一、国家政策和市场需求
在过去的二十年间,经济形态发生了很大的变迁,知识资产逐渐取代了物理资产成为经济价值表现的主要载体,各种社会主体的价值越来越多的体现在无形资产中。在经济发展从传统形式向知识经济形态的转化过程中,数据也从单纯的数据向着数据资产进行转化。
数据被盗取将对业务产生严重甚至致命的影响,这也是为什么许多组织的管理层对当前数据保护高度重视,不断地寻找更有效的数据保护方法。此外,频发的数据外泄事件更是使得组织管理层对组织内数据保护状态的担忧,无法确信组织内的信息安全管理能够有效的发挥作用,迫切需要一种体系化的数据保护解决方案。
国家政策法规、国内外标准也是安全需求来源之一。2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中,已经明确提出“全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统的安全;加强以密码技术为基础的信息防护和网络信任体系建设;主管部门或运营单位要根据实际情况建立和完善信息安全监控系统,提高对网络失窃密的防范能力”。国家《保密法》要求保护国家秘密,《商密保护条例》要求国资企业保护企业的商业秘密。相关的数据保护不仅仅影响到一个组织自身的经济利益和声誉,同样也要承担违规的行政责任或违法行为的刑事责任。只要涉及任何法规提出的需要保护数据,就必须采取全面的数据管理措施,以保证法规依从。
二、发展阶段和趋势
随着社会对数据保护的重视,越来越多企业和个人为了加强自己的信息资产安全,开始使用数据保护相关的产品。从2004年至今,数据保护技术的发展经历了以下几个阶段。
1)2002年,美国“安然”“视通”丑闻爆发;2004年,美国证券市场开始实施针对上市公司财务和公司治理的Sarbanes-Oxley(塞班斯法案),其中要求上市公司的内控管理必须切实做到保护财务数据、维护系统安全、保护客户数据免遭盗窃与破坏以提高公司披露的准确性和可靠性。内控从此成为人们关注的焦点,随之而来的针对邮件、网络等IT系统的审计要求使得邮件监控、网络监控、行为审计等产品成为热潮。
2)在2005年左右,众多企业发现员工会在工作时间内通过互联网访问无关信息,这不仅降低了工作效率,还使得钓鱼欺诈、病毒、木马等安全威胁轻易的进入企业内网,内部泄密也变得轻而易举。
3)透明加密产品在信息安全领域刮起了一阵旋风。透明加密软件可以将企业图纸、办公文档等资料进行加密处理,整个过程对用户透明,不改变工作习惯。深陷信息安全风险的企业纷纷购买透明加密软件保护自己的重要信息。
4)2007年到2008年间,是内网安全领域变化较大的时期。随着移动存储介质的广泛普及,移动存储介质管理及其周边产品得到了用户的认可。主机监控审计产品亦开始盛行。如何保证核心数据的安全再次成为企业关注的焦点。一些厂商将国外的DLP(数据泄露保护)概念引入中国,根据中国企业的实际需求整合终端防护、存储磁盘、文件管理、版权管理以及U盘、外设端口控制、网页信息保护、即时通讯拦截等多个功能,推出有中国特色的DLP产品。
2012年,IT界显现出多种变化和发展,变化意味着新的安全风险,包括终端、服务器、传输、信息、文档等的安全问题将更为复杂。然而究其根本,一切信息安全防护的核心,都是数据问题,数据本身就是资产。当前,云计算、虚拟化、移动安全以及社交网络都已经成为影响数据保护技术、市场走向的重要因素。
1、云竞争加剧,数据保护将随之全面扩展
云计算已经如此广泛的被人们接受,将有更多的合作利用资源与相关核心服务推动云应用。私有云与公有云的混合,在云中实施软件开发,企业将纷纷加入云的竞争中来,会出现更多的云服务和各类的行为。2012年,80%的新企业应用将在各类云平台上开发。在国内,云计算也正在被广泛的应用,而云上的数据保护问题和用户隐私保护问题一直是用户关注的焦点,因此对国内数据保护防护技术也提出更高更广的要求,国内信息安全技术将会因为云的高热而全面扩展。
2、虚拟化大幅扩展,数据保护随之全面变革
