应茜羽

随着网络的普及和远程办公、协同办公、移动办公趋势的加强,企业在运营过程中常常会遇到一些重要数据的泄漏,例如客户资料,知识产权等。

刨根究底

赛门铁克的统计数据显示,每400封邮件就有一封包含了敏感信息,每2个U盘就有1个含有敏感信息,所以数据泄漏是非常容易发生的。虽然每家企业都在致力于防止数据泄漏的发生,但是结果往往不尽如人意。

赛门铁克资深技术经理徐耀文指出:“在数据泄漏防护产品的部署、实施中,最大的壁垒不是技术,而是企业部署人员的出发点与预期。” 比如,企业可能一开始就把防止恶意泄漏作为首要的出发点,在这一前提下,企业安全人员在做技术选型的时候就会走入误区。赛门铁克的调查显示,96%的数据泄漏是由于员工的疏忽,或者是流程上的缺陷造成的,而真正恶意的泄漏是小于1%的。

另外,企业部署人员过高的预期会造成项目实施困难。比如,有些企业追求的是绝对的安全。“从风险管理的角度来讲,风险是可以被压缩的,人们可以消除一部分的风险,但是必然会残留一定的风险——也就是说,并没有绝对的安全,但可以把风险控制在一个可接受的范围里。”徐耀文说。

而在部署数据泄漏防护解决方案前,企业需要对自身的情况做充分的了解。“对于企业来说,无法量化的东西是无法管理的。所以企业在部署解决方案前,需要很清楚地回答几个问题:什么才是企业真正的风险?企业的机密数据都在哪里?什么时间、什么地点、是谁把数据传播出去了?企业现有的控制或保护措施到底有没有效?

杀手锏

数据泄漏防护主要的技术手段有三种:文件加密、文件权限设置以及数据丢失防护(DLP)技术。目前,安全厂商提供的数据泄漏防护解决方案都采取了几种技术共存的方式,而且各种技术之间是很好的互补关系。

“我认为这种共存的现象仍然会延续。但是,我更看好DLP技术。”徐耀文说,“从根本上说,DLP帮助企业的IT主管人员回答了三个主要问题:机密数据位于何处?使用情况如何?如何预防数据丢失?这就很好地帮助用户完成了信息风险的评估。”

信息风险的评估一般分为四个环节:识别、监视、控制和审计。DLP技术之外的文件加密和文件权限保护都属于强控制范畴,而对于事前的识别、事中的监视和事后的审计,这两项技术都覆盖得比较弱。但DLP技术在这四个环节都覆盖得比较均匀,除了很好的控制能力以外,DLP还很重视审计功能,即能让用户对敏感数据泄漏有更好地洞察力。“我在与用户沟通的过程中发现,在强控制和强审计二选一时,用户更愿意选择强审计的产品。因为数据泄漏防护很难做到万无一失,从这一点来说,看得见比保护更重要。”徐耀文表示。

而在数据泄漏防护的产品需求上,用户更希望安全厂商能够满足他们多样化的需求。徐耀文说:“赛门铁克这几年来一直在整合主流的终端安全技术,并致力于为用户提供一个终端,一个控制台这样方便而又全面的解决方案。只有做到全方位的防护,才能构筑数据安全坚固的堡垒。”

赛门铁克推出的Symantec Data Loss Prevention可跨越端点、网络和存储系统,通过单一的集成界面为企业提供全面的数据丢失防护覆盖,保护结构化和非结构化数据。而该软件的9.0版本中,又在DLP 基本技术上进行了三点改进。

第一,终端防护覆盖范围更广。Symantec Data Loss Prevention 9.0能够发现所有终端上的机密信息,并阻止数据通过网络活动离开终端。它还可以监控和阻止敏感信息被复制和粘贴到本地驱动器,并阻止这些信息以电子方式打印或以发送传真的形式发送。

第二,简化管理。Symantec Data Loss Prevention 9.0通过嵌入赛门铁克的代理管理技术,可以帮助公司简化终端DLP管理,允许公司持续发现新终端资产,同时能够自动部署代理以及解决终端代理问题。

第三,高级数据发现功能,Symantec Data Loss Prevention 9.0可以使公司快速识别包含机密数据的数据存储库,对存储在PST文件中的机密数据引发的风险进行评估,并自动识别机密数据的所有者。