Forcepoint数据泄漏防护简介.docx

FOrCePOint数据泄漏防泄漏（D1P）解决方案随着知识经济的深入发展，信息资源的保护对各行各业显得越来越重要。对单位或企业而言，重要客户信息、核心技术、市场计划等机密信息，一旦泄露给竞争对手，会给单位或企业带来严重后果，造成不可估量的损失。在政府机关、金融、证券、电信、医疗、教育等行业，以及石油化工、汽车制造等机械制造行业，通常用于企业科研或者内部事务处理的网络与互联网需要物理上隔离，如何防止内部人员私自将电脑接入互联网，或者防止非法主机擅自接入局域网，这都不是单单一块隔离卡或者网络隔离器可以解决的问题。越来越多的政府机构、企事业单位等认识到系统化安全保障的必要性，在安全措施上也采用了多种产品进行保护。这些常用的安全产品包括：防火墙、入侵检测系统、漏洞扫描系统、防病毒系统、安全网关、审计系统等等，它们从不同的角度，维护着用户的网络系统及数据安全。比如防火墙产品能有效阻止外部对单位或企业内部的攻击，入侵检测作为防火墙产品的补充也能在一定程度上检测内部攻击。这些产品除了成本高，易用性差以外，都是基于内部是安全的这一前提，不能有效解决内部员工泄密的问题。从互联网上我们不难找到泄密事故的案例：IDC2008年研究报告指出，无意中造成的信息泄露已经从企业最大的威胁排名中的第四位上升到了第T立。欧盟和38个美国州(截止到2008年3月)开始要求公开披露数据破坏，该法案即将出台。每一条被泄露信息的平均成本高达305美金CostperrecordCompanyC:High-pro1ebre*<hinahigh1yr9u1atdindustryCompanyA:1ow-profi1ebreach(nononr9u1tdindustryCompanyB:1ow-proft1ebreachinaindustryCategoryDescriptionDiscovery,n<xifkationfandresponseOutsideIe91counse1,matnotifktio,ca11s,ca11center,anddiscountedproductoffers$50$50$501ostemp1oyeeproductivityEmp1oyeescSvertedfromothertasks$20$25$30OppOftunityccMCuMomprchumddifft1tyingettingnewcustomers$20550$100Regu1atoryfinesFTGPC1fSOX$0$25$60RestitutionCivi1courtsmayasktoputthismoneyasideinCISebreachesarediscovered.$0$0$30Additiona1securityandauditrequirementsTbesecufrtyandaudtrequirements1eviedasaresu1tOfdbreach$0$5$10OthCfIiabiKtiMCreditcardrcpbcrmentGvi1PenaIdeSifsoecifkfraudcanbetracedtotn÷breach.$0$0$25ToU1costperrecord$90$155$305Source:ForresterResearch因此，我们不难看出，防信息泄露已经是众多机构和企业急需解决的问题。防信息泄露(Data1eakageProtection,D1P)是安全市场上炒得最热却了解最少的工具之一。它拥有至少六种不同名称以及更多的技术方案，从而使得想要了解这些工具的最终价值以及哪种产品最适用于哪类环境并不容易。本建议书将提5与E供D1P必要背景来帮助您了解这项技术、知道在产品中寻找的目标、找到与您企业最匹配的产品。D1P是一项正处于成长阶段的技术，尽管产品可能不如IT其它领域产品组瞭成熟，但却为那些有这方面需要的企业提供了重大价值。了解D1P第一个难题是要晓得我们实际讨论到底是什么。下列名称全曾被用于描述同一市场： 数据丢失防护/保护 数据泄漏防护/保护 信息丢失防护/保护 信息泄漏防护/保护 侵出防护 内容监控和过滤 内容监控和保护D1P看起来似乎是最通用的名称，虽然其使用寿命可能很有限，但为简便起见，下面我们都将采用D1P作为简称这一类解决方案。