云时代该应该这样掌控企业数据安全,在2016年的安全界盛会RSA 2016上DLP(Data Loss Prevention, 数据防泄密)成为企业用户关注度最高的产品,大会的DLP分类厂商多达88家,从本次大会上,可以看到企业数据防泄露产品的一些发展趋势。
DLP与网关功能整合
将DLP与网关类产品的传统安全功能进行整合,实现从内容层面的安全检测和防御,比如将DLP功能加入Web网关、将DLP功能加入URL与反垃圾邮件网关等,代表厂商有Forcepoint、ClearSwift等。
基于终端加密与权限控制的DLP+
从数据泄露的源头上对其进行封堵。在终端对文档进行不同的访问权限、操作权限和外发权限控制,并对发送者和接收者制定不同的权限策略。数据在外发的时候是加密的,只有被信任的接收者才能够看到文件内容或对文件执行对应的操作。代表企业Vera、Fasoo。
针对特定应用的DLP
只针对特定应用(如Exchange、outlook、office365、SharePoint)或特定通道(Email Cloud Service)的DLP检测。这类产品会在终端进行访问、打印、拷贝等操作的权限控制,并针对文件类型、收发件人、以及文件内容定义敏感信息检测策略,实现固定终端和移动终端的DLP检测。代表厂商有Messageawre、Mimecast等。
公有云环境下CASB成为重要方向
随着国外(特别是美国)企业对SaaS(Office365、DropBox、Box、Facebook等云服务)的依赖程度日益增高,已经将很多数据、业务迁移到云服务和云平台上,企业员工对公有云环境的使用也会成为一个安全问题。数据泄露已经成为云安全面临的首要威胁,通过Office365、DropBox等云服务和云存储上传或共享文件时,都有可能带来数据泄露的问题。CASB(Cloud Access Security Broker,云访问安全代理)的方法是一种解决思路,实现在“任何时间、任何地点”保护企业数据不被泄露。基于CASB的DLP实现可以分为两种形式:
形式一:应对企业内部DLP问题
保持原有DLP产品的软硬件形态不变,在原有网关上增加对云服务和云应用的支持,可以部署在企业网的终端和边界处。代表厂商Symantec、Intel Security(McAfee)、AvePoint等传统DLP厂商。
形式二:应对企业员工移动办公的DLP问题
CASB作为一种云服务,部署在企业员工使用的云平台上,在云中为用户提供单点登录、访问控制、行为监控、数据防护、安全合规等服务。DLP是CASB要考虑的重要问题,也是产品落地的明确方向,CASB也在积极寻求与传统DLP厂商的合作。对于DLP而言,相对于传统边界部署上方案,CASB的区别在于其结合了用户、设备、内容和应用这几个维度,来理解数据是如何在云环境中被共享或被使用的,从而做出相应的策略配置。基于CASB的DLP产品形态也从传统的Network+Endpoint+Storage DLP变成了Cloud+Mobile DLP。代表厂商有Skyhigh、BlueCoat等。
云时代该如何掌控企业数据安全
数据是企业中最重要也是最需要保护的资产,因此数据安全也变得越来越重要。随着公有云和BYOD技术的不断发展,数据防泄密(Data Loss Prevention, DLP)作为数据安全领域最重要的技术产品,也面临着“实现云中数据泄露防护”的挑战。虽然目前国内企业和个人用户对云服务和应用的依赖还较小,但Cloud+Mobile的DLP将成为DLP产品的发展趋势,国内的DLP产品,也需要快速适应从on-premise到cloud-based的转变。
数据防泄密系统:这是一套从源头上保障数据安全和使用安全的软件系统。包含了文件透明加解密、内部文件流转功能、密级管控、离线管理、文件外发管理、灵活的审批流程、工作模式切换、服务器白名单等功能。从根本上严防信息外泄,保障信息安全。
但是,在人们纷纷畅享云服务的背后,有些疑虑一直盘踞在心里:海量的数据被转移到用户掌控范围之外的设备(云)上时,如何确保存储海量重要信息的“云”安全?对具有敏感信息的企业而言,这种所谓的便利性,恰恰也是数据泄密的风险所在,“云”的应用不能以核心数据的泄密为代价!要想真正体现云的价值,最不能轻视、最严重和最需考虑的就是云数据的安全。明朝万达云安全专家解析,目前云服务所面临的安全风险主要在以下几个方面:
◆法律和合规性风险,因为"云端(服务器)"所在的地域不同,使用期间可能面临的法律风险也会大不相同。虽然网络无边界,但用于进行"云计算"业务的服务器毕竟真实的处于各国法律的管辖之下,因此,对于"云计算"的不当应用,将可能面临极其严重的法律风险和侵权风险。
据统计,现市面上已有的云服务商的安全产品主要是从云计算平台本身出发,围绕平台的稳定性、用户数据安全性、完整性、保密性、网络攻击防护等方面展开,主要包括系统冗余、用户安全认证、权限控制、端对端的数据传输加密、系统安全防护等技术手段,而这些安全手段并未涉及存储数据级的安全。作为企业,不得不考虑将核心数据统一归档集中存储在第三方存储设备(云端)上后,云服务提供商能否确保企业云端数据的存储安全与访问安全?相信“盛大云”的事件也让很多企业心有余悸!