虚拟化技术已经广泛应用并进一步发展,诸如服务器虚拟化、存储虚拟化、网络虚拟化、桌面虚拟化和终端虚拟化等技术和产品层数不穷的推向市场。2012年,企业最大的挑战之一是进入云领域和虚拟化。他们使用的许多产品,把虚拟化的环境与基于云的服务联系在一起,这意味着需要进行全新的安全考虑和理解。防止数据丢失、反恶意软件、加密和入侵防御等安全控制措施在进入虚拟化和连接到云平台的时候是不能丢弃的。
3、移动设备数量激增提升数据防护安全需求
2012年移动数据网络支出首次超过固定数据网络的支持。移动设备在交货量和支出方面均超过PC,而移动应用更会以850亿的下载量,产生比主流市场更多的收入。IDC将2012年成为“移动设备年”,移动设备日益成为恶意软件的攻击目标,给移动设备的安全防护工作带来更大的压力。并且随着移动终端设备网络化比例的不断增长,对于数据保护产品的需求将会呈现出爆发式增长。
4、社交网络仍是数据保护领域的较大威胁
在消费市场领域,大批厂商利用相互重叠的技术争夺着有限的用户资源。对社交网络的投资已然形成泡沫,但在2012年社交网络依然缓慢增长,其对数据保护领域仍具备较大的安全威胁。Twitter、Facebook等社交网络的广泛应用,用户数量的庞大和用户之间信任度高的特点使其成为在线犯罪活动的理想目标。近年来,在中国由微博等社交网络带来的影响力可见一斑,因此社交网络也将极大推动数据保护产品的市场需求。
三、数据保护产品组成
目前市面上流行的数据保护产品主要包括终端数据保护产品、网络数据保护产品和存储数据保护产品。
1、终端数据保护产品
其安全功能一般包括合规检查、端口监控、系统监控和文件保护等几个方面,其中合规检查主要是针对于相关安全保密规定而研发的功能,一般包括地址绑定、准入控制等;端口控制一般包括外设管理、打印管理、传真管理功能,防止数据从终端的不安全端口被窃取;系统监控主要包括主机防火墙、网络监控、软件应用控制等功能,主要防止数据因主机的安全漏洞被窃取;文件保护包括磁盘加密、文件/目录加密、文件定级、内容感知、文件离网申请等功能,主要是加强对文件的保护。
随着移动互联网的快速发展,目前终端数据保护产品也正向移动终端和智能终端覆盖。
2、存储数据保护产品
其安全功能主要包括存储数据保护和系统自身安全防护两大部分,其中存储数据保护包括身份验证、存储加密、数据访问控制、用户行为审计等功能;系统自身安全防护主要包括漏洞检测、补丁管理、管理员权限控制等功能。
3、网络数据保护产品
网络数据保护产品目前主要对邮件和网页的安全控制,对邮件的安全控制主要包括恶意代码防护、内容审计、内容感知、存储加密等功能;网页安全控制主要包括应用识别、内容感知、内容审计、恶意插件防护等功能。
四、关键技术分析
近年来数据保护市场发展迅猛,而对于数据保护方面的投入也在发生着明显的转变:从传统的对网络自身的保护转变到对网络内的应用系统以及数据本身的安全保护,技术措施从传统的被动防御转变为从人、流程、系统等多维度,通过深入的内容分析、集中管理结构,识别、管控、保护使用中的数据(如终端动作)、动态数据(如网络动作)、以及静态数据(如数据库)的有效方法。目前,数据保护产品的主流技术有基于内容分析技术、邮件加密网关、数据加密等几种方式。
1、基于内容分析技术
数据内容分析技术的本质是从数据内容提取或形成能够反应数据敏感性内容或能够唯一确定文件的特征,主要的数据内容分析技术包括:
正则表达式:正则表达式是用来定义符合某个句法规则的字符串,可用于发现数据中符合所定义句法模式的文字内容,例如身份证号。正则表达式制定的恰当与否影响误报率的高低,例如一个恰当的正则表达式可以区分出真实和伪造的身份证号。
数据指纹:数据指纹方法是通过哈希函数等方法计算一项数据的摘要,通过该摘要可在将来数据审计时比对审计的数据是否是获取该摘要的数据。数据指纹包括量累技术,一类是针对文件的(如Word文件),一类是针对数据库的。数据指纹技术是一种精确的数据技术,常用于较敏感的文件或数据库记录。
