提起防泄密,多数人想到的通常是立刻部署数据加密软件,其实不然。防泄密产品并非只有数据加密一种,更重要的是每种安全技术都有其独特的应用范围,作为CIO应该能够洞悉其中奥秘,避免防泄密误区,合理采取防护措施保障数据安全。
对此,业内数据安全知名厂商—深圳虹安表示,从技术角度看,当前主流防泄密技术有:DSM数据加密软件、DSA数据安全隔离、DLP数据泄露防护三种。
1)DSM主要采用内核级透明加解密技术,在文档创建时即对文档自身进行透明加密,并与用户、权限相结合。文档加密后,合法用户正常双击打开,在授权范围内使用,非法用户无法则无法使用密文,从而实现防泄密的目的;
2)DSA主要采用数据安全隔离技术,通过存储、网络以及应用等多重隔离技术,在终端中隔离出数据安全区,并以此为基础在内部网络上按需隔离出一个或多个数据安全区域,用于保护源代码等敏感数据。在安全区域内敏感数据存储、流转、使用全周期安全且不受任何限制,但当数据离开安全区域时则必须通过审核;
3)DLP则以数据资产为对象,数据安全威胁为驱动,依据用户具体数据特征、应用场景,在DLP平台上,灵活采用加密、隔离、内容识别、态势感知等技术手段,按需提供针对性整体解决方案,防止敏感数据泄露、扩散;
另外,从应用范围看,DSM、DSA、DLP也有着截然不同的目标用户群,数据安全措施的选择从根本上取决于目标用户的数据特征与应用场景;
1)由于DSM数据加密软件执行加解密是根据进程进行的,通常只用来保护文档类数据(进程简单),在加密源代码等数据时,由于源代码进程调用关系通常十分复杂,导致源代码加密时损坏代码、降低系统性能的几率大增;
2)DSA与数据加密技术不同,主要通过构建数据安全区域,保护源代码以及大型设计图纸类数据防泄密(特别是solidworks图纸)。由于 DSA数据安全隔离不对源代码自身进行加密处理,在高强度保障源代码安全的同时可以有效避免DSM加密源代码时出现的卡、慢、死机等现象;
3)DLP则由于采用平台化管理、模块化设计,多为大型企业、集团用户所采用,以适应数据种类的多样性以及应用场景的复杂性。如:针对源代码或设计图纸可采用DSA、针对office文档可采用DSM、针对机构化数据可采用内容识别,另外还可采用态势感知技术对集团整体数据资产进行集中可视化智能管理等;
毋庸置疑,若不对企业自身数据特点、应用场景等情况加以深入分析,一味采用数据加密软件,不但不能保障数据安全,反而会带来不必要的损失与麻烦。