器或者被复制到笔记本电脑带回家。
如果这种状况发生的话,丢失的数据完全足以毁灭一家公司,现在越来越多的公司面临着数据泄漏的风险。根据Ponemon研究所2007年的研究表明,一次数据泄漏事故中平均每条数据记录的成本为200美元左右,那么计算一下,自2005年以来美国有将近2.19亿条数据信息在安全泄漏中被暴露,可想而知,这对公司的影响是惊人的。
DLP解决方案是专为避免数据泄漏而设计的,无论数据被存储在何处,无论数据正在网络中传输或者在终端点中使用,DLP都能够很大程度上降低数据丢失的风险。更重要的是,最先进的DLP解决方案不仅仅能够保护数据,同时还能够鉴定风险、建立政策和程序、培训用户以及整合安全技术和控制。
DLP如何运行
DLP可以很容易地鉴别员工如何访问互联网会导致数据丢失,因此很多公司开始在网络中部署DLP,通过DLP来指定政策、检测网络流量、准确地检测事件并能够主动阻止不适当的数据传输。在网络中部署了DLP技术后,这些公司就能够立即降低在传输中丢失数据的风险。
有些公司同时还希望能够衡量数据在内部系统暴露的水平,从而改善访问控制并满足合规要求。使用和网络中相同的政策, DLP解决方案可以在任何状况下搜寻机密数据,而不管该数据存储在何处,是通过扫描范围广泛的数据存储库来查找如行政工资、人事档案、合同和交易记录等信息来实现的。当这种数据被发现时,数据会自动被转移到一个安全地点或者根据政策被加密。
以网络为中心和以存储为中心的DLP解决方案能够大大降低由于员工疏忽或者业务流程造成的数据丢失的风险,而这两种数据丢失原因占了数据丢失事故的95%。接下来,公司就会开始把注意力转向只占很小比例的数据丢失事故上,这部分的数据丢失主要是内部人员恶意泄漏造成的。DLP解决方案可以将功能扩展为防止数据被复制到移动设备或者违反政策从服务器下载等行为,端点DLP能够鉴别笔记本电脑和台式机种的敏感数据并阻止数据被复制到USB、iPod或者刻录到CD以及DVD上。有了DLP在端点处的部署,公司们就能够降低数据使用中丢失数据的风险。
现在,最先进的DLP产品可作为集成的解决方案,同时结合了基于端点和网络的软件来保护机密数据(无论是存储在某处还是在被使用)。这些解决方案利用的是两种软件共同的基础,包括同样的政策管理、检测、事件响应流程和跨网络、存储和终端系统的报告能力。这种集成的DLP解决方案能够使公司立即写出政策并能自动在整个公司执行政策。
自动化政策执行和人为因素
能够自动执行政策是体现DLP价值的一个关键因素,它可以赋予你自动路由电子邮件到加密网关的功能,或者转移一个包含敏感数据的并已经被暴露在文件系统的过时的文件,当然,所有这些操作都是基于政策而言的。
DLP有一个最容易被忽视的功能,就是它能够通过对公司或者员工中被认为最易受攻击的因素进行加强防范来降低数据丢失风险。我们都知道,几乎所有数据泄漏事故都涉及到人以及处理信息时他们遵循的或者不遵循的流程。大部分数据泄漏都是由于人为因素造成的,他们无视于政策的存在,或者只是简单地遵循不安全的业务流程。
无论采用哪种方式,DLP都是根据政策来保护数据防止数据丢失的,同时DLP能够实时告知员工他或者她造成的错误行为然后提出纠正的方法,从而避免数据丢失事故的发生。这种现场纠错的功能不仅能够纠正员工的工作方式同样能够对相关人员的行为产生积极的影响。
一家财富100强的公司指出90%的数据丢失事故仅仅在打开自动通知用户的功能10天后就及时得到了制止。
独立解决方案vs功能解决方案
越来越多的企业开始将目光投向防止数据丢失问题,很多公司会问到这样的问题:DLP作为独立的解决方案更有效,还是作为更广泛的安全产品组合的一个功能更有效呢?答案是前者,独立的DLP解决方案就会有很大的市场,因为数据丢失是个紧迫的问题,需要有针对性的解决方案,利用同样的政策管理、检测、事件响应流程和跨网络、存储和终端系统的报告能力
这种整合的综合DLP解决方案可能会成为更全面的以信息为中心的安全产品组合的关键组成部分,信息为中心的安全产品组合主要包括将恶意攻击阻止在外面,因此你还需要一个依靠传统安全解决方案(如防病毒软件和防邮件程序)的深度防御策略。同时,信息为中心的安全产品同样还包括保留住好东西,这意味着能够保护存储中的、使用中的数据信息。要实现这一点,安全解决方案需要和存储解决方案联合起来,DLP是实现信息安全设想的关键因素。
DLP解决方案能够向企业提供很多实用的功能,这也是DLP市场不断增长的原因。有了一个跨端点、网络和存储系统的综合DLP解决方案,企业就能够清楚地知道他们的关键数据位于何处,是如何被使用的,以及如何最大程度避免其丢失。更重要的是,DLP的自动化工作流程和修复功能能够对员工进行培训,帮助他们更好地了解数据丢失政策。可见,DLP是确保信息安全的关键因素。
【编辑推荐】