智能化的數(shù)據(jù)安全管控可以讓企業(yè)管理員按照數(shù)據(jù)的重要程度有針對性的對數(shù)據(jù)進(jìn)行控制。
在企業(yè)中提到數(shù)據(jù)保護(hù)����,大家可能常常想起文檔�,很少有人會關(guān)注文檔中的內(nèi)容,對數(shù)據(jù)的管理也比較單一���,通常就是全加密、全授權(quán)����,對文檔的重要性不做區(qū)分����,隨著社會的發(fā)展���,文檔的格式越來越多�,安全事件的不斷爆發(fā)����,使得人們對數(shù)據(jù)的關(guān)注度發(fā)生了變化,數(shù)據(jù)也分成了結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)����,更加的關(guān)注文檔內(nèi)容中的敏感信息�,使用文檔的應(yīng)用有哪些�,對不同類型的文檔、含有不同內(nèi)容的文檔有區(qū)別的管理和存儲���。
以前要管控?cái)?shù)據(jù),大多是強(qiáng)管控����,直接全部隔離���,或者全部加密�,我們稱之為囚籠�、枷鎖式的管控,在實(shí)際的數(shù)據(jù)生產(chǎn)、使用����、流轉(zhuǎn)中帶來了很多不必要的麻煩���,人們需要更加靈活的方式來處理數(shù)據(jù)����,此時(shí)����,智能化的數(shù)據(jù)安全管控應(yīng)運(yùn)而生,企業(yè)管理員可以按照數(shù)據(jù)的重要程度有針對性的對數(shù)據(jù)進(jìn)行控制���。
數(shù)據(jù)防泄漏的核心能力什么是DLP呢���?字面上翻譯為“Data Leakage(Loss) Prevention數(shù)據(jù)泄露防護(hù)”���,其核心能力就是內(nèi)容識別���,通過識別可以擴(kuò)展到對數(shù)據(jù)的防控���。
內(nèi)容識別應(yīng)該具備的識別能力具體來說有關(guān)鍵字、正則表達(dá)式、文檔指紋、確切數(shù)據(jù)源(數(shù)據(jù)庫指紋)����、支持向量機(jī)����,針對于每一種能力又會衍伸出多種復(fù)合能力����。
DLP還應(yīng)該具備防護(hù)能力,防護(hù)范圍包括網(wǎng)絡(luò)防護(hù)和終端防護(hù)。
網(wǎng)絡(luò)防護(hù)主要以審計(jì)����、控制為主�,終端防護(hù)除審計(jì)與控制能力外����,還應(yīng)包含傳統(tǒng)的主機(jī)控制能力、加密和權(quán)限控制能力����。
總的來說�,DLP其實(shí)就是一個(gè)綜合體���,最終實(shí)現(xiàn)的效果����,應(yīng)該是智能發(fā)現(xiàn)���、智能加密�、智能管控、智能審計(jì)���,也是一整套的數(shù)據(jù)泄露防護(hù)方案。
數(shù)據(jù)防泄漏的組成下圖說明DLP的實(shí)體配置����,以及不同模型在組織內(nèi)的常駐位置�。
“網(wǎng)絡(luò) DLP”產(chǎn)品常駐于 DMZ 中����,而其他產(chǎn)品則常駐于企業(yè) LAN 或數(shù)據(jù)中心。
除了“終端 DLP”產(chǎn)品以外����,所有其他產(chǎn)品都是以服務(wù)器為基礎(chǔ)����。
數(shù)據(jù)防泄露通用技術(shù)為了預(yù)防數(shù)據(jù)丟失����,無論數(shù)據(jù)的存儲、復(fù)制或傳輸位置在哪里����,都必須準(zhǔn)確地檢測所有類型的機(jī)密數(shù)據(jù)�。