明朝万达公司信息安全专家分析目前公认的云服务技术主要采用虚拟化技术的云终端和B/S客户端架构两种形态来实现,而不同的技术手段分别会面临不同的泄密风险点:
采用虚拟化技术的云终端,一般是“桌面云终端+存储”或“虚拟云桌面+存储”的模式构成。在对云端非结构化数据(文档)访问与使用时,云服务商是否可以提供数据的权限级别设置,以防非权限访问?而基于浏览器(或云客户端)操作来提供云服务的客户端架构技术,数据在使用过程中普遍会以明文的形式存储在终端,这种情况无疑增多了数据的不安全性,如计算机的外设、邮件、网络应用等均会成为泄密的途径;而云服务支持多种设备对云端连接的便利性,在方便用户共享数据的同时,亦带来了身份有效性验证、通讯链路的安全性保障、数据落地存储与使用安全等问题。
鉴于以上分析,@北京明朝万达Chinasec“云”数据安全解决方案的思路将根据云服务的两种形态来区别对待,以数据安全为核心,围绕敏感数据的存储、传输和使用过程中可能触发的风险提供针对性的完整云安全解决方案。 云数据安全解决方案
◆云端数据加密存储。云架构进一步推动了数据的集中存储和快速共享,对于黑客或其他心怀恶意的信息窃取者来说,目标更加清晰,途径更加便利,无论是采用虚拟化技术还是客户端架构,企业都绕不开云端数据安全保护的问题。将文件加密存储在云端,从而解决用户对于云存储的数据安全性的不信任,规避数据在云端泄密的风险。
◆文档权限管理。Chinasec数据管理平台提供以密级为核心的文档安全管理系统,可根据管理角色的不同灵活划分多种细粒度的文档访问权限,可针对文件、文件夹或应用系统内的文档设置不同的使用权限,还可以为单个用户、用户组、部门进行权限配置,从而简化权限的分配和管理。通过文档权限管理可实现文档的分级管理和授权访问,杜绝数据窥探和非授权访问事件发生。
◆云数据安全。Chinasec数据管理平台通过设置云平台的URL或IP地址,在所有接入云端的设备上安装代理客户端,并采用自动解析策略来设置云平台参数,同时透明加解密技术可对从云平台下载的云数据进行自动加密存储,规避因明文存储造成的数据泄密。由于动态加解密技术不仅不改变用户使用习惯,而且无需用户太多的干预操作即可实现云数据的安全,提供了极大的便利性。
◆终端设备接入安全。云架构进一步推动了信息的快速共享,Chinasec数据安全管理平台支持对各类接入云端的设备(如PC、笔记本、Pad、智能手机等)进行用户身份认证和链路加密,增强移动终端接入的安全性,确保用户共享的数据安全。
Chinasec数据安全管理平台采用模块化设计的B/S和C/S混合架构,整个管理平台运用了加密、认证、控制等技术手段,上述各功能均是数据管理平台的子功能,可依据企业实际情况和需求进行不同的功能组合,以满足不同类型、不同应用场景下的用户需求。且各类接入设备均由Chinasec数据安全管理平台统一管控,包括密钥交换、策略下发、身份认证等,因此各类设备内的加密文件可以达到透明加解密。在云实现了移动互联的同时,Chinasec数据安全管理平台亦实现了安全互通。
目前,“云”已经在企业级市场得到了越来越广泛的应用,而这一新IT时代的产物如果想要进化得尽善尽美,需要整个产业链成员的集体迁移,尤其是信息安全厂商,它将是云发展拼图中至关重要的一块,没有信息和数据安全的保障,云架构的搭建注定只能是空中楼阁。因此,如何应对数据安全风险问题任重道远。明朝万达将一如既往的以数据安全为核心,关注企业敏感数据的流转方向,对数据的整个生命周期采取完善的数据安全管控方法,让广大用户能够安全无忧的畅享新技术带来的惠利。本回答被提问者采纳