申請免費試用����、咨詢電話:400-8352-114
來源:泛普軟件
為了防止數(shù)據(jù)泄密�,不妨試用內(nèi)容監(jiān)控工具和數(shù)字版權(quán)管理設備雙管齊下的策略��。
無論是滿腹牢騷的員工���,還是粗心大意的員工����,幾乎任何一家企業(yè)都會發(fā)現(xiàn)自己面臨機密信息被公開帶來的諸多麻煩����。但現(xiàn)在有了可以助我們一臂之力的工具: 借助日益先進的出站內(nèi)容監(jiān)控設備,信息安全人員終于有了對付數(shù)據(jù)泄密威脅的武器����。
在過去一年里�,出站內(nèi)容監(jiān)控(又叫數(shù)據(jù)或者信息泄密預防)已變得成熟�。“這種設備已經(jīng)到達這個階段:它可以成為每個網(wǎng)絡的一個基本部分����。”Kita資本管理公司的總經(jīng)理Josh Levine說����。他之前是E-Trade金融公司的CTO,也是設備新興公司Securify的董事會成員�。
Scott Mackelprang是加利福尼亞州卡拉巴薩斯網(wǎng)上銀行服務公司Digital Insight(現(xiàn)隸屬Intuit公司)負責安全和法規(guī)遵從的副總裁,他可不是那種容易輕信的人��,但他同意上述說法�����?��!爱斘翌^次見到可在網(wǎng)絡邊界進行過濾�、發(fā)現(xiàn)敏感內(nèi)容的技術時�,我相當懷疑,沒去理睬它��。很長一段時間我只是觀望這項技術�。”他說�����。
后來他發(fā)現(xiàn)Tablus公司的Content Sentinel能夠找出敏感數(shù)據(jù)�,即便數(shù)據(jù)不是在移動過程中,而是存放在意想不到的地方�,譬如破舊的筆記本電腦和臺式機上。他開始使用Content Sentinel以及Tablus Alert來查找桌面上的敏感數(shù)據(jù)以及通過網(wǎng)絡傳送的數(shù)據(jù)�����。Mackelprang認為���,從數(shù)據(jù)源頭而不是從防火墻來保護網(wǎng)絡安全����,這確實是革命性技術���。
成熟的技術
早期的出站內(nèi)容監(jiān)控設備通常專注于找出試圖通過邊界的來自單一數(shù)據(jù)源(譬如電子郵件)的敏感數(shù)據(jù)���。但如今的設備幾乎可以掃描各種數(shù)據(jù)流��,包括Web流量�����、電子郵件����、FTP�����、電子傳真和即時消息��。有些監(jiān)控設備還能發(fā)現(xiàn)保存在Word文檔�、電子表格、PowerPoint及幾乎其他任何地方的敏感數(shù)據(jù)��。伯頓集團的高級分析師Trent Henry指出���,它們在語言方面的功能也要比早期產(chǎn)品先進得多�����。
Henry說:“現(xiàn)在它們能夠進行概念分析���,而不是只是能夠查找簡單的關鍵詞(如人名“Trent”),或者特定的社會保障號碼���?!逼┤缯f�����,它們知道什么時候要對仍含有敏感信息的并購備忘錄進行標注���,即便信息已經(jīng)過意譯或者改寫處理����?��!笆褂谜Z言分析功能���,它們就能發(fā)現(xiàn)過去可能會漏掉的信息?!?
