企業(yè)數(shù)據(jù)的共享從來都不是那么簡單。員工可以用郵件添加附件，在云上同步文件，用閃存拷貝幾個(gè)GB的數(shù)據(jù)，從外部訪問網(wǎng)絡(luò)上資源等等。這樣的優(yōu)點(diǎn)在于提高了生產(chǎn)力和工作的靈活性。不足就是IT對(duì)敏感數(shù)據(jù)的保護(hù)更為艱難，尤其是對(duì)內(nèi)部惡意使用者的防護(hù)。企業(yè)可以考慮通過終端數(shù)據(jù)防丟失工具作為終端安全管理的一部分。
　　注意內(nèi)部人員的工作
　　這個(gè)春天，Victorinox發(fā)布了最新的Swiss Army Knife，其中包含了一個(gè)跳盤可以存儲(chǔ)1TB的數(shù)據(jù)，而且寫入速度支持到最大150MBps。借助這樣的設(shè)備，企業(yè)內(nèi)部的惡意人員出于報(bào)復(fù)或利益的原因可以盜走整個(gè)數(shù)據(jù)中心。
　　根據(jù)Identity Theft Resource Center數(shù)據(jù)，在2011年全美企業(yè)報(bào)告的所有數(shù)據(jù)中心問題中，出現(xiàn)了56起內(nèi)部人員偷盜案例，占到13.4%的比例。
　　傳輸大量數(shù)據(jù)最簡單的辦法就是拷貝到USB設(shè)備，但是希望偷盜信息的雇員還可以通過CD、DVD、平板、筆記本或任何其它可移動(dòng)媒體下載，這些都可以輕松帶出數(shù)據(jù)中心大樓。
　　但是終端安全管理軟件不僅限于可移動(dòng)磁盤上的數(shù)據(jù)。對(duì)公司不滿下決心離開的員工可能通過Web應(yīng)用、公開網(wǎng)絡(luò)、文本信息或email附件來發(fā)布機(jī)密信息。惡意的內(nèi)部人員還被發(fā)現(xiàn)通過無線訪問，如802.11無線LAN，個(gè)人藍(lán)牙局域網(wǎng)絡(luò)和寬頻廣域網(wǎng)等方式訪問終端。
　　DLP工具對(duì)安全的作用
　　多數(shù)企業(yè)中，IT人員花費(fèi)大量精力用于保護(hù)敏感數(shù)據(jù)不受外部攻擊。甚至內(nèi)部惡意訪問也可以通過一些最佳實(shí)踐來降低，例如控制權(quán)限、管理網(wǎng)絡(luò)賬戶和升級(jí)人力資源策略來區(qū)分雇傭和解雇。IT不能保證總是勤勉工作，而且在終端數(shù)據(jù)防丟失方面發(fā)生問題很多是因?yàn)樵噲D監(jiān)控和防范潛在風(fēng)險(xiǎn)工作本身的復(fù)雜性。
　　這就是終端DLP（data loss prevention (DLP)工具發(fā)揮作用的時(shí)候。廣泛的防護(hù)系統(tǒng)應(yīng)該包含雇員存儲(chǔ)數(shù)據(jù)以及在自己的工作站和移動(dòng)設(shè)備上使用敏感數(shù)據(jù)等方面內(nèi)容。DLP工具可以掃描終端上的硬盤，并識(shí)別機(jī)密信息數(shù)據(jù)存放的地點(diǎn)和哪些數(shù)據(jù)面臨最大的風(fēng)險(xiǎn)。它們可以針對(duì)不同數(shù)據(jù)類型采取特殊的動(dòng)作。例如，數(shù)據(jù)防丟失軟件可以隔離敏感數(shù)據(jù)，把它移動(dòng)到安全網(wǎng)絡(luò)地點(diǎn)或?qū)λM(jìn)行加密。
　　DLP工具還可以監(jiān)控?cái)?shù)據(jù)在終端上的使用情況。任何涉及敏感數(shù)據(jù)的動(dòng)作，如向跳盤拷貝文件或通過郵件發(fā)送附件等都可以跟蹤到。
