应用数据泄漏实现企业数据保护计划

　　DLP产品目前在中国市场很火，在《中国IT市场分析与预测2007-2011》中，IDC通过对用户投资重点进行调研发现：29.8%的用户会考虑投资数据失泄密管理，DLP在投资重点中居第二位。这意味着越来越多的企业在数据泄露防护方面愿意投入更多的资金，也就是说未来几年内企业对DLP产品的需求会越来越高。

 

　　常见的防泄密选择是DLP(数据泄漏保护)、DRM(数字权限保护)、Encryption(加密)和Management(管理)。这些产品是如何实现数据保护的?

 

　　数据泄漏保护(DLP)

 

　　◆全面评估信息风险，包括网络、端点和存储

 

　　◆全面检测数据库、文件、邮件、文字等泄密通道，及时报警或阻止

 

　　◆统一制定防泄漏策略

 

　　◆遵从SOX等法案法规

 

　　◆实施和部署简单，无需更改流程，无需人工参与，可在企业范围应用

 

　　◆能够有效的与DRM/加密工具集成使用，使得后者更有效

 

　　最近几年国家颁布了个人信息保护法，以及相关信息安全保护制度，DLP在数据遵从方面的作用也越来越大。而且DLP产品在使用过程中还能与第三方的DRM或加密系统进行集成，从而使企业的保密效果更好。

 

　　数字权限保护(DRM)

 

　　◆DRM可以决定数据的访问和使用方式，功能强大

 

　　◆仅限于特定的文档类型

 

　　◆需要与企业应用紧密集成，大量依靠人工参与

 

　　◆部署实施十分复杂并难以持续运维

 

　　◆仅适用于研发等少数小组

 

　　加密(Encryption)

 

　　◆能够阻止没有权限的人非法获取信息，即使丢失也没关系

 

　　◆依赖手工进行

 

　　但加密存在的弊端是：密钥的管理很复杂;不能解决无意识泄密和主动泄密;仅适用于笔记本或者少量文件服务器。

 

　　管理(Management)

 

　　技术不能解决所有的问题，还需要管理制度来实现，对企业来说管理制度必不可少，通过管理制度，才能实现DLP、DRM、Encryption产品的功能。通过管理来协调产品，使其达到很好的效率。使员工意识到自己在数据保护方面应负的责任。

 

　　下图是数据保护建议流程：

 

　　

 

 

 

　　▲

 

　　从图中可以看出，数据保护的基本流程是：DLP—DRM—加密。DLP是识别整个企业风险，从网络到端点到存储，对企业进行全面的分析和评估。DRM是对企业内部一些部门级别的文档进行保护。比如Office文档。加密主要针对个别部门的机密文档和具有特殊需求的文件进行加密。一般我们会用DLP进行整体的分析，然后进行全面的数据使用监控，大范围的进行控制。再使用DRM和加密对特别文档进行保护，从而实现对企业数据的保护。

 

　　我们在实现DLP产品时，首先要熟悉公司内部的数据。首先要弄清楚以下问题：机密数据存放在哪个服务器或数据库上?知道数据存放位置之后，才能对数据进行有效的保护。其次还要考虑机密数据是怎样被使用的?在现实中有很多方式都可能导致数据泄露，比如说通过U盘拷贝、打印等方式，我们需要对这些方式进行一些初步的分析。通过分析，确定哪些方式风险最高，从而使我们能更有效的识别风险。如何防止数据丢失，是通过全方位的数据保护，还是通过特定的方式，比如邮件或邮件服务器来实现?考虑到这三点之后，我们在进行数据防护的时候才能比较合理的部署产品，使其效率达到最高。