隨著越來(lái)越多關(guān)于數(shù)據(jù)泄露的事件被公開(kāi)，企業(yè)已經(jīng)意識(shí)到關(guān)鍵數(shù)據(jù)保護(hù)對(duì)企業(yè)的重要意義。特別是在一些研究機(jī)構(gòu)和軍事保密機(jī)關(guān)，對(duì)出入人員的管控措施十分嚴(yán)格，不僅不能攜帶具有拍攝功能的工具，也不許隨意攜帶USB移動(dòng)存儲(chǔ)設(shè)備。

一些用戶抱怨，之所以會(huì)有這些安全防護(hù)措施，主要是因?yàn)橹卮髷?shù)據(jù)泄露事件不斷發(fā)生，公司只好使出各種方式保護(hù)研發(fā)、合同、財(cái)務(wù)等機(jī)密文件。

此時(shí)此刻，數(shù)據(jù)安全到底如何防護(hù)?隨著數(shù)據(jù)泄露引發(fā)的危機(jī)逐步擴(kuò)大，企業(yè)對(duì)數(shù)據(jù)丟失防護(hù)(DLP)產(chǎn)品的需求逐漸加大。事實(shí)上，無(wú)論是硬件防護(hù)，還是文檔保護(hù)(File Protection)、I/O保護(hù)(I/O Protection)、局域網(wǎng)保護(hù)(LAN Protection)都屬于DLP的范疇。這也正好迎合了DLP產(chǎn)品的三種分類：

***，文檔保護(hù)(File Protection)：通過(guò)對(duì)文檔本身進(jìn)行安全管控避免資料外泄，例如文檔加密等。

第二，I/O保護(hù)(I/O Protection)：控制輸入/輸出設(shè)備的使用情況，以防止機(jī)密文件通過(guò)USB等移動(dòng)存儲(chǔ)設(shè)備泄露。

第三，局域網(wǎng)保護(hù)(Lan Protection)：對(duì)局域網(wǎng)內(nèi)運(yùn)行的各種業(yè)務(wù)進(jìn)行管控，通過(guò)限制、檢測(cè)、記錄網(wǎng)絡(luò)內(nèi)運(yùn)行的Email、MSN、QQ、http、ftp等業(yè)務(wù)，防范機(jī)密文件透過(guò)互聯(lián)網(wǎng)泄露。

這三種數(shù)據(jù)安全防護(hù)方式到底有何不同? 下面細(xì)細(xì)道來(lái)。

文檔保護(hù)(File Protection)發(fā)展趨勢(shì)

當(dāng)前，文檔保護(hù)主要有兩種模式，一種是僅能用來(lái)保護(hù)文件使用者泄露機(jī)密文件的“數(shù)字版權(quán)管理(Digital Rights Management，DRM)”，另外一種是可以同時(shí)防護(hù)文件作者與文件使用者的“即時(shí)讀寫(xiě)加解密”。

1、數(shù)字版權(quán)管理

無(wú)論是前幾年較常被市場(chǎng)討論的數(shù)字版權(quán)管理(DRM)或企業(yè)級(jí)數(shù)字版權(quán)管理(Enterprise Digital Rights Management，E-DRM)，皆起源于微軟在2004年的大規(guī)模炒作。

微軟為炒做該市場(chǎng)，除針對(duì)終端應(yīng)用軟件與服務(wù)器系統(tǒng)推出相對(duì)應(yīng)的產(chǎn)品，如Office IRM(Information Rights Management)與Windows RMS(Rights Management Services)等，鑒于協(xié)同工作日趨普及，微軟也在其企業(yè)產(chǎn)品上，整合上述的DRM功能。

DRM可以防止由于企業(yè)員工不慎將受到DRM保護(hù)的機(jī)密文件轉(zhuǎn)給他人時(shí)泄露數(shù)據(jù)。在打開(kāi)DRM文件時(shí)，必須接入到授權(quán)服務(wù)器取得授權(quán)，才可以打開(kāi)文件，因此企業(yè)無(wú)須擔(dān)心機(jī)密文件會(huì)因有心人士的不法手段而外泄。

不過(guò)，自微軟推出RMS以來(lái)，僅有微軟的Office系統(tǒng)架構(gòu)在RMS上，其他應(yīng)用軟件廠商并未支持RMS驗(yàn)證機(jī)制。

企業(yè)如欲將其他應(yīng)用軟件的文件整合至DRM機(jī)制中，企業(yè)IT管理人員必須通過(guò)外掛程序?qū)⒚恳粋€(gè)應(yīng)用軟體(每一個(gè)版本)及欲限制的功能整合至DRM中，其工作量十分龐大。事實(shí)上，即使做得出來(lái)，也可能出現(xiàn)未控制到的安全隱患。

因此，可以簡(jiǎn)單的認(rèn)為DRM僅適用于以Microsoft Office與Arobat PDF方式的文檔。

另外值得一提的是，DRM技術(shù)防范的對(duì)象是文檔的使用者，而非作者。因此，需要一套可以防止作者故意泄露機(jī)密數(shù)據(jù)的防護(hù)工具，在這種狀況下，出現(xiàn)所謂的即時(shí)讀寫(xiě)加解密產(chǎn)品。

2、即時(shí)讀寫(xiě)加解密產(chǎn)品

由于DRM不適合保護(hù)Microsoft Office與Arobat PDF以外的文檔，也無(wú)法防范文件作者盜取機(jī)密資料，因此可在機(jī)密文件儲(chǔ)存時(shí)，自動(dòng)進(jìn)行加密、打開(kāi)時(shí)自動(dòng)解密的“即時(shí)讀寫(xiě)加解密”技術(shù)得到推崇。

