網(wǎng)絡(luò)安全攻防:數(shù)據(jù)防泄露

計(jì)算機(jī)與網(wǎng)絡(luò)安全
計(jì)算機(jī)與網(wǎng)絡(luò)安全
為了防止內(nèi)部、外部人員有意、無(wú)意造成的數(shù)據(jù)泄露而造成損失,如今大多數(shù)數(shù)據(jù)庫(kù)通過(guò)數(shù)據(jù)加密來(lái)保證數(shù)據(jù)安全,防止泄密,這也是當(dāng)前最有效的解決辦法。以數(shù)據(jù)加密為核心的數(shù)據(jù)泄露防護(hù)(DLP)解決方案,已經(jīng)成為主流方案,并得到了眾多用戶的認(rèn)可。

360截圖16240201557844.png

1.DLP簡(jiǎn)介

數(shù)據(jù)泄露防護(hù)(DLP,Data Leakage(Loss)Prevention),是指對(duì)數(shù)據(jù)的保護(hù),不同于以往對(duì)數(shù)據(jù)的管理形式,對(duì)數(shù)據(jù)全加密或全授權(quán)訪問(wèn),數(shù)據(jù)泄露防護(hù)要求根據(jù)不同數(shù)據(jù)類(lèi)型提出不同的管理方案,除了對(duì)不同結(jié)構(gòu)的數(shù)據(jù)不同管理,對(duì)不同內(nèi)容、不同重要性數(shù)據(jù)也要區(qū)別對(duì)待。

(1)核心能力

DLP的核心能力在于內(nèi)容識(shí)別。其識(shí)別具體能力有關(guān)鍵字、正則表達(dá)式、文檔指紋、確切數(shù)據(jù)源(數(shù)據(jù)庫(kù)指紋)、支持向量機(jī)等,且每一種能力又能衍生出多種復(fù)合能力。

DLP也具有防護(hù)能力,包括網(wǎng)絡(luò)防護(hù)和終端防護(hù)。其中,網(wǎng)絡(luò)防護(hù)以審計(jì)、控制為主,而終端防護(hù)在此基礎(chǔ)上更要有主機(jī)的控制能力、加密權(quán)限和控制權(quán)限。

(2)技術(shù)基礎(chǔ)

DLP的實(shí)體部署位置,一般位于數(shù)據(jù)庫(kù)的連接之前,用于保證數(shù)據(jù)庫(kù)數(shù)據(jù)的合法性取出。“網(wǎng)絡(luò)DLP”產(chǎn)品常駐于DMZ中,而其他產(chǎn)品則常駐于企業(yè)LAN或數(shù)據(jù)中心。除了“終端DLP”產(chǎn)品以外,所有其他產(chǎn)品都是以服務(wù)器為基礎(chǔ)。

為防止數(shù)據(jù)丟失,無(wú)論何處發(fā)生的數(shù)據(jù)變動(dòng),都必須準(zhǔn)確檢測(cè)其中的機(jī)密數(shù)據(jù)。為避免漏報(bào)、誤報(bào)等情況,DLP采用3種基礎(chǔ)檢測(cè)技術(shù)(正則表達(dá)式檢測(cè)、關(guān)鍵字和關(guān)鍵字對(duì)檢測(cè)、文檔屬性檢測(cè))和3種高級(jí)檢測(cè)技術(shù)(精確數(shù)據(jù)比對(duì)、指紋文檔比對(duì)、向量分類(lèi)比對(duì))確保其檢測(cè)的準(zhǔn)確性。通過(guò)4種加密技術(shù)(設(shè)備過(guò)濾驅(qū)動(dòng)技術(shù)、文件級(jí)智能動(dòng)態(tài)加解密技術(shù)、網(wǎng)絡(luò)級(jí)智能動(dòng)態(tài)加解密技術(shù)、磁盤(pán)級(jí)智能動(dòng)態(tài)加解密技術(shù))實(shí)現(xiàn)數(shù)據(jù)庫(kù)的加密和防止數(shù)據(jù)泄露、丟失。

2.DLP方案

通常認(rèn)為DLP的實(shí)施前要經(jīng)歷以下6個(gè)步驟。

1)將數(shù)據(jù)分類(lèi),確定“敏感數(shù)據(jù)”的范疇,明確需要受到保護(hù)的數(shù)據(jù)內(nèi)容。

2)確定數(shù)據(jù)的硬件存放位置,明確機(jī)密數(shù)據(jù)和一般數(shù)據(jù)的存放位置,是服務(wù)器還是客戶端存放。

3)清楚掌握數(shù)據(jù)的軟件位置,并在存放數(shù)據(jù)的機(jī)器上合理定制權(quán)限管理機(jī)制,使無(wú)關(guān)程序沒(méi)有權(quán)限訪問(wèn)、修改重要數(shù)據(jù)。

4)防止人為導(dǎo)致數(shù)據(jù)泄露的發(fā)生,對(duì)人事加強(qiáng)管理,設(shè)立人與人之間的權(quán)限機(jī)制,使機(jī)密數(shù)據(jù)不易被人接觸。

5)監(jiān)控?cái)?shù)據(jù)流向,采用身份認(rèn)證確保數(shù)據(jù)傳輸對(duì)象的合法性和真實(shí)性。

6)確保數(shù)據(jù)傳輸通道的安全,采用正確加密方式,防止中間人竊聽(tīng)等攻擊的實(shí)施。

面向不同的需求和環(huán)境,DLP有多種不同側(cè)重實(shí)施方案,有的表現(xiàn)為設(shè)備強(qiáng)管控,采用邏輯隔離手段,構(gòu)建安全隔離容器;也有的表現(xiàn)為文檔強(qiáng)管控,提供內(nèi)容源頭級(jí)縱深防御能力。數(shù)據(jù)文檔的分類(lèi)、分級(jí)、加密、授權(quán)與管理,也有行為強(qiáng)審計(jì),利用準(zhǔn)確關(guān)鍵字對(duì)數(shù)據(jù)操作行為的審計(jì),對(duì)文檔的新建、修改、傳輸、存儲(chǔ)、刪除的行為監(jiān)察,還有智能管控,可識(shí)別、可發(fā)現(xiàn)、可管理,提供共性管控能力的DLP方案產(chǎn)品。

為了防止內(nèi)部、外部人員有意、無(wú)意造成的數(shù)據(jù)泄露而造成損失,如今大多數(shù)數(shù)據(jù)庫(kù)通過(guò)數(shù)據(jù)加密來(lái)保證數(shù)據(jù)安全,防止泄密,這也是當(dāng)前最有效的解決辦法。以數(shù)據(jù)加密為核心的數(shù)據(jù)泄露防護(hù)(DLP)解決方案,已經(jīng)成為主流方案,并得到了眾多用戶的認(rèn)可。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論

本月熱門(mén)

精選文章

熱點(diǎn)資訊