如果沒有準(zhǔn)確的檢測���,數(shù)據(jù)安全系統(tǒng)就會生成許多誤報(bào) (將并未違規(guī)的消息或文件標(biāo)識為違規(guī)) 以及漏報(bào) (未將違反策略的消息或文件標(biāo)識為違規(guī))���。
誤報(bào)會大量耗費(fèi)進(jìn)行進(jìn)一步調(diào)查和解決明顯事故所需的時(shí)間和資源����。
漏報(bào)會掩蓋安全漏洞����,導(dǎo)致數(shù)據(jù)丟失、潛在財(cái)務(wù)損失���、法律風(fēng)險(xiǎn)并有損組織聲譽(yù)。
因此需要準(zhǔn)確的檢測技術(shù)來做保障。
為了確保最高的準(zhǔn)確性����,DLP 采用了三種基礎(chǔ)檢測技術(shù)和三種高級檢測技術(shù)����。
基礎(chǔ)檢測技術(shù)基礎(chǔ)檢測技術(shù)中通常有三種方式,正則表達(dá)式檢測(標(biāo)示符)�、關(guān)鍵字和關(guān)鍵字對檢測����、文檔屬性檢測���。
基礎(chǔ)檢測方法采用常規(guī)的檢測技術(shù)進(jìn)行內(nèi)容搜索和匹配�,比較常見的都是正則表達(dá)式和關(guān)鍵字,此兩種方法可以對明確的敏感信息內(nèi)容進(jìn)行檢測�;文檔屬性檢測主要是針對文檔的類型���、文檔的大小�、文檔的名稱進(jìn)行檢測����,其中文檔的類型的檢測是基于文件格式進(jìn)行檢測���,不是簡單的基于后綴名檢測�,對于修改后綴名的場景,文件類型檢測可以準(zhǔn)確的檢測出被檢測文件的類型,目前支持100多種標(biāo)準(zhǔn)的文件類型�,并且可以通過自定義特征����,去識別特殊的文件類型格式的文檔����。
高級檢測技術(shù)高級檢測技術(shù)中也有三種方式,精確數(shù)據(jù)比對 (EDM)、指紋文檔比對 (IDM)����、向量分類比對 (SVM)�。
EDM 用于保護(hù)通常為結(jié)構(gòu)化格式的數(shù)據(jù)����,例如客戶或員工數(shù)據(jù)庫記錄。
IDM和SVM 用于保護(hù)非結(jié)構(gòu)化的數(shù)據(jù)���,例如 Microsoft Word 或 PowerPoint 文檔。
對于 EDM����、IDM����、SVM 而言����,敏感數(shù)據(jù)會先由企業(yè)標(biāo)識出來���,然后再由DLP判別其特征����,以進(jìn)行精準(zhǔn)的持續(xù)檢測。
判別特征的流程包括DLP訪問和檢索文本及數(shù)據(jù)���、予以正規(guī)化,并使用不可逆的打亂方式進(jìn)行保護(hù)���。
DLP 檢測是以實(shí)際的機(jī)密內(nèi)容為基礎(chǔ),而非根據(jù)文件本身���。
因此,DLP不只能檢測敏感數(shù)據(jù)的檢索項(xiàng)或衍生項(xiàng)�,而且能夠標(biāo)識文件格式與特征信息格式不同的敏感數(shù)據(jù)���。
例如����,如果已經(jīng)判別出機(jī)密 Microsoft Word 文檔的特征�,DLP就能夠在相同的內(nèi)容以 PDF 附件的方式通過電子郵件進(jìn)行提交時(shí)�,將其準(zhǔn)確檢測出來����。
精確數(shù)據(jù)比對精確數(shù)據(jù)比對 (EDM) 可保護(hù)客戶與員工的數(shù)據(jù),以及其他通常存儲在數(shù)據(jù)庫中的結(jié)構(gòu)化數(shù)據(jù)。