“即時(shí)讀寫(xiě)加解密”的技術(shù)實(shí)現(xiàn)門檻很高，必須在驅(qū)動(dòng)層(driver layer)設(shè)計(jì)內(nèi)核模式驅(qū)動(dòng)程序，直接運(yùn)行于Windows等操作系統(tǒng)的內(nèi)核(kernel)中，接管文件系統(tǒng)。

即時(shí)讀寫(xiě)加解密技術(shù)之所以實(shí)現(xiàn)上如此復(fù)雜，是為了要確保該機(jī)制不會(huì)造成用戶電腦不穩(wěn)定，甚至破壞文檔等情況發(fā)生。

通過(guò)即時(shí)讀寫(xiě)加解密產(chǎn)品，企業(yè)不需限制儲(chǔ)存設(shè)備、輸入/輸出設(shè)備、網(wǎng)絡(luò)、電子郵件以及QQ/MSN等的使用功能，因?yàn)槲臋n在儲(chǔ)存時(shí)，即處于加密狀態(tài)，即便該文件被泄露出去也無(wú)法打開(kāi)。

另外，有的即時(shí)讀寫(xiě)加解密產(chǎn)品，會(huì)限制保護(hù)文件格式的數(shù)量。企業(yè)IT管理人員可以根據(jù)企業(yè)實(shí)際需求，來(lái)選擇保護(hù)不同類型的文件格式。

I/O保護(hù)(I/O Protection)發(fā)展趨勢(shì)

當(dāng)企業(yè)未實(shí)施文件加解密保護(hù)機(jī)制時(shí)，可以通過(guò)設(shè)置I/O設(shè)備的方式，防止內(nèi)部機(jī)密文件泄露。由中央控管所有終端計(jì)算機(jī)的儲(chǔ)存及USB移動(dòng)存儲(chǔ)設(shè)備、打印機(jī)等輸入/輸出設(shè)備，限制這些設(shè)備的讀寫(xiě)權(quán)限;此外，有些產(chǎn)品在用戶終端計(jì)算機(jī)使用者將資料復(fù)制到USB移動(dòng)存儲(chǔ)設(shè)備或刻錄到光盤時(shí)，系統(tǒng)會(huì)自動(dòng)進(jìn)行文件加密等保護(hù)措施。

使用上述的I/O保護(hù)產(chǎn)品時(shí)，必須特別注意該產(chǎn)品是否可以防護(hù)到每一種儲(chǔ)存設(shè)備、輸入/輸出設(shè)備，假若有遺漏，即可能成為企業(yè)的安全隱憂。

然而，如今企業(yè)提倡人性化管理，通過(guò)限制I/O設(shè)備讀寫(xiě)的方式來(lái)防止數(shù)據(jù)泄露，顯得過(guò)于嚴(yán)厲。因此，筆者認(rèn)為所謂的I/O保護(hù)產(chǎn)品，只是DLP技術(shù)未成熟時(shí)的過(guò)渡產(chǎn)物，當(dāng)DLP技術(shù)日趨成熟，I/O保護(hù)產(chǎn)品必將遭市場(chǎng)淘汰。

局域網(wǎng)保護(hù)(Lan Protection)發(fā)展趨勢(shì)

局域網(wǎng)保護(hù)類產(chǎn)品與I/O保護(hù)產(chǎn)品的概念相似，是通過(guò)監(jiān)測(cè)、記錄或限制局域網(wǎng)中未加密文檔的方式，來(lái)實(shí)現(xiàn)數(shù)據(jù)丟失防護(hù)。

其中常見(jiàn)的產(chǎn)品一種是針對(duì)網(wǎng)絡(luò)或郵件服務(wù)器進(jìn)行檢測(cè);另外一種通過(guò)事先分析機(jī)密文件的特征，決定機(jī)密文件是否可以通過(guò)網(wǎng)絡(luò)、儲(chǔ)存設(shè)備與輸入/輸出設(shè)備傳送。

顯而易見(jiàn)，局域網(wǎng)保護(hù)類產(chǎn)品僅適用于事后審計(jì)，難以做到即時(shí)防止機(jī)密文件泄密，假若僅是為審計(jì)企業(yè)關(guān)鍵數(shù)據(jù)的傳播狀況，筆者看不出其與IDS產(chǎn)品有何異同。

至此，相信讀者已經(jīng)對(duì)如今DLP產(chǎn)品有了大致的了解。隨著企業(yè)關(guān)鍵數(shù)據(jù)保護(hù)需求的日益增加，以及公安部82號(hào)令、薩班斯法案等相關(guān)法律法規(guī)的不斷出臺(tái)與完善，數(shù)據(jù)安全的時(shí)代已經(jīng)到來(lái)。51CTO.com提醒您，在選購(gòu)DLP產(chǎn)品時(shí)要充分了解相關(guān)DLP產(chǎn)品的防護(hù)機(jī)制，考慮企業(yè)的實(shí)際需求，這樣才有助于您打造適合于企業(yè)自身的數(shù)據(jù)丟失保護(hù)解決安全。

【編輯推薦】

1. 數(shù)據(jù)丟失防護(hù) 企業(yè)應(yīng)該何去何從
2. RSA宣布收購(gòu)數(shù)據(jù)丟失防護(hù)公司 拓展數(shù)據(jù)安全策略