全面防止數(shù)據(jù)泄密

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

為了防止數(shù)據(jù)泄密，不妨試用內(nèi)容監(jiān)控工具和數(shù)字版權(quán)管理設(shè)備雙管齊下的策略。

無論是滿腹牢騷的員工，還是粗心大意的員工，幾乎任何一家企業(yè)都會(huì)發(fā)現(xiàn)自己面臨機(jī)密信息被公開帶來的諸多麻煩。但現(xiàn)在有了可以助我們一臂之力的工具: 借助日益先進(jìn)的出站內(nèi)容監(jiān)控設(shè)備，信息安全人員終于有了對(duì)付數(shù)據(jù)泄密威脅的武器。

在過去一年里，出站內(nèi)容監(jiān)控（又叫數(shù)據(jù)或者信息泄密預(yù)防）已變得成熟。“這種設(shè)備已經(jīng)到達(dá)這個(gè)階段：它可以成為每個(gè)網(wǎng)絡(luò)的一個(gè)基本部分?！盞ita資本管理公司的總經(jīng)理Josh Levine說。他之前是E-Trade金融公司的CTO，也是設(shè)備新興公司Securify的董事會(huì)成員。

Scott Mackelprang是加利福尼亞州卡拉巴薩斯網(wǎng)上銀行服務(wù)公司Digital Insight（現(xiàn)隸屬Intuit公司）負(fù)責(zé)安全和法規(guī)遵從的副總裁，他可不是那種容易輕信的人，但他同意上述說法?！爱?dāng)我頭次見到可在網(wǎng)絡(luò)邊界進(jìn)行過濾、發(fā)現(xiàn)敏感內(nèi)容的技術(shù)時(shí)，我相當(dāng)懷疑，沒去理睬它。很長(zhǎng)一段時(shí)間我只是觀望這項(xiàng)技術(shù)?！彼f。

后來他發(fā)現(xiàn)Tablus公司的Content Sentinel能夠找出敏感數(shù)據(jù)，即便數(shù)據(jù)不是在移動(dòng)過程中，而是存放在意想不到的地方，譬如破舊的筆記本電腦和臺(tái)式機(jī)上。他開始使用Content Sentinel以及Tablus Alert來查找桌面上的敏感數(shù)據(jù)以及通過網(wǎng)絡(luò)傳送的數(shù)據(jù)。Mackelprang認(rèn)為，從數(shù)據(jù)源頭而不是從防火墻來保護(hù)網(wǎng)絡(luò)安全，這確實(shí)是革命性技術(shù)。

成熟的技術(shù)

早期的出站內(nèi)容監(jiān)控設(shè)備通常專注于找出試圖通過邊界的來自單一數(shù)據(jù)源（譬如電子郵件）的敏感數(shù)據(jù)。但如今的設(shè)備幾乎可以掃描各種數(shù)據(jù)流，包括Web流量、電子郵件、FTP、電子傳真和即時(shí)消息。有些監(jiān)控設(shè)備還能發(fā)現(xiàn)保存在Word文檔、電子表格、PowerPoint及幾乎其他任何地方的敏感數(shù)據(jù)。伯頓集團(tuán)的高級(jí)分析師Trent Henry指出，它們?cè)谡Z(yǔ)言方面的功能也要比早期產(chǎn)品先進(jìn)得多。

Henry說：“現(xiàn)在它們能夠進(jìn)行概念分析，而不是只是能夠查找簡(jiǎn)單的關(guān)鍵詞（如人名“Trent”），或者特定的社會(huì)保障號(hào)碼?！逼┤缯f，它們知道什么時(shí)候要對(duì)仍含有敏感信息的并購(gòu)備忘錄進(jìn)行標(biāo)注，即便信息已經(jīng)過意譯或者改寫處理?！笆褂谜Z(yǔ)言分析功能，它們就能發(fā)現(xiàn)過去可能會(huì)漏掉的信息?！?

出站內(nèi)容監(jiān)控設(shè)備通常采用智能網(wǎng)絡(luò)設(shè)備這種形式，可執(zhí)行策略驅(qū)動(dòng)的控制機(jī)制；某些情況下，還會(huì)使用行為分析方法來確定員工是否把敏感數(shù)據(jù)置于險(xiǎn)境。這類設(shè)備會(huì)發(fā)出警報(bào)，將可疑的出站內(nèi)容放到儲(chǔ)存箱里面，或者完全阻止可能讓敏感數(shù)據(jù)面臨風(fēng)險(xiǎn)的行為。

如果企業(yè)不能真正肯定哪種內(nèi)容構(gòu)成了威脅，有些產(chǎn)品也能幫助它們弄清楚情況。譬如，Reconnex的副總裁Faizel Lakhani說，該公司的iGuard Appliance可以捕獲所有流量，對(duì)它們進(jìn)行索引，為需要保護(hù)哪些內(nèi)容提供建議。iGuard還能運(yùn)行競(jìng)爭(zhēng)廠商的設(shè)備使用的幾種搜索方法，通常是根據(jù)預(yù)定義規(guī)則，在各種類型的內(nèi)容中找出違反政策的情況。它們會(huì)挑出特定數(shù)據(jù)，或者使用關(guān)鍵字搜索，確保無權(quán)訪問的員工無法獲得含有這些關(guān)鍵字的敏感文件。除了Reconnex、Securify和Tablus外，出站內(nèi)容監(jiān)控設(shè)備廠商還包括Dolphin SecureWare、 PortAuthority Technologies、Vericept和Vontu。

