隨著技術的發展，企業的業務流程及信息處理越來越依賴于IT設施，企業的信息也從最開始的以紙介質為保存媒體，逐漸轉變為紙介質和電子介質保存的局面。許多企業出于快速處理信息的考慮，甚至將所有的信息進行電子化，所有的業務流程也依賴于IT設施。因此，IT設施的正常運作及電子信息的良好保護，便成為企業業務順利進行和發展的關鍵因素之一。 信息資產的定義及其面臨的威脅風險 信息在企業業務中扮演著如此重要的角色，因此我們可以認為信息也是一種資產，并稱之為信息資產。信息資產盡管是無形的，但由于它包含了大量的業務數據、客戶信息、商業秘密等對企業的業務乃至存亡密切相關的內容，所以信息資產也面臨大量的威脅和風險，包括有意或無意的銷毀、黑客攻擊、惡意軟件造成的數據丟失、內部人員的泄漏等。這些威脅和風險中，最有可能發生并造成嚴重后果的便是保密信息有意或意外的泄漏，一旦發生數據泄漏事件，企業不單要承擔保密數據本身價值的損失，嚴重的時候還會影響企業的聲譽和公眾形象，并有可能面臨法律上的麻煩。2007年在美國TJX零售公司發生的4500多萬客戶的信息卡及保密資料丟失，進而導致其客戶和銀行業對其提起訴訟，最終TJX公司需要向客戶賠付1.01億美元，并承受嚴重的企業聲譽損失。 圖：?保密數據泄漏的三種形式：意外泄漏、故意泄漏、惡意泄漏 數據泄漏防御的定義 為了保護企業的保密信息不被有意或意外泄漏，一種稱為“數據泄漏防御”(Data leakage prevention, DLP)，有時也稱為“信息泄漏防御”（Information leakage prevention, ILP）的技術便應運而生。數據泄漏防御技術是通過一定的技術或管理手段，防止企業的指定數據或信息資產以違反安全策略規定的形式流出企業。 數據泄漏防御方案的分類 ?????根據所部署的位置的不同，數據泄漏防御方案可以分成基于網絡的數據泄漏防御方案（NDLP）和基于主機的數據泄漏防御方案（HDLP），這和入侵檢測系統的分類是很相似的。目前市面上的大部分數據泄漏防御方案都是基于網絡類型，有少部分是基于主機類型。基于網絡的數據泄漏防御方案通常部署在保存有保密數據的企業內部網絡和外部網絡連接的出口處，所針對的對象是進出企業內部網絡的所有數據，如果發現有違反企業安全策略的數據流入流出，NDLP便會將違規數據予以攔截或采取警報等其他行為。而基于主機的數據泄漏防御方案則部署在存放敏感數據的主機上，當其發現被保護主機上的數據被違規轉移出主機時，HDLP會采取攔截或警報等行為。 為了更形象的說明數據泄漏防御的工作原理，筆者給大家準備了如下的示意圖： 在上圖我們可以了解到，企業的敏感數據通常存放在文件服務器上(Company sensitive data)，用戶通過自己的終端(LAN Desktop)進行訪問。LAN Desktop周邊的打印機、可移動存儲設備、攝像頭、調制解調器和無線網絡便是潛在的本地數據泄漏源，企業可以通過在用戶的終端上部署基于主機的數據泄漏防御方案來進行控制。LAN Desktop和Internet進行的通訊，尤其是最常見的E-mail、FTP、HTTP和即時通訊是最常見的網絡數據泄漏源，在這種場合企業就需要在內部網絡和Internet連接的出口處部署基于網絡的數據泄漏防御方案進行控制。 數據泄漏防御的基本原理如何 ?????市面上的數據泄漏防御方案很多，各廠商的實現也大不相同，企業在選擇數據泄漏防御方案時往往有眼花繚亂，無從下手的感覺。其實數據泄漏防御方案的基本原理并不復雜，可以簡單的分成以下三類： l??關鍵詞內容過濾，數據泄漏防御方案根據網絡或主機上所保存和流動的數據內的特定關鍵詞進行過濾，來確定是否存在不符合企業安全策略的數據流動，比如根據“保密”這個關鍵詞進行過濾。 l??擴展名過濾，數據泄漏方案根據網絡或主機上所保存和流動的數據文件的擴展名進行過濾，判斷是否存在不符合企業安全策略的數據流動，比如根據?以DOC為擴展名的文件不能流出企業內部網絡這樣的規則進行過濾。 l??信息等級過濾，數據泄漏方案根據網絡或主機上所保存和流動的數據所屬的保密級別，判斷是否存在不符合企業安全策略的數據流動，比如?標記為“秘密“等級的數據不能流出企業內部網絡。這種數據泄漏防御的實現方法需要部署的企業先對自己的所有信息資產進行分類和標記，是最有效同時也是最費力的數據泄漏防御方案。 數據泄漏防御的優點和局限性 ?????企業如果部署數據泄漏防御方案，將可以在現有的安全方案上，再為信息資產添加一層安全保障，即使在防火墻、反病毒等方案失效的情況下，仍能最大程度的保護企業內的保密數據不會因為有意或無意的原因泄漏到外界，同時由于數據泄漏防御是防止數據流出外界，它也對在目前愈演愈烈的內部人違反安全策略導致的安全事件的數據泄漏有相當好的效果。 但企業也應該清醒的認識到，數據泄漏防御不是萬能的。我們知道，信息安全的目標，指的就是要保護信息資產的保密性、完整性和可用性，數據泄漏防御方案所提供的保護針對的是信息資產的保密性，它并不能提供信息資產的完整性及可用性保護。另外，從技術層面上講基于網絡的數據泄漏防御和基于主機的數據泄漏防御這兩種方案之間基本不存在重疊關系，其中任意一種方案都基本不能抵御另外一種所要解決的數據泄漏問題。 企業應該如何選擇數據泄漏防御方案 ?????如果企業決定要部署數據泄漏防御方案來保護自己的信息資產不受泄漏的威脅，面對市場上紛繁復雜的數據泄漏防御產品，企業應該如何進行選擇？ 企業應該首先根據自己的安全策略，定義自己的信息資產有哪些，什么是“數據泄漏“等，只有清晰的明白自己的安全需求，才能正確的進行方案和產品的選擇，這個原則在選擇所有IT方案時都是適用的。 接下來企業需要了解自己的IT架構和信息資產的實際情況，然后再選擇數據泄漏防御方案的類型，比如很多保密企業的內部網絡都是與Internet隔離的，因此選擇基于網絡的數據泄漏防御方案是完全沒有必要的，應該選擇基于主機的數據防御方案。 在選擇好數據防御方案的類型后，企業就可以根據自己的安全需求，了解各廠商的數據泄漏防御方案的優缺點，并優先考慮其操作的準確性、功能的可用性、管理的方便性和成本的經濟性，最后才選擇并部署最適合自己的數據泄漏防御方案。總之，企業只有根據自己的實際情況來選擇產品，由管理到技術，在充分認識數據泄漏防御方案優缺點的基礎上進行選擇，才能選出最適合自己的數據泄漏防御方案，并真正達到保護企業信息資產的目的。






本文轉自J0ker51CTO博客，原文鏈接：http://blog.51cto.com/J0ker/60085，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的数据泄漏防御在企业的应用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。