企业数据的共享从来都不是那么简单。员工可以用邮件添加附件,在云上同步文件,用闪存拷贝几个GB的数据,从外部访问网络上资源等等。这样的优点在于提高了生产力和工作的灵活性。不足就是IT对敏感数据的保护更为艰难,尤其是对内部恶意使用者的防护。企业可以考虑通过终端数据防丢失工具作为终端安全管理的一部分。
注意内部人员的工作
这个春天,Victorinox发布了最新的Swiss Army Knife,其中包含了一个跳盘可以存储1TB的数据,而且写入速度支持到最大150MBps。借助这样的设备,企业内部的恶意人员出于报复或利益的原因可以盗走整个数据中心。
根据Identity Theft Resource Center数据,在2011年全美企业报告的所有数据中心问题中,出现了56起内部人员偷盗案例,占到13.4%的比例。
传输大量数据最简单的办法就是拷贝到USB设备,但是希望偷盗信息的雇员还可以通过CD、DVD、平板、笔记本或任何其它可移动媒体下载,这些都可以轻松带出数据中心大楼。
但是终端安全管理软件不仅限于可移动磁盘上的数据。对公司不满下决心离开的员工可能通过Web应用、公开网络、文本信息或email附件来发布机密信息。恶意的内部人员还被发现通过无线访问,如802.11无线LAN,个人蓝牙局域网络和宽频广域网等方式访问终端。
DLP工具对安全的作用
多数企业中,IT人员花费大量精力用于保护敏感数据不受外部攻击。甚至内部恶意访问也可以通过一些最佳实践来降低,例如控制权限、管理网络账户和升级人力资源策略来区分雇佣和解雇。IT不能保证总是勤勉工作,而且在终端数据防丢失方面发生问题很多是因为试图监控和防范潜在风险工作本身的复杂性。
这就是终端DLP(data loss prevention (DLP)工具发挥作用的时候。广泛的防护系统应该包含雇员存储数据以及在自己的工作站和移动设备上使用敏感数据等方面内容。DLP工具可以扫描终端上的硬盘,并识别机密信息数据存放的地点和哪些数据面临最大的风险。它们可以针对不同数据类型采取特殊的动作。例如,数据防丢失软件可以隔离敏感数据,把它移动到安全网络地点或对它进行加密。
DLP工具还可以监控数据在终端上的使用情况。任何涉及敏感数据的动作,如向跳盘拷贝文件或通过邮件发送附件等都可以跟踪到。
监控仅仅是终端安全管理工具的功能之一,例如,数据防丢失软件系统可以防止文件被拷贝到USB设备和通过邮件发送。或者,除了这些防止动作之外,软件还可以加密机密文件。
敏感数据防丢失方案中还可以设置向IT人员发出通知或隔离数据。它可能会禁止终端设备,或向其它客户提出申请来检查是否涉嫌数据丢失。
例如市场上的终端DLP工具有Symantec Data Loss Prevention for Endpoint 和Websense Data Endpoint。尽管Websense不能共享赛门铁克的知识,这两个产品提供相似的功能,都提供综合的敏感数据监控和保护功能。
Symantec或许更擅长制定和管理策略,而且在监控和防止未授权访问方面也证明了其能力。另一方面,Websense在易安装和管理方面获得一致好评,还有它的综合报告功能。另外,很多IT爱好者考虑ROI的时候认为Websense是更为纯粹的产品。此外,还有一些其它类似软件。
不管您选择了哪种DLP工具,雇员可能都对限制他们行为的动作不那么配合,除非他们已经被教育过敏感数据保护的重要性。例如,如果雇员理解他们为什么禁止向跳盘下载文件,可能在传输文件遇到弹出禁止窗口的时候会更为合作。
DLP工具的限制
使用数据防丢失软件可能极大提高终端设备的安全管理,但是没有什么系统可以达到完美。例如,DLP工具必须被安装到所有的网络终端上才能完全发挥作用,而且现在的应用不能工作在移动手机设备上。如果用户在咖啡馆网络通过外部设备,如家庭PC或笔记本,访问网络时也不能发挥作用。
终端DLP工具可以缓和数据丢失,但是它也仅仅是多层次安全防护的一部分。例如Symantec的Data Loss Prevention for Endpoint,仅仅是Data Loss Prevention Product Family系列产品的一部分,而Websense Data Endpoint则是Websense Data Security Suite套件的组成部分之一。两个产品线都可以不仅防止终端上的数据丢失,而且保障任意其它设备或在网络上传输时数据的安全。
为了最好地保护敏感信息,数据防丢失软件还可作为终端安全管理的组成部分,把其它的一些技术,如访问控制和恶意监测整合起来。Websense Data Security Suite的配置上就提供了跟防火墙和防病毒软件的整合功能。
数据丢失防护和DLP工具可以填补其它的一些数据安全漏洞。例如,防病毒软件或防火墙,不能防止恶意的内部人员下载文件到跳盘上。而DLP工具则可以。没有什么应用可以根除所有的数据丢失风险,但是把DLP工具作为全面终端安全管理策略的一部分可以帮助达成这个目标。