DLP(Data Leakage Prevention),数据泄露防护,指通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出的一整套防护措施。文档透明加密是一种直接运行在操作系统内核中,支持动态地加密文件,集安全性和方便性于一身,专门针对文档进行保护的革命性的加密技术,是DLP(数据泄露防护)体系中的一部分。
随着企业内部信息化建设的不断发展,互联网日益成为企业办公必不可或缺的媒介资源,企业泄露的途径也逐渐多样化,传统的边界及防火墙等手段无法满足全面的防护要求,DLP正是在这种情况下被引进国内的。由于现代企业的机密信息资料多以文档的形式出现,对这些文档资料的加密防护首先便成了数据泄露的重大课题,文档透明加密类产品也就最早进入国内数据泄露防护产品市场,甚至,文档透明加密产品也一度成为数据泄露防护系统的“代言人”。那么,文档透明加密产品是不是就是DLP呢?笔者认为,以透明加密技术为核心的文档透明类产品不能成为替代DLP的全部,这是因为:
第一, 以文档透明加密为核心的系列产品不符合安全的最小化原则。透明加密是根据配置的策略将所有文档进行加密,而据调查显示:企、事业单位中80%以上文档是不需防护的普通文档,若将文档全部加密,既不符合企业实际操作的需要,又违反了安全范围最小化的原则。而DLP则配合精细的文档权限和文件流转管理,控制重要部门的机密文档在很小的范围内流通,完全符合安全最小化原则的概念,同时DLP遵从合规化设计,真正做到符合企业实际所需。
第二, 不可否认,文档加密类产品一定程度上维护了企业文档的安全性。然而,在实际使用过程中,无论是在对此类产品进行申请、审核等设置时还是对加密文件内外发申请、审核运作时,都给用户带来了更大的工作量。而DLP会对企业部门的文档进行分级处理,权限的精细化管理还可以解决审核过多的问题,真正关注企业的实际应用性问题。
第三,文档透明加密后,需要审核外发,如果没有配合其它功能,像流程、权限管理等,是很容易造成泄密的,对大型的企业文档管理来说,审核外发的文件越多,企业泄密的风险也就越大,就这方面来说,文档透明加密反而造成了信息的泄密,不利于整体企业的对外运作。这也是为什么一些文档加密类企业产品在许多大型企业未能真正推广开来的原因。而DLP不仅仅从文件透明加密入手,还严格控制各种数据泄密途径,如:QQ、MSN、电子邮件、移动硬盘、U盘、打印、截屏录像、内存注入等,结合完善的日志审计和自动备份功能,提供多样化的日志查询审计和实时备份服务,做到全面有效的防止数据泄密。
第四,文件透明加密没有实现全面、集中的管理概念,而DLP集中包括了U盘,外设、文档安全管理、移动存储介质管理、外发控制、数据隔离、嵌入式安全套件等功能性产品,全方位、立体化地保障数据安全,各产品既可相互配合使用,也可单独使用,灵活地适应于各种应用场合,真正考虑和满足用户的切实需求。另外,DLP还提供一个采用开放式体系结构,与现有IT基础设施结合,集中化的单一管理平台。这些都是文件透明加密产品厂商所不能提供的,也是专业DLP的优势所在。
正是文档加密产品本身的局限性,不符合现代办公高效性需求,甚至不足以充分保障企业各项数据的安全性,所以必然需要更完善的DLP系统。企业对信息保密要求的多样性发展和需要,也使得国内数据泄露防护的研究不断深入,从原来的文档透明加密广泛扩展到终端防护 、存储磁盘、文件全面管理、版权管理以及U盘、外设端口控制、网页信息保护、即时通讯拦截等多个方面。那么,一套完整的DLP方案就应该从以上多个角度对各种信息泄露途径展开全面的防护措施,专业的DLP也应该伴随着企业的各种业务活动,提供全方位的、贴身的信息安全保护。
提到专业的数据泄露防护产品,很容易让人想起国外的Symantec赛门铁克、McaFee麦咖啡、RSA、Websense、趋势科技等。实际上,国内也有比较成熟的产品推出,像虹安自主研发的DLP防泄密软件系列,就是针对数据泄露的各个途径和来源研发出的一整套的泄露防护解决方案。虹安DLP数据泄露防护系统,针对各种泄密的可能,控制数据存储、应用、传输各节点,能帮助企业构建坚固的信息安全防护体系。目前,华为、中兴等国内知名企业以及某些国际500强企业都相继与虹安建立密切的商务联系,良好的市场反馈结果也进一步证明了更完善的DLP理念的正确性。
文档透明加密类产品曾作为数据泄露防护理念的一支大旗占据着国内市场的半壁江山,然而,随着市场的发展和企业信息化建设的多样化需求,更全面、更专业的数据泄露防护理念与产品必然引领大众成为市场主流。