很早以前,我们的信息写在纸上,放在有锁的容器中,守卫森严的房子里,借阅记录也一定会有。如果严重一点,可能还会有个密码本把原本的文本转化成普通人看不懂的密文。事实上,这些到了信息时代,本质上没有什么不同,密码本可能变成了加密技术,守卫们变成了权限控制机制,而借阅卡可能由电子审计代替。那么,目前我们有哪些技术武器来保护信息资产呢?
监控与强审计:老大哥在看着你
国内在2000年左右,最早出现了类似的产品并延续至今仍长盛不衰。这类产品,一般以间谍软件式的工作方式,记录用户的全部电脑使用行为,如在线聊天、邮件、文档操作、上网等,并最终通过人为的筛选,发现问题。
监控审计类产品的优势,在于对于用户计算机使用行为的全盘掌握,从而为决策提供依据。然而,这类产品也有其弱点,
如没能根本防止信息泄露,震慑以及事后追踪作用更为显著;大部分产品缺乏报表,审计信息凌乱繁杂;另外,由于涉及到用户监控,可能导致隐私纠纷。
防水墙:万里长城永不倒
继单纯的审计监控类产品之后,防水墙走入了我们的视线。防水墙,又名终端安全、桌面安全等。不管名字如何变化,这些产品的原理,都是在上文提到的审计功能基础上,增加了对于用户上网行为、外设使用、文档操作等行为的权限控制,总体以“允许or禁止”的方式,防止文档与数据经由这些渠道泄露。
防水墙产品的优点,在于已经从单纯的审计开始转移到阻断信息泄露行为上,但也存在明显的缺点:由于需要填补的漏洞总是推陈出新,导致防不胜防;单纯的允许禁止影响到用户的体验。
加密:吾将上下而求索
透明加密利用的是密码学原理,将原本通用的明文文档,转变为密文,合法使用者能够自动解密,非法使用者则无法使用。根据加密对象以及加密方式的不同,目前有主动加密、磁盘加密、文档透明加密等多种方式。
从定义上说,透明加密产品是对用户使用习惯影响最小,同时安全性也最高的一种防泄露方案,透明加密产品成为很多用户第一选择。然而,这类产品在技术上的成熟度以及用户的使用体验上还有较大的完善空间。
DLP:外来的和尚会念经?
字面上,DLP的意思是Data Loss Prevention,直译过来就是“信息防泄露”,这也是国内同类产品名称的由来。事实上,国内众多的信息防泄露产品或解决方案的名称中也同样使用了“DLP”这个名词。国内外“DLP”,大不相同。
首先,从出发点来说,国外DLP就与国内产品有所不同。无论是赛门铁克、麦咖啡还是RSA的DLP产品,本质上都是基于对于数据内容的分析、分类与过滤拦截达成信息防泄露的目的。国外的法规比较健全,用户主动泄密的情况不多,部署DLP产品,更多的是为了防范外部入侵的数据丢失以及用户无意的泄密行为。然而,国内的情况就比较复杂,相关的保密法规制定以及法律责任的界定不够明晰,再加上用户的安全保密意识不足,导致主动泄密的情况占大多数。这也决定了防范被动泄密的国外DLP产品在国内的命运。
此外,我国法律有相关的规定,涉及到涉及保密类产品时,必须取得相关的资质,而国外产品出于一些原因无法获得这些资质,这也成为国外DLP在国内水土不服的重要原因。