從圖中,我們可以看到信息的產(chǎn)生����、存儲�、流轉直至銷毀�����,基本都運轉存儲在業(yè)務系統(tǒng)�����、郵件服務器�����、文件服務器��、移動設備和終端上���。
對于業(yè)務系統(tǒng)、文件服務器�����、移動介質(zhì)上的數(shù)據(jù)安全�,目前市場上已經(jīng)有比較成熟的主機審計系統(tǒng)、郵件網(wǎng)關、移動介質(zhì)管理系統(tǒng)���、準入控制系統(tǒng)來對應解決�。但是當數(shù)據(jù)從業(yè)務系統(tǒng)中下載下來�����、從文件服務器中拷貝出來放到終端的時候�����,就失去了嚴格的審計和安全防護���。在終端上���,用戶具有了對數(shù)據(jù)的完全操作權限,用戶可以隨意的拷貝�、外發(fā)、打印��。特別是對于移動終端�����,即使有了桌面管理系統(tǒng)��,也無法完全做到終端離線后在外網(wǎng)的行為管控�����。并且從業(yè)務需求來看�����,也沒有理由因為終端存在10個重要的文檔而去阻止另外1000個文檔都不能外發(fā)和拷貝�,所以數(shù)據(jù)防泄密的問題難點,還是糾結在如何能平衡好安全性和易用性����。
基于新的安全需求,國外首先提出了DLP(數(shù)據(jù)防泄密)的概念�����,并且有了一些相對成熟的終端DLP產(chǎn)品�,通過定義敏感詞的方式,首先發(fā)現(xiàn)企業(yè)所關心的重要文檔在哪里�,并且審計用戶都是怎么使用這些數(shù)據(jù)����,有沒有拷貝���,有沒有打印,有沒有通過IM軟件外發(fā)等等���。通過直觀的視圖來分析企業(yè)的數(shù)據(jù)安全風險在哪里���,用戶有沒有可疑的泄密行為�,并且做到及時的阻斷和報警。
但是對于移動設備來說�,這種方式還存在一個弊端——無法解決設備丟失帶來的泄密問題。這時就需要配合加密手段���,對重要的數(shù)據(jù)事先做到加密保護��。兩者是相輔相成的。
加密是強制性的保護手段��,在高機密范圍內(nèi)使用�,需要事先找到機密的文檔,但用戶往往缺乏相應的技術手段發(fā)現(xiàn)機密在哪里�。DLP終端是審計類的產(chǎn)品��,能夠幫助用戶找到機密文檔在哪里����,并且監(jiān)督這些機密的文檔是否都被加密保護了��。
目前同時擁有加密和審計兩種防護產(chǎn)品的廠商��,國外有賽門鐵克�,國內(nèi)則是啟明星辰���。從審計角度來說�,啟明星辰的天榕DLP(數(shù)據(jù)防泄密)更了解國內(nèi)的應用�����,對QQ外發(fā)��、中文分詞做的更好�。賽門鐵克DLP(數(shù)據(jù)防泄密)的功能更豐富些。從加密的技術上來看���,兩者存在著本質(zhì)的不同���,賽門鐵克是磁盤加密���,只滿足用戶主動加密保護。天榕加密是文件透明加密����,滿足系統(tǒng)強制加密和用戶主動加密兩種方式。