1.2 D1P的定义究竟什么才是D1P解决方案？目前仍没有定论。SeCUroSiS将D1P定义为：”基于中央策略、通过深层内容分析来识别、监控和保护静态、动态和使用中数据的产品"于是，D1P主要定义性特征为： 深层内容分析 中央策略管理 横跨多个平台和地点的广泛内容范围。D1P解决方案可保护敏感数据并加深对企业内容使用的了解。大多数企业除了知晓哪些是公用数据以及公用数据以外的其他所有数据，就不会再去划分其他的数据类型了。D1P可帮助企业更好了解企业中的数据并改善其内容分类和管理能力1.3 D1P的误区正如前面所说，D1P市场成为了目前大家关注的焦点，D1P技术也成为了最热门的、但是大家又对其了解最少的技术。很多情况下，因为我们对其了解不深或盲目的对其预期，从而错误的将D1P项目带入了很多误区，从而浪费了企业的时间和精力。 误区一：D1P会有太多的误报像IDS和IPS系统一样,D1P系统也会带来很多误报，这就需要有更多的人为干预，这也造成了TCO的增加正确的观点：我们应该正确的看待这个问题，D1P的内容检测和IDS/IPS不同，我们强调对数据内容的发现?口识别，而不是针对未知攻击行为的预测判断，因此D1P方案通常可以非常准确的识别泄密事件。另外，我们可以通过下面的各种手段减少误判的问题：引进数据的拥有者来参与，D1P的项目通常会要求业务数据的拥有着或业务人员参加，这样可以大大提高对敏感信息定义的准确性和可靠性；采用策略创建和微调的方法论，D1P的策略部署可分阶段实现,我们可以通过分析一段时间内违规事件的具体情况，来微调已经创建的策略，从而更准确的对未来数据进行识别；委派管理，D1P的产品可通过委派多级管理人员，划分不同的职能，例如，事件管理人员、业务审核人员等，通过事件管理流程，更有效的处理和审计违规事件。技术管理手段（颗粒度），最新的D1P技术提供更为细腻的、更为准确的数字指纹技术，可以准确快速的识别各种数据内容。例如，ForcepointD1P解决方案的PreciseIDTM技术可提供精确的数据库指纹、文件指纹、N1P（自然语言处理）技术 误区二：D1P项目成为了一个超级数据分类的项目很多客户认为："我们在没有把我们的数据全部有效分类之前，我们是不可以启动我们的D1P项目"正确的观点：事实上，大多数企业或者机构的大多数数据是没有经过任何分类的。如果等待把所有的数据都分类完只能意味着会有更多的潜在风险出现。我们应该把数据分类和D1P项目同时进行。其实,在企业中有一些数据其实本身就已经是归类的数据了，例如，员工信息、客户信息、财务数据等等,这些数据通常都具备明显的特征，或者称之为是结构化的数据，我们可以方便的通过关键字、表达式或者高级的自然语言表达式（如，Forcepoint的N1P规则）来描述这些敏感信息。另外，值得我们注意的是，通常最敏感的数据也是我们最常用的数据，这样我们可以快速的在D1P项目初期就定义和归类这些数据。这样也就可以快速的启动D1P规则对这样的数据进行发现和保护了，也让D1P快速启动，从而为企业带来收益。最后，类似于ForcepointD1P产品中的数据发现功能，可以方便的扫描存放在服务器、数据库或其他存储空间上的静态数据，这也有助于数据分类的完成。 误区三：D1P应该可以侦测和发现所有恶意的和无意的泄密事件很多客户认为D1P产品应该可以100%的发现所有数据泄密的事件，无论是客户的无意泄露还是别有用心的人恶意的泄露。正确的观点：能够100%的侦测所有违规事件当然是我们的理想目标。但是，我们需要清除的意识到这在现实生活中是不可能的。尽管D1P的误报率可以很低，但是毕竟无法做到完全没有；如果真有一些非常聪明和刻意要将信息窃取出去的人，总是有办法泄露信息的。例如，如果真的别有用心的人，他可以通过数码相机拍照来泄露公司机密。因此，不是所有的泄密渠道都是可以通过技术手段来解决的。我们需要意识到，商业间谍毕竟是少数，更多的是因为人们的误操作而造成的泄密。Gartner统计，80%-90%的泄密事件是无意或者意外造成的。