例如����,客戶可能會撰寫有關(guān)使用 EDM 檢測的策略���,以在消息中查找“名字”、“身份證號”�、“銀行帳號”或“電話號碼”其中任意三項(xiàng)同時(shí)出現(xiàn)的情況����,并將其映射至客戶數(shù)據(jù)庫中的記錄����。
EDM 允許根據(jù)特定數(shù)據(jù)列中的任何數(shù)據(jù)欄組合進(jìn)行檢測;也就是在特定記錄中檢測 M 個(gè)字段中的 N 個(gè)字段�。
它能夠在“值組”或指定的數(shù)據(jù)類型集上觸發(fā)���;例如�,可接受名字與身份證號這兩個(gè)字段的組合�,但不接受名字與手機(jī)號這兩個(gè)字段的組合。
由于會針對每個(gè)數(shù)據(jù)存儲格存儲一個(gè)單獨(dú)的打亂號碼�,因此只有來自單個(gè)列的映射數(shù)據(jù)才能觸發(fā)正在查找不同數(shù)據(jù)組合的檢測策略����。
例如�,有個(gè) EDM 策略請求“名字 + 身份證號 +手機(jī)號”的組合,則“張三”+“13333333333”“110001198107011533” 可觸發(fā)此策略����,但是即使 “李四”也位于同一數(shù)據(jù)庫中�,“李四”+“13333333333”“110001198107011533”也不能觸發(fā)此策略���。
EDM 也支持相近邏輯以減少可能的誤報(bào)情形����。
對于檢測期間所處理的自由格式文本而言,單個(gè)特征列中所有數(shù)據(jù)各自的字?jǐn)?shù)均必須在可配置的范圍內(nèi)���,方可視為匹配項(xiàng)。
例如���,依默認(rèn)���,在檢測到的電子郵件正文的文本中����,“張三”+“13333333333”“110001198107011533”各自的字?jǐn)?shù)必須在選定的范圍內(nèi),才會出現(xiàn)匹配項(xiàng)。
對于含有表式數(shù)據(jù) (例如 Excel 電子表格) 的文本而言�,單個(gè)特征列中所有數(shù)據(jù)都必須位于表式文本的同一行上�,方可視為匹配項(xiàng)�,以減少整體誤報(bào)情形。
指紋文檔比對“指紋文檔比對”(IDM) 可確保準(zhǔn)確檢測以文檔形式存儲的非結(jié)構(gòu)化數(shù)據(jù),例如 Microsoft Word 與 PowerPoint 文件、PDF 文檔、財(cái)務(wù)、并購文檔,以及其他敏感或?qū)S行畔ⅰ?/p>
IDM 會創(chuàng)建文檔指紋特征����,以檢測原始文檔的已檢索部分�、草稿或不同版本的受保護(hù)文檔���。
IDM 首先要進(jìn)行敏感文件的學(xué)習(xí)和訓(xùn)練����,拿到敏感內(nèi)容的文檔時(shí), IDM采用語義分析的技術(shù)進(jìn)行分詞����,然后進(jìn)行語義分析���,提出來需要學(xué)習(xí)和訓(xùn)練的敏感信息文檔的指紋模型����,然后利用同樣的方法對被測的文檔或內(nèi)容進(jìn)行指紋抓取�,將得到的指紋與訓(xùn)練的指紋進(jìn)行比對���,根據(jù)預(yù)設(shè)的相似度去確認(rèn)被檢測文檔是否為敏感信息文檔�。
這種方法可讓 IDM 具備極高的準(zhǔn)確率與較大的擴(kuò)展性����。
向量機(jī)分類比對支持向量機(jī)(Support Vector Machines)是由Vapnik等人于1995年提出來的�。
之后隨著統(tǒng)計(jì)理論的發(fā)展,支持向量機(jī)也逐漸受到了各領(lǐng)域研究者的關(guān)注,在很短的時(shí)間就得到很廣泛的應(yīng)用。
