在联系DLP厂商开始阶段,请设定公司的预期目标,并决定什么内容需要保护以及怎样对其进行保护。请把相关主要部门的代表召集起来(包括安全、消息、桌面管理、网络、人力资源以及法律部门的人员),然后确定需要保护的目标,包括需要保护的内容和实施方案。此时是制定计划的时候,你要对这些相关部门的用户进行培训,让他们知道什么是真正的DLP,从而帮助公司避免部署的DLP有缺陷。
这些设定的保护目标可以帮助你决定所需的功能。它们可能需要确定内容分析技术、覆盖范围(网络/存储/终端)、基础设施一体化、工作流程以及实施要求等等。你可以决定是需要一个整套功能,还是只需要一个专用的DLP方案或者只是一些具有DLP功能的现有产品。然后,把这些要求转化成一个信息请求或者提议草稿,并开始联系DLP厂商。
大多数企业在选择产品时都会优先考虑内容分析技术、架构、基础设施集成以及工作流程等功能。
内容分析
DLP方案最重要的特点就是内容分析。这个技术允许工具深入到网络流量和文件当中去,展开层次(比如一个.zip文件中的.pdf文件内嵌了一个电子数据表格),并根据政策识别各种内容。虽然DLP产品使用不同的内容分析技术,但是它们使用的那几类技术都会使用前后相关信息,比如发生方/接受方、地理位置和目的地等。
内容描述技术使用规则的表达式、关键词、专业词汇以及其他的类型来识别内容。它们使用规则/常规表达式进行类型匹配;使用包括预先设置的词语和规则组合的概念分析进行特殊概念的匹配(比如内部交易),并预先设定分类,比如个人识别信息(PII)、HIPAA 和 PCI等。
内容登记技术依赖你给系统提供的内容,然后成为一个政策。它们包括全部的或者部分的文档匹配,使用文件的散列组合来识别内容;包括数据库指纹,通过散列现存的数据库内容组合来识别匹配信息;还包括统计技术,使用很大的相关内容库来识别一致性并创建策略。
所有的主流产品都能把不同的分析技术结合在一个政策中以提高正确性。内容分析技术可以直接决定需要选择的产品的候选名单,但是公司也应该确保产品能够满足将来的需要。虽然大多数市场——有人估计有90%——侧重于保护PII,但是大约30% 到 40%的企业对保护非结构化的数据也感兴趣。他们开始的时候使用DLP来保护PII,以此减少他们的遵从风险,然后再慢慢的添加其他的内容——一般是商业秘密和知识产权——如果他们对使用的工具满意的话。
DLP方案最后的重要组成部分是一个终端代理,用来监视在用户台式机上使用的数据。一个“完整的”代理理论上能够监视网络、文件和用户活动,比如剪切和粘贴,但是实际中很少有工具能够完全拥有这些功能。大多数产品只通过文件监视进行终端内容发现,并监测(阻止)敏感数据是否转移到了便携式存储设备中。一个企业能够通过使用这些DLP工具根据文件内容来限制文件的传输,而不是靠完全封锁U盘的使用来保护数据。
内容发现有助于合作银行遵从PCI
大多数企业开始的时候都采用网络数据丢失防护的DLP方案,因为它是识别风险的最快方法。但是从规则遵从的角度看,静止数据的DLP方案——或者内容发现——会更加有价值,因为它有助于快速识别违反政策的存储数据,这个在PCI DSS中特别有用。
比如,一个中型合作银行(credit union)开始的时候使用网络监控以及对用户进行培训,以此来减少无意的数据泄漏风险,然后再使用内容发现来确保存储的PCI数据都是被加密的,最后是基本的电子邮件过滤。公司的供应商最近开始对一个终端代理进行beta测试,客户端会利用它来进行终端发现,并阻止PII传输到便携存储设备上。
合作银行的执行官估计,因为企业内部政治和预算问题,配置所有的DLP部件将需要两到三年的时间。
终端DLP工具正在开始添加更多先进的保护,比如限制剪切和粘贴功能,在未经授权的应用程序(比如特定的加密工具)上监测敏感内容,以及根据内容自动加密等。随着时间的推移,他们将增加能够执行的政策类型和数量,并会更加深入地融入到普通的终端应用程序中去。
转载请注明:IT运维空间 » 安全防护 » DLP方案的内容发现有助于合作银行遵从PCI
发表评论