【赛迪网-IT技术报道】日前,赛迪网安全频道记者,就数据丢失防护(DLP)相关问题,专访了Websense中国区高级技术顾问刘沛旻先生。现将专访实录整理出来与读者分享。
记者:当前中国及国际数据安全的现状如何?目前导致信息、重要信息乃至敏感信息时常被盗、丢失的原因主要有哪些?
刘沛旻:在互联网络及其发达的今天,全球组织,无论是政府还是企业都面临着巨大的数据泄漏威胁。各种重要信息和敏感信息(如,军事军方机密、技术资料、财政数据、商业数据、客户或者员工资料等)背后都隐藏着巨大的利益,这导致更多的恶意分子对此趋之若鹜。而数据泄漏的渠道一般包括:外设存储设备、邮件、Ftp、网站等。随着Web2.0的发展,目前导致敏感信息被盗的原因还包括有网站木马、恶意代码等。
记者:目前中国以及国际上在数据安全方面的问题或隐患主要有哪些?这些表现有哪些异同?
刘沛旻:目前引发数据泄漏威胁的隐患主要有1、内部员工恶意窃取数据2、内部员工无意间将数据外泄3、外部威胁(如有组织的黑客犯罪集团及恶意软件)。因为组织的管理和信息安全程度的差异,最终会影响数据泄漏渠道出现差异。
记者:您认为确保数据安全的重点或关键点在哪里?难点在哪里?
刘沛旻:很多企业信息安全防范的基本措施都已经部署完毕,但是针对一些商务渠道的泄密头疼不已,比如说Web的访问、邮件的访问、U盘、聊天软件等这些商务渠道不能完全禁止,必须有选择性的处理,针对机密的信息不能让它外泄,但是正常工作交流时需要可以正常使用。另外很多产品部署方式比较单一,往往实施起来要大动干戈,甚至需要更改网络架构,实施周期也非常长。所以客户需定义哪些是要被监控的数据?是否能覆盖所有业务通道?各个通道上的策略是否一致?网络延时问题?是否会对网络基础架构作出巨大改变?
记者:中国以及国际上都是从什么时候开始重视数据安全的?
刘沛旻:数据泄漏一直是大家非常关心和谨慎对待的问题,古时候的刺探军情就属于数据泄密的一种,只是随着技术、网络的发展,数据泄密及其防护问题就趋于更加复杂。
记者:目前中国以及国际上在数据安全防范方面还存在哪些难题?
刘沛旻:很多组织和企业对于数据泄漏问题严重性认识还比较薄弱,也没有清晰认识数据泄漏防护的复杂性,而且为了维护自身的形象和利益,相关消息甚少会被披露,无法让组织间形成经验的相互借鉴。大部分企业在采取相关防护措施时已经是亡羊补牢,只有少数企业能够真正看到全球趋势,并及时采取预防手段,
记者:目前看来,中国与国际上在数据丢失防护方面的需求是否有不同之处?
刘沛旻:中国和国际上丢失防护方面的总体需求应该说是相同的。不同之处在于企业与企业之间,行业与行业之间,不同的企业和行业特点决定了他们有不同的敏感信息定义,也有不同的业务流程,因此也可能带来防护需求上的不同。
记者:目前在数据安全防护方面,中国以及国际上在标准规范方面的情况怎样?
刘沛旻:目前已经有较多关于数据安全防护方面的法规要求,例如健康保险携带与责任法案(HIPAA)、金融机构保护客户信息法案(GLBA)和支付卡行业数据安全标准(PCI-DSS)等等,企业可以根据自己的行业特点来遵从法规要求。
记者:目前在确保数据安全方面主要采取哪些技术、手段或解决方案?这些技术手段或解决方案是否已经成熟?
刘沛旻:目前数据安全方面的技术手段有很多,也各有优缺点,通常用户可能需要根据自己公司业务的特点来选择最合适的技术来保护机密数据:
1.数据泄漏保护(DLP)解决方案:通常采用数字指纹、预定义策略模板、表达式、关键字、字典等多种方式来定义企业的机密数据,并可在网络、终端等多种业务管道上对敏感数据进行识别、记录、保护的解决方案。这种方案是目前最为成熟和国外最主流的数据安全保护方案,它可以有效识别各种机密数据的内容,从而应对各种数据变形后的泄密事件。但是,通常DLP解决方案无法解决数据已经泄漏到公司外部的情况,因此,用户可以考虑采用加密、数字水印等技术来进行补充保护。
2.外设管理解决方案:可以管理所有通过外设泄露的数据安全问题,有效管理各种外设,并分别可授权给相应的用户不同的外设使用权限。外设管理无法应对网络上出现的泄密问题,而且当所有人都去申请特殊权限,那么外设管理就变得毫无用处了。
3.文档权限控制:文件权限可控、可回收、可监控。需要对各种文件进行分类和权限的设定,这将带来不小的工作量。
4.加密解决方案:加密文件或者加密硬盘,这为设备丢失或者文件已经被泄露出去的场景提供了最安全的保护。但是加密带来的性能影响和有权限访问加密文件者泄密的问题,值得我们注意。
记者:根据实践经验,您认为对数据丢失的防护应该采用软件形式、硬件形式还是二者结合最好?