支持向量機(jī)是建立在統(tǒng)計(jì)學(xué)習(xí)理論的VC維理論和結(jié)構(gòu)風(fēng)險(xiǎn)最小化原理基礎(chǔ)上的����,利用有限的樣本所提供的信息對模型的復(fù)雜性和學(xué)習(xí)能力兩者進(jìn)行了尋求最佳的折中�,以獲得最好的泛化能力�。
SVM的基本思想是把訓(xùn)練數(shù)據(jù)非線性的映射到一個(gè)更高維的特征空間(Hilbert空間)中,在這個(gè)高維的特征空間中尋找到一個(gè)超平面使得正例和反例兩者間的隔離邊緣被最大化�。
SVM的出現(xiàn)有效的解決了傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)結(jié)果選擇問題�、局部極小值����、過擬合等問題。
并且在小樣本���、非線性、數(shù)據(jù)高維等機(jī)器學(xué)習(xí)問題中表現(xiàn)出很多令人注目的性質(zhì)�,被廣泛地應(yīng)用在模式識別�,數(shù)據(jù)挖掘等領(lǐng)域���。
SVM比對算法適合那些具有微妙的特征或很難描述的數(shù)據(jù)�,如財(cái)務(wù)報(bào)告和源代碼等。
使用過程中,先將文檔按照內(nèi)容細(xì)分化分類�,每一類文檔集合有屬于本類的意義�,經(jīng)過SVM比對�,確定被檢測的文檔屬于哪一類,并取得此類文檔的權(quán)限和策略。
同時(shí)�,針對SVM的特點(diǎn)���,可以進(jìn)行終端或服務(wù)器上的文檔按照分類含義進(jìn)行分類數(shù)據(jù)發(fā)現(xiàn)���。
IDM和SVM的比對區(qū)別是���,IDM將待檢測文件的指紋和訓(xùn)練模型中的每一個(gè)文件進(jìn)行指紋比對�;而SVM是將待檢測文件向量化���,并歸屬到某一類訓(xùn)練集所建立的向量空間���。
數(shù)據(jù)防泄漏控制與加密技術(shù)設(shè)備過濾驅(qū)動技術(shù)一種設(shè)備過濾驅(qū)動編程技術(shù)����,可實(shí)現(xiàn)對終端任意設(shè)備(USB端口���、打印機(jī)���、光驅(qū)�、軟驅(qū)、紅外�、藍(lán)牙以及網(wǎng)卡等)的安全保護(hù)及控制���。
自動識別硬件信息�、用戶標(biāo)識�、存儲設(shè)備與非存儲設(shè)備、授權(quán)設(shè)備與非授權(quán)設(shè)備等信息����。
文件級智能動態(tài)加解密技術(shù)一種文件級過濾驅(qū)動編程技術(shù)����,通過實(shí)時(shí)攔截文件系統(tǒng)的讀/寫請求���,對文件進(jìn)行動態(tài)跟蹤和透明加/解密處理�。
其主要優(yōu)點(diǎn):文件加/解密動態(tài)、透明���,不改變使用者的操作習(xí)慣;性能影響小����,系統(tǒng)運(yùn)行效率高�;不改變原始文件的格式和狀態(tài)���,同時(shí)���,部署和內(nèi)部使用非常方便����。
顯著特征為:加密強(qiáng)制性、使用透明性����、保密徹底性���、應(yīng)用無關(guān)性���、靈活拓展性�。
其發(fā)展歷經(jīng)三個(gè)階段:單緩存過濾驅(qū)動技術(shù)����、雙緩存過濾驅(qū)動技術(shù)和虛擬文件系統(tǒng)技術(shù)(LayerFSD)。
目前商業(yè)市場上大多數(shù)內(nèi)核級加密廠商均采用單緩存過濾驅(qū)動技術(shù)�,少量廠商已發(fā)展到雙緩存過濾驅(qū)動技術(shù)����,而發(fā)展到虛擬文件系統(tǒng)技術(shù)(LayerFSD)并實(shí)現(xiàn)產(chǎn)品化的廠商則屈指可數(shù)����。