关键字:关键字是一种直截了当的匹配技术,对数据内容分析时与关键字进行比对。比对不仅可以是单一的关键字,也可以是一组关键字的某种逻辑组合。关键字匹配技术可以在数据审计前来帮助发现敏感数据的位置。
字典/类别规则:字典和类别规则是几乎所有的数据防泄漏产品厂商都会提供的数据内容分析方法,包括针对某些行业的敏感数据字典(如石油勘探)或针对某些法规的类别规则(如SOX法案)。字典/类别规则丰富程度和涉及的领域依赖于提供数据防泄漏产品厂商的知识和经验,用户很难自行定义。
内容分析技术在数据保护产品中的具体应用方式都是通过数据保护的管理端建立或析取数据特征和建立安全策略,然后部署到各个数据监控装置中,这些监控装置对所监控的数据接收到的数据特征进行比对,一旦发现匹配就按相应的安全策略采取响应行动。
2、邮件安全网关技术
当前商业合作方或者第三方发送邮件时需要用到加密技术,但是邮件加密的问题在于大多数这种加密功能需要发送方和接收方使用相同的特定软件,显然当公司拥有大量的合作伙伴时,这个要求是不现实的,因此邮件安全网关技术是以加密形式发送邮件很好的解决了这个问题。该技术是将接收方通过Https方式连接到安全门户,接收邮件前,利用一个安全的门户存储数据。在Gartner公司最新的魔力象限分析图中,Cisco、Proofpoint、Websense、Microsoft、Google和McAfee都是出于安全邮件网关的领导者地位。
3、WEB安全网关技术
接入互联网经常会导致本地设备感染木马程序,这也可能会导致数据泄露。为了降低企业部署安全网关的风险,根据Gartner2012年的研究,Web安全网关至少要包括URL过滤、木马检测和过滤、基于Web应用程序的控制。Web安全网关可以防止用户被已知的恶意网站感染,并且能像升级病毒库那样经常更新自己网站库。网站同时也能够根据目前的需求将特定的网址作为黑名单或白名单增加如自身的URL过滤器。在Gartner的魔力象限2012分析图中,Cisco、BlueCoat、Websense以及Zscaler均为该领域的领导厂商。
4、加密技术
加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。
加密数据包含两个因素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤;密钥是用来对数据进行编码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。
目前中国信息安全市场已经进入成长期,这一时期的特点是:市场增长率很高,需求高速增长,技术渐趋定型,行业竞争状况和用户特点比较明朗,顾客对产品的认知迅速提高,产品形成差别化趋势以满足顾客的不同需求。面对这样一个市场需求明显增长的客户群体,国内的产品却有明显不足之处。大多数的国内产品技术水平相对于国外的同类产品还比较落后,产业化水平较低,充斥着大量的不合格劣质产品。部分用户在使用不合格产品后,往往造成系统瘫痪,信息保密形同虚设,根本无法做到数据保护。
因此,国内数据保护市场急需形成具有中国特色的数据保护标准规范和体系。需要建设一套将数据保护技术和管理相结合的统一管控平台,平台需依据数据的使用特点和用户的使用场景根据数据的敏感程度通过文档标签标识、数据保护区域以及敏感内容识别技术为用户提供数据内容层防护、使用环境防护、泄露途径层防护或多层联动防护,并可覆盖PC终端、笔记本终端、智能移动终端、应用系统、已外发数据、U盘等存储设备以及临时应用场景。
经过多年的发展,业界已经形成基本的共识,也看到了问题所在。加密不能解决所有的问题,单纯审计也没有任何意义,只有从全局出发,对安全问题的统筹规划、统一管理,整合运用审计、权限管理、透明加密等功能,根据涉密程度不同,部署力度不同的梯度式防护,将技术、管理、审计进行有机的结合,在内部构建起立体化的整体信息安全体系,使得成本、效益和安全三者得到最优平衡,才能实现真正意义的数据安全。