刘沛旻:应根据不同的网络环境,分别对待。除了软件、硬件或者结合之外,提供Saas(云端的安全服务),对于那些分支机构多,但是分支机构技术力量不太强大的企业也是一个不错的选择。
记者:应从哪几方面入手才能实现对数据丢失问题的彻底防护?
刘沛旻:
1.真正识别企业机密数据的内容(数字指纹?自然语言描述?表达式?字典?),我们应该选择最佳的DLP工具帮助企业准确定义什么是你们机构的机密数据。
2.正确认识企业的业务流程(谁可以把何种企业数据发送到哪里?),我们应该能够监控和发现错误的业务流程,梳理出合理的业务流程保证敏感数据的正确流动。
3.明确企业中哪些业务渠道是必须进行DLP防护的?(HTTP/s? SMTP? USB?),梳理出最主要的业务渠道,并进行统一的策略管理和DLP防护部署。
4.意识到数据丢失问题也是一种风险管理的问题,我们应该先解决最为严重的数据丢失风险,对于无法回避的数据丢失风险应该采用规章制度或者其他转嫁方法来解决。
记者:如何提前预防发生数据丢失,企业网络安全管理人员应提前采取哪些措施?个人应注意哪些问题?
刘沛旻:信息安全三分技术、七分管理,防止数据泄密除了要选择适合企业的DLP产品,还要从员工教育方面入手,让员工养成良好的习惯。
记者:选购数据丢失防护产品时应注意哪些问题?
刘沛旻:需要从以下三个方面考虑:
(1)产品对泄密渠道的覆盖程度
(2)部署的难易度
(3)部署的时间长短
这个问题还可以参考以下第三方报告:
Forrester Research “DLP 产品就是一个一劳永逸的解决方案吗?当然不是,保障数据的安全取决于人和业务流程,当然还有技术。用户通常向我们抱怨 DLP 的许可证和售后支持的总成本在 $100,000到 $500,000。但是Forrester 估计出每笔信息泄露带来的经济损失则在 $90 到 $305之间——因此 DLP的成本和大多数企业遭受一次数据泄密事件可能遭受的损失相比就微不足道了。”
Gartner Group “Gartner 认为… DLP的真正价值在于帮助管理人员可以发现和纠正错误的业务流程同时——重要的是——发现和阻止那些无意的敏感数据泄漏事件。这种关注正变得越来越重要,因为企业被要求遵守监管举措(例如,违反法律和披露HIPAA)及行业法规,如PCI标准。这也是为什么Gartner重命名这个市场为CMF/DLP,这反映了对该技术日益增长的需求不仅仅是防御内部信息窃取和恶意攻击,而且还将帮助识别把敏感信息置于危险之中的不良举措,并提供手段限制这些风险。”
记者:请您预计一下DLP未来的发展趋势将会怎样?
刘沛旻:DLP产品已经成为继防火墙、杀毒软件之后的第三个主流安全产品,在未来的几年中,金融、制造业、能源行业等传统信息化大户将成为DLP解决方案应用的主力军。
专访嘉宾介绍
刘沛旻先生,拥有计算机及网络安全领域近6年的行业经验,曾于多间全球性及新成立的企业中担任不同职务,范围包括技术支持、咨询顾问、安全讲师等等。刘沛旻先生于2005年加入Websense公司,其积极的工作态度和专业的安全知识背景,为Websense公司安全思想和解决方案在中国地区的推广有了很大促进。在过去的数年中,刘沛旻先生先后获得了CISSP、CISA、CCSE、CCNP、CWSE等专业资质的认证,他灵活的融合了这些相关领域的安全理念和管理控制方法让Websense方案更加贴近的融入到中国的企业中。其现在为Websense中国区高级技术顾问。
(责任编辑:钼铁)