網(wǎng)絡(luò)級智能動態(tài)加解密技術(shù)一種網(wǎng)絡(luò)過濾驅(qū)動編程技術(shù),俗稱NDIS和TDI技術(shù)�,可實(shí)現(xiàn)對網(wǎng)絡(luò)傳輸協(xié)議及網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)的過濾和控制���。
目前該類技術(shù)主要應(yīng)用于防火墻、VPN�、網(wǎng)絡(luò)準(zhǔn)接入等相關(guān)領(lǐng)域���。
磁盤級智能動態(tài)加解密技術(shù)一種磁盤級過濾驅(qū)動編程技術(shù)�,也稱全盤加解密技術(shù)(FDE,FullDiskEncryption),其核心技術(shù)工作于操作系統(tǒng)底層�,可實(shí)現(xiàn)對包括操作系統(tǒng)文件在內(nèi)的硬盤所有數(shù)據(jù)的加密保護(hù)。
采用基于物理扇區(qū)級的加密方法�,可將保存在硬盤上的所有數(shù)據(jù)進(jìn)行加密�,與文件加密方式不同����,磁盤加密能夠加密硬盤上的任何數(shù)據(jù),當(dāng)然也能夠加密操作系統(tǒng)���,非授權(quán)用戶不僅看不到硬盤上的文件內(nèi)容,而且也看不到保存在磁盤上的任何文件的名稱!文件級的加密方式一般均能獲得加密文件的文件名稱�,使用時(shí)間等信息����,甚至能從臨時(shí)文件���、磁盤交換文件中獲取一定的內(nèi)容信息����,而磁盤加密使硬盤上的所有數(shù)據(jù)均處于加密狀態(tài),得到加密硬盤的人無法得到任何信息。
因?yàn)樵诩用艿姆謪^(qū)中����,根本就沒有文件的概念�!更不要說文件的名稱和內(nèi)容等信息�。
為方便用戶操作和不改變用戶的計(jì)算機(jī)使用習(xí)慣,采用的動態(tài)加密和解密的方法���,在操作系統(tǒng)和磁盤之間安裝了一個(gè)數(shù)據(jù)加密和解密程序,該程序不需要用戶的干預(yù)���,自動對存儲到磁盤的數(shù)據(jù)作加密運(yùn)算�,對從磁盤讀取的數(shù)據(jù)做解密操作,用戶在正常使用計(jì)算機(jī)的時(shí)候,根本感覺不到此程序的存在。
數(shù)據(jù)防泄漏產(chǎn)品演變囚籠型DLP產(chǎn)品這個(gè)階段的產(chǎn)品主要特點(diǎn)為設(shè)備強(qiáng)管控����,采用邏輯隔離手段�,構(gòu)建安全隔離容器�。
自2000年后國外的安全管理產(chǎn)品相繼涌入中國����,剛開始是概念式引導(dǎo)���,慢慢的轉(zhuǎn)化為產(chǎn)品����,有名的產(chǎn)品廠商包括Symantec、LANDesk,2005年至2008年他們在中國的市場占有率已經(jīng)到了80%����。
2008年以后���,隨著發(fā)展國內(nèi)產(chǎn)品開始大量進(jìn)入市場���,至今國外終端管理類產(chǎn)品已經(jīng)被國內(nèi)產(chǎn)品大量替換�,雖然市場已經(jīng)呈現(xiàn)出飽和狀態(tài)�,但每年還有將近4000萬元左右的份額來自于這個(gè)強(qiáng)管控的終端管理產(chǎn)品。
枷鎖型DLP產(chǎn)品這個(gè)階段的產(chǎn)品主要表現(xiàn)為文檔強(qiáng)管控���,提供內(nèi)容源頭級縱深防御能力;數(shù)據(jù)文檔的分類、分級、加密���、授權(quán)與管理。