用戶發(fā)覺出站內(nèi)容監(jiān)控設(shè)備對(duì)自己的分層安全架構(gòu)越來越重要。小型獨(dú)立安全智囊?guī)霺ecurity Constructs的總經(jīng)理Tom Bowers就這樣認(rèn)為。他以前在一家年產(chǎn)值250億美元的跨國(guó)制藥公司擔(dān)任信息安全部門的高級(jí)經(jīng)理。Bowers在2006年10月離開公司之前，就制訂了分層、集成的架構(gòu)來保護(hù)內(nèi)容，包括該公司與進(jìn)行臨床試驗(yàn)的外包商經(jīng)常共享的知識(shí)產(chǎn)權(quán)。他說，為全世界120個(gè)辦事處管理數(shù)據(jù)的信息安全小組當(dāng)時(shí)在內(nèi)容保護(hù)方面面臨的第一個(gè)難題是：“盡管我們與科研界人士差不多一樣聰明，我們還是不知道信息在什么地方、哪些信息很重要、哪些研究數(shù)據(jù)是舊的、哪些研究數(shù)據(jù)是新的。我們也沒有辦法來跟蹤這一切內(nèi)容?！?

解決這個(gè)問題意味著需要使用內(nèi)容監(jiān)控設(shè)備（這里是Reconnex的iGuard）來查找網(wǎng)絡(luò)上的敏感數(shù)據(jù)。Bowers說，他領(lǐng)導(dǎo)的小組最后從四款內(nèi)容監(jiān)控產(chǎn)品中選擇了iGuard，原因是它最能滿足四個(gè)標(biāo)準(zhǔn) ：能夠使用關(guān)鍵術(shù)語(yǔ)或短語(yǔ)查找信息；提供取證分析；從取證角度來看安全地保存數(shù)據(jù); 并且支持法規(guī)遵從計(jì)劃。這家制藥公司最后成了該產(chǎn)品的測(cè)試用戶，后來在2006年6月把它部署到了生產(chǎn)網(wǎng)絡(luò)上。

Bowers說，他立馬接受了iGuard。安裝五分鐘后，iGuard設(shè)備就發(fā)現(xiàn)，通過電子郵件發(fā)送到雅虎賬戶的一個(gè)電子表格里面列出了該公司所有消費(fèi)產(chǎn)品的各種銷售數(shù)據(jù)。他說，更糟糕的是，這個(gè)電子表格還能匯集來自諸多未加保護(hù)的外部網(wǎng)站的數(shù)據(jù)，從而自動(dòng)更新。

如果嫌這個(gè)例子還不夠驚人，Bowers說該設(shè)備還立即發(fā)現(xiàn)：一個(gè)含有某新產(chǎn)品臨床研究資料的文檔通過電子郵件發(fā)送到了MSN Hotmail賬戶。他說，這個(gè)Hotmail賬戶的主人甚至不是員工，而是那名員工的朋友。更讓人痛心的是，文檔封面上赫然印著粗大字體的規(guī)定是：“禁止發(fā)到公司外面?！?

版權(quán)管理

出站內(nèi)容監(jiān)控設(shè)備在這家制藥公司證明了自身價(jià)值，但它僅僅是內(nèi)容保護(hù)架構(gòu)的一部分。Bowers說：“內(nèi)容監(jiān)控其實(shí)提供的是被動(dòng)保護(hù)。接下來，你需要能夠讓各業(yè)務(wù)部門有辦法主動(dòng)保護(hù)信息。”這就是為什么對(duì)付內(nèi)部威脅的武器當(dāng)中要有企業(yè)版權(quán)管理軟件，這方面的廠商包括Authentica（已被EMC收購(gòu)）、SealedMedia和Liquid Machines。他說，這些廠商的產(chǎn)品值得企業(yè)部署，因?yàn)樗鼈儙缀跄軌虮Ｗo(hù)各種文件類型：AutoCAD、JPEG、MPEG和PDF等，并且與任何版本的Office兼容。提供企業(yè)版權(quán)管理產(chǎn)品的其他公司包括Adobe、微軟和Stellent（已被Oracle收購(gòu)）。

如果將企業(yè)版權(quán)管理軟件用于機(jī)密的Word文檔，它會(huì)剝?nèi)ノ臋n的元數(shù)據(jù)封裝部分，對(duì)內(nèi)容進(jìn)行加密，然后把封裝部分連同新的控制機(jī)制重新加到文件上。新的控制機(jī)制可以從集中政策服務(wù)器進(jìn)行管理，動(dòng)態(tài)允許或者禁止剪切、拷貝、粘貼、編輯和打印等這類功能。誰要想訪問受保護(hù)的內(nèi)容，必須有正確的用戶名和口令，還要有訪問權(quán)。如果用戶在下載內(nèi)容后被取消訪問權(quán)，內(nèi)容仍是安全的，因?yàn)樗?jīng)過了加密。Bowers說：“所以，現(xiàn)在你有了主動(dòng)的內(nèi)容保護(hù)方案?！?