出站內(nèi)容監(jiān)控設備通常采用智能網(wǎng)絡設備這種形式��,可執(zhí)行策略驅(qū)動的控制機制����;某些情況下���,還會使用行為分析方法來確定員工是否把敏感數(shù)據(jù)置于險境����。這類設備會發(fā)出警報��,將可疑的出站內(nèi)容放到儲存箱里面����,或者完全阻止可能讓敏感數(shù)據(jù)面臨風險的行為。
如果企業(yè)不能真正肯定哪種內(nèi)容構(gòu)成了威脅�,有些產(chǎn)品也能幫助它們弄清楚情況。譬如�����,Reconnex的副總裁Faizel Lakhani說���,該公司的iGuard Appliance可以捕獲所有流量����,對它們進行索引,為需要保護哪些內(nèi)容提供建議�����。iGuard還能運行競爭廠商的設備使用的幾種搜索方法�����,通常是根據(jù)預定義規(guī)則��,在各種類型的內(nèi)容中找出違反政策的情況�����。它們會挑出特定數(shù)據(jù)�,或者使用關鍵字搜索�����,確保無權(quán)訪問的員工無法獲得含有這些關鍵字的敏感文件��。除了Reconnex�、Securify和Tablus外���,出站內(nèi)容監(jiān)控設備廠商還包括Dolphin SecureWare、 PortAuthority Technologies�、Vericept和Vontu。
用戶發(fā)覺出站內(nèi)容監(jiān)控設備對自己的分層安全架構(gòu)越來越重要����。小型獨立安全智囊?guī)霺ecurity Constructs的總經(jīng)理Tom Bowers就這樣認為。他以前在一家年產(chǎn)值250億美元的跨國制藥公司擔任信息安全部門的高級經(jīng)理�����。Bowers在2006年10月離開公司之前����,就制訂了分層、集成的架構(gòu)來保護內(nèi)容�����,包括該公司與進行臨床試驗的外包商經(jīng)常共享的知識產(chǎn)權(quán)�����。他說,為全世界120個辦事處管理數(shù)據(jù)的信息安全小組當時在內(nèi)容保護方面面臨的第一個難題是:“盡管我們與科研界人士差不多一樣聰明�����,我們還是不知道信息在什么地方�、哪些信息很重要、哪些研究數(shù)據(jù)是舊的���、哪些研究數(shù)據(jù)是新的����。我們也沒有辦法來跟蹤這一切內(nèi)容�����?���!?
解決這個問題意味著需要使用內(nèi)容監(jiān)控設備(這里是Reconnex的iGuard)來查找網(wǎng)絡上的敏感數(shù)據(jù)�。Bowers說,他領導的小組最后從四款內(nèi)容監(jiān)控產(chǎn)品中選擇了iGuard��,原因是它最能滿足四個標準 :能夠使用關鍵術語或短語查找信息����;提供取證分析����;從取證角度來看安全地保存數(shù)據(jù); 并且支持法規(guī)遵從計劃���。這家制藥公司最后成了該產(chǎn)品的測試用戶�����,后來在2006年6月把它部署到了生產(chǎn)網(wǎng)絡上�����。
Bowers說�����,他立馬接受了iGuard�����。安裝五分鐘后�����,iGuard設備就發(fā)現(xiàn)��,通過電子郵件發(fā)送到雅虎賬戶的一個電子表格里面列出了該公司所有消費產(chǎn)品的各種銷售數(shù)據(jù)���。他說��,更糟糕的是��,這個電子表格還能匯集來自諸多未加保護的外部網(wǎng)站的數(shù)據(jù)�����,從而自動更新�。
如果嫌這個例子還不夠驚人����,Bowers說該設備還立即發(fā)現(xiàn):一個含有某新產(chǎn)品臨床研究資料的文檔通過電子郵件發(fā)送到了MSN Hotmail賬戶�����。他說��,這個Hotmail賬戶的主人甚至不是員工���,而是那名員工的朋友�����。更讓人痛心的是����,文檔封面上赫然印著粗大字體的規(guī)定是:“禁止發(fā)到公司外面?��!?
版權(quán)管理
出站內(nèi)容監(jiān)控設備在這家制藥公司證明了自身價值�����,但它僅僅是內(nèi)容保護架構(gòu)的一部分�����。Bowers說:“內(nèi)容監(jiān)控其實提供的是被動保護�����。接下來�����,你需要能夠讓各業(yè)務部門有辦法主動保護信息��?����!边@就是為什么對付內(nèi)部威脅的武器當中要有企業(yè)版權(quán)管理軟件����,這方面的廠商包括Authentica(已被EMC收購)、SealedMedia和Liquid Machines�����。他說�,這些廠商的產(chǎn)品值得企業(yè)部署,因為它們幾乎能夠保護各種文件類型:AutoCAD����、JPEG、MPEG和PDF等��,并且與任何版本的Office兼容�����。提供企業(yè)版權(quán)管理產(chǎn)品的其他公司包括Adobe����、微軟和Stellent(已被Oracle收購)。