　　監(jiān)控僅僅是終端安全管理工具的功能之一，例如，數(shù)據(jù)防丟失軟件系統(tǒng)可以防止文件被拷貝到USB設(shè)備和通過郵件發(fā)送?；蛘撸诉@些防止動(dòng)作之外，軟件還可以加密機(jī)密文件。
　　敏感數(shù)據(jù)防丟失方案中還可以設(shè)置向IT人員發(fā)出通知或隔離數(shù)據(jù)。它可能會(huì)禁止終端設(shè)備，或向其它客戶提出申請(qǐng)來檢查是否涉嫌數(shù)據(jù)丟失。
　
　　例如市場上的終端DLP工具有Symantec Data Loss Prevention for Endpoint 和Websense Data Endpoint。盡管Websense不能共享賽門鐵克的知識(shí)，這兩個(gè)產(chǎn)品提供相似的功能，都提供綜合的敏感數(shù)據(jù)監(jiān)控和保護(hù)功能。
　　Symantec或許更擅長制定和管理策略，而且在監(jiān)控和防止未授權(quán)訪問方面也證明了其能力。另一方面，Websense在易安裝和管理方面獲得一致好評(píng)，還有它的綜合報(bào)告功能。另外，很多IT愛好者考慮ROI的時(shí)候認(rèn)為Websense是更為純粹的產(chǎn)品。此外，還有一些其它類似軟件。
　　不管您選擇了哪種DLP工具，雇員可能都對(duì)限制他們行為的動(dòng)作不那么配合，除非他們已經(jīng)被教育過敏感數(shù)據(jù)保護(hù)的重要性。例如，如果雇員理解他們?yōu)槭裁唇瓜蛱P下載文件，可能在傳輸文件遇到彈出禁止窗口的時(shí)候會(huì)更為合作。
　　DLP工具的限制
　　使用數(shù)據(jù)防丟失軟件可能極大提高終端設(shè)備的安全管理，但是沒有什么系統(tǒng)可以達(dá)到完美。例如，DLP工具必須被安裝到所有的網(wǎng)絡(luò)終端上才能完全發(fā)揮作用，而且現(xiàn)在的應(yīng)用不能工作在移動(dòng)手機(jī)設(shè)備上。如果用戶在咖啡館網(wǎng)絡(luò)通過外部設(shè)備，如家庭PC或筆記本，訪問網(wǎng)絡(luò)時(shí)也不能發(fā)揮作用。
　　終端DLP工具可以緩和數(shù)據(jù)丟失，但是它也僅僅是多層次安全防護(hù)的一部分。例如Symantec的Data Loss Prevention for Endpoint，僅僅是Data Loss Prevention Product Family系列產(chǎn)品的一部分，而Websense Data Endpoint則是Websense Data Security Suite套件的組成部分之一。兩個(gè)產(chǎn)品線都可以不僅防止終端上的數(shù)據(jù)丟失，而且保障任意其它設(shè)備或在網(wǎng)絡(luò)上傳輸時(shí)數(shù)據(jù)的安全。
　　為了最好地保護(hù)敏感信息，數(shù)據(jù)防丟失軟件還可作為終端安全管理的組成部分，把其它的一些技術(shù)，如訪問控制和惡意監(jiān)測整合起來。Websense Data Security Suite的配置上就提供了跟防火墻和防病毒軟件的整合功能。
　　數(shù)據(jù)丟失防護(hù)和DLP工具可以填補(bǔ)其它的一些數(shù)據(jù)安全漏洞。例如，防病毒軟件或防火墻，不能防止惡意的內(nèi)部人員下載文件到跳盤上。而DLP工具則可以。沒有什么應(yīng)用可以根除所有的數(shù)據(jù)丟失風(fēng)險(xiǎn)，但是把DLP工具作為全面終端安全管理策略的一部分可以幫助達(dá)成這個(gè)目標(biāo)
摘自 TechTarget中國

最新評(píng)論