如果內(nèi)容監(jiān)控設(shè)備和企業(yè)版權(quán)管理軟件結(jié)合起來，可以起到組合拳的作用。Bowers描述了這種組合的工作原理：公司為某個(gè)開發(fā)中的產(chǎn)品使用了秘密代號(hào)“nellsworth”，并且指示內(nèi)容監(jiān)控設(shè)備，含有該代號(hào)的各種數(shù)據(jù)都必須受到保護(hù)。內(nèi)容監(jiān)控設(shè)備使用語(yǔ)言引擎（linguistic engine）來查找含有該代號(hào)的實(shí)例，或者表明文檔可能含有該代號(hào)的語(yǔ)境；擋住任何可疑文檔，并通知企業(yè)版權(quán)管理系統(tǒng)，指出該文檔需要保護(hù)。把文檔發(fā)送到目的地之前，企業(yè)版權(quán)管理軟件會(huì)對(duì)數(shù)據(jù)進(jìn)行加密，然后為文件加上控制封裝部分。

伯頓集團(tuán)的Henry也認(rèn)為這種想法有其優(yōu)點(diǎn)。他說：“如果我們有一種支持多協(xié)議的網(wǎng)絡(luò)監(jiān)控解決方案，具有語(yǔ)言分析功能，知道什么是敏感數(shù)據(jù)，那么只要把它與版權(quán)管理系統(tǒng)結(jié)合起來，就可以自動(dòng)保護(hù)傳送到邊界外面的數(shù)據(jù)，這可能會(huì)引起人們的關(guān)注?！?

Henry說，這種集成類似于Vontu和Vericept等出站內(nèi)容監(jiān)控設(shè)備廠商與加密廠商一起為了保護(hù)電子郵件流量而研究的方法。他解釋，如果它們發(fā)現(xiàn)數(shù)據(jù)離開網(wǎng)絡(luò)后可能會(huì)違反政策，就會(huì)把這信息告訴加密引擎，由其提供安全，或者完全禁止傳送。不過，這些設(shè)備之間的集成還不夠好。他說，這對(duì)內(nèi)容監(jiān)控設(shè)備和企業(yè)版權(quán)管理產(chǎn)品之間的集成來說不是好兆頭，后者使用的是更加復(fù)雜的策略。

不過，廠商們正在竭力解決這類問題。Reconnex的Lakhani說，根據(jù)內(nèi)容監(jiān)控設(shè)備采用的規(guī)則來實(shí)施統(tǒng)一的企業(yè)版權(quán)管理政策，這種機(jī)會(huì)還是有的。譬如說，Reconnex就與EMC的Documentum內(nèi)容管理器集成在一起，擁有可與Authentica（現(xiàn)在也隸屬EMC）的版權(quán)管理技術(shù)結(jié)合使用的插件，正與其他企業(yè)版權(quán)管理廠商在集成方面進(jìn)行合作。

最終，集成產(chǎn)品有望幫助緩解IT人員的“雖然阻擋了數(shù)據(jù)，卻不利于業(yè)務(wù)運(yùn)行”的這種擔(dān)心。Henry說，許多公司對(duì)使用內(nèi)容監(jiān)控設(shè)備猶豫不決，這很常見，就像入侵預(yù)防系統(tǒng)的早期階段那樣。信息安全人員正在尋找“這種美妙的感覺”，即內(nèi)容監(jiān)控設(shè)備找出的數(shù)據(jù)是真正敏感的，所以大多數(shù)人不會(huì)允許產(chǎn)品自動(dòng)采取防御措施。

例如，在Digital Insight，Mackelprang收到了許多警報(bào)，但他沒讓內(nèi)容監(jiān)控設(shè)備隔離數(shù)據(jù)。他說，有時(shí)候，阻止帶來的后果比讓敏感數(shù)據(jù)通過網(wǎng)絡(luò)傳送還要嚴(yán)重?！拔以诟綦x業(yè)務(wù)通信內(nèi)容之前，需要更好地制訂流程。”

Bowers說，加入企業(yè)版權(quán)管理和內(nèi)容監(jiān)控設(shè)備也許可以提供解決辦法。他又說，原先雇用他的那家制藥公司已開始試用企業(yè)版權(quán)管理軟件，著眼于這類集成的內(nèi)容保護(hù)：“你會(huì)獲得極具動(dòng)態(tài)性的流程……你能夠讓公司安全運(yùn)行?！?

這正是真正的限制性因素。正如Mackelprang所說，內(nèi)容監(jiān)控改變了公司業(yè)務(wù)。他說：“它突出了基于信息保護(hù)的政策的重要性，而之前人們對(duì)政策卻置之不理。現(xiàn)在它可以改變企業(yè)文化，這就是全部情況。”（本文編譯自美國(guó)《網(wǎng)絡(luò)世界》）