與終端管理不同,數(shù)據(jù)加密與權(quán)限控制產(chǎn)品已經(jīng)將關(guān)注點(diǎn)從設(shè)備變化成了具體的數(shù)據(jù)文件�,控制方式更加細(xì)粒度化,保密方式更優(yōu)秀�,從2007年開始至今����,市場中涌現(xiàn)出很多有實(shí)力的優(yōu)秀廠商���,因?yàn)閲业谋O(jiān)管要求���,加密類產(chǎn)品只能獲得相關(guān)保密資質(zhì)�、密碼認(rèn)證才可以在國內(nèi)使用,所以使得國外產(chǎn)品無法在國內(nèi)大面積的銷售����,加密和權(quán)限類產(chǎn)品至今為止每年還擁有10億元左右的市場份額���,各個(gè)行業(yè)都有數(shù)據(jù)防護(hù)的需求����,雖然市場競爭激烈���,但使用者還是擔(dān)心數(shù)據(jù)會被加密綁架�,而且是全局范圍內(nèi)的。
不過還好目前所有產(chǎn)品都很成熟���,很穩(wěn)定。
監(jiān)察型DLP產(chǎn)品監(jiān)察型的產(chǎn)品則是行為強(qiáng)審計(jì)����,利用準(zhǔn)確關(guān)鍵字對數(shù)據(jù)操作行為的審計(jì)����,文檔的新建���、修改����、傳輸���、存儲���、刪除的行為監(jiān)察�。
行為審計(jì),分為網(wǎng)絡(luò)行為審計(jì)和終端行為審計(jì),網(wǎng)絡(luò)行為審計(jì)可以有效的監(jiān)控員工工作時(shí)間的網(wǎng)絡(luò)訪問行為,而終端行為審計(jì)可以更有針對性的完成對關(guān)鍵數(shù)據(jù)文件的操作行為。
審計(jì)產(chǎn)品與其他網(wǎng)絡(luò)和終端產(chǎn)品共存�,可以互相補(bǔ)充�,至今市場占有率依然很高����,不過隨著發(fā)展很多網(wǎng)絡(luò)和終端產(chǎn)品的不斷完善和提升�,單獨(dú)行為審計(jì)產(chǎn)品已經(jīng)無法順利的存活�,多元化開始受到客戶青睞。
智慧型DLP產(chǎn)品到了智慧型產(chǎn)品則追求智能管控���,可識別、可發(fā)現(xiàn)�、可管理�,提供共性管控能力����。
為了更加全面的對數(shù)據(jù)進(jìn)行管控,終端管理產(chǎn)品與加密權(quán)限類產(chǎn)品做了很多組合的方案�,但都是屬于全局強(qiáng)管控���,有一定的局限性����,無法應(yīng)用到更加復(fù)雜的數(shù)據(jù)環(huán)境中,在這種情況下世界各地又不斷發(fā)生著各種各樣的數(shù)據(jù)泄密事件�,人們對數(shù)據(jù)的重視程度就落在了內(nèi)容上���,這時(shí),內(nèi)容感知型DLP產(chǎn)品應(yīng)運(yùn)而生,通過內(nèi)容來識別數(shù)據(jù)的重要性���,通過內(nèi)容來為數(shù)據(jù)進(jìn)行分類�,通過內(nèi)容來對數(shù)據(jù)進(jìn)行級別劃分�,智能化的管控方式也帶來了便利性和靈活性。
自2013年以來,國內(nèi)大力推動國產(chǎn)DLP產(chǎn)品的生產(chǎn)和應(yīng)用,在金融行業(yè)和運(yùn)營商行業(yè)更是掀起了一個(gè)潮流���,但國內(nèi)產(chǎn)品還處于一種萌芽階段,產(chǎn)品的不成熟和不穩(wěn)定為DLP國產(chǎn)化的道路帶來了阻力,很多終端���、加密和審計(jì)廠商開始轉(zhuǎn)型,但真正的DLP產(chǎn)品不超過三家。