如果將企業(yè)版權(quán)管理軟件用于機密的Word文檔�����,它會剝?nèi)ノ臋n的元數(shù)據(jù)封裝部分��,對內(nèi)容進行加密�,然后把封裝部分連同新的控制機制重新加到文件上。新的控制機制可以從集中政策服務器進行管理�����,動態(tài)允許或者禁止剪切���、拷貝����、粘貼�����、編輯和打印等這類功能。誰要想訪問受保護的內(nèi)容��,必須有正確的用戶名和口令��,還要有訪問權(quán)�。如果用戶在下載內(nèi)容后被取消訪問權(quán),內(nèi)容仍是安全的�����,因為它經(jīng)過了加密����。Bowers說:“所以,現(xiàn)在你有了主動的內(nèi)容保護方案����。”
如果內(nèi)容監(jiān)控設備和企業(yè)版權(quán)管理軟件結(jié)合起來�����,可以起到組合拳的作用�����。Bowers描述了這種組合的工作原理:公司為某個開發(fā)中的產(chǎn)品使用了秘密代號“nellsworth”����,并且指示內(nèi)容監(jiān)控設備,含有該代號的各種數(shù)據(jù)都必須受到保護���。內(nèi)容監(jiān)控設備使用語言引擎(linguistic engine)來查找含有該代號的實例����,或者表明文檔可能含有該代號的語境���;擋住任何可疑文檔��,并通知企業(yè)版權(quán)管理系統(tǒng)����,指出該文檔需要保護�。把文檔發(fā)送到目的地之前,企業(yè)版權(quán)管理軟件會對數(shù)據(jù)進行加密�,然后為文件加上控制封裝部分。
伯頓集團的Henry也認為這種想法有其優(yōu)點�����。他說:“如果我們有一種支持多協(xié)議的網(wǎng)絡監(jiān)控解決方案,具有語言分析功能��,知道什么是敏感數(shù)據(jù)����,那么只要把它與版權(quán)管理系統(tǒng)結(jié)合起來,就可以自動保護傳送到邊界外面的數(shù)據(jù)���,這可能會引起人們的關注�?�!?
Henry說�,這種集成類似于Vontu和Vericept等出站內(nèi)容監(jiān)控設備廠商與加密廠商一起為了保護電子郵件流量而研究的方法。他解釋��,如果它們發(fā)現(xiàn)數(shù)據(jù)離開網(wǎng)絡后可能會違反政策�����,就會把這信息告訴加密引擎�,由其提供安全,或者完全禁止傳送�����。不過,這些設備之間的集成還不夠好��。他說����,這對內(nèi)容監(jiān)控設備和企業(yè)版權(quán)管理產(chǎn)品之間的集成來說不是好兆頭�,后者使用的是更加復雜的策略。
不過���,廠商們正在竭力解決這類問題�。Reconnex的Lakhani說�,根據(jù)內(nèi)容監(jiān)控設備采用的規(guī)則來實施統(tǒng)一的企業(yè)版權(quán)管理政策,這種機會還是有的��。譬如說��,Reconnex就與EMC的Documentum內(nèi)容管理器集成在一起��,擁有可與Authentica(現(xiàn)在也隸屬EMC)的版權(quán)管理技術結(jié)合使用的插件����,正與其他企業(yè)版權(quán)管理廠商在集成方面進行合作。
最終,集成產(chǎn)品有望幫助緩解IT人員的“雖然阻擋了數(shù)據(jù)�����,卻不利于業(yè)務運行”的這種擔心��。Henry說�����,許多公司對使用內(nèi)容監(jiān)控設備猶豫不決�����,這很常見��,就像入侵預防系統(tǒng)的早期階段那樣�����。信息安全人員正在尋找“這種美妙的感覺”�����,即內(nèi)容監(jiān)控設備找出的數(shù)據(jù)是真正敏感的����,所以大多數(shù)人不會允許產(chǎn)品自動采取防御措施�。
例如�����,在Digital Insight���,Mackelprang收到了許多警報,但他沒讓內(nèi)容監(jiān)控設備隔離數(shù)據(jù)�。他說,有時候��,阻止帶來的后果比讓敏感數(shù)據(jù)通過網(wǎng)絡傳送還要嚴重�����?!拔以诟綦x業(yè)務通信內(nèi)容之前,需要更好地制訂流程�。”
Bowers說���,加入企業(yè)版權(quán)管理和內(nèi)容監(jiān)控設備也許可以提供解決辦法���。他又說�,原先雇用他的那家制藥公司已開始試用企業(yè)版權(quán)管理軟件����,著眼于這類集成的內(nèi)容保護:“你會獲得極具動態(tài)性的流程……你能夠讓公司安全運行?���!?
這正是真正的限制性因素。正如Mackelprang所說�����,內(nèi)容監(jiān)控改變了公司業(yè)務�。他說:“它突出了基于信息保護的政策的重要性,而之前人們對政策卻置之不理?,F(xiàn)在它可以改變企業(yè)文化,這就是全部情況�����?����!保ū疚木幾g自美國《網(wǎng)絡世界》)
