企业数据防泄密产品 选型指南 保护知识产权 防止信息泄露 Ftrans飞驰云联 ©2021 目录 / CONTENT 前言 3 第一章 企业数据安全现状 4 企业对数据安全的认知 4 数据防泄密的关键发现 6 第二章 企业数据泄密的主要场景 7 造成数据泄密的原因 7 数据泄密的途径 8 防止内部主动泄密的15种方法 第三章 数据防泄密的手段 10 12 防止外发数据泄密的5种方法 15 防止外部攻击数据泄密的6种方法 16 第四章 数据防泄密的技术 18 加密类技术 18 过滤类技术 19 传输类技术 20 存储类技术 20 控制类技术 21 隔离类技术 21 第五章 数据防泄密产品选型要点 22 明确哪些数据需要保护 22 产品选型考虑因素 24 第六章 数据防泄密产品主要厂商 26 附录：文件安全外发Demo视频演示 33 企业数据防泄密产品选型指南 前言 先和大家分享一个案例。 曾刊登于1964年的《中国画报》封面的一张大庆油 田的“铁人”王进喜的照片大家可能都有印象，照片 中的“铁人”头戴大狗皮帽，身穿厚棉袄， 顶着鹅毛 大雪，握着钻机手柄眺望远方， 在他身后散布着星 星点点的高大井架。铁人精神整整感动了一代人， 但这张照片无意中也透露了许多的秘密。 国外情报专家根据照片上王进喜的衣着判断，只有在北纬46度至48度的区 域内，冬季才有可能穿这样的衣服，因此推断大庆油田位于齐齐哈尔与哈尔 滨之间。并通过照片中王进喜所握手柄的架式，推断出油井的直径；从王进 喜所站的钻井与背后油田间的距离和井架密度，推断出油田的大致储量和产 量。情报人员又利用到中国的机会，测量了运送原油火车上灰土的厚度，大 体上证实了这个油田和北京之间的距离。 这就是著名的“照片泄密案”。 可以说，信息泄密已经到了人人可畏的地步，数据安全防护工作成为不容忽 视的存在。 如何防止敏感数据的泄密？如何建立健全数据安全保障体系，并使之面对日 新月异的威胁，能长久的保持有效性？ 3 企业数据防泄密产品选型指南 第一章 企业数据安全现状 企业对数据安全的认知 此前国内领先的网络安全行业门户Freebuf就对网络安全专业人士进行 过一项全面在线调查，受访者范围从技术主管到经理和IT安全从业者， 代表了跨多个行业的不同规模的组织。 调查结果显示，94%的人(IT与安全专业人员)认为数据安全极为重要。 超过半数(55%)的受访组织对其数据安全状况没有信心。 4 企业数据防泄密产品选型指南 在数据泄密造成的影响方面，组织所报告的最常见的业务影响是数据 丢失(53%)、业务活动中断(42%)和负面宣传(42%)。 在数据防泄密面临的挑战方面，最常提到的是跨数据生命周期执行安 全策略的挑战(57%)，其次是缺乏专家人员(50%)和缺乏预算(48%)。 5 企业数据防泄密产品选型指南 数据防泄密的关键发现 此前，安全牛与 Forcepoint等机构联合发布《数据防泄密业务应用指 南》研究报告，主要有以下关键发现： l 数据安全是未来网络空间安全领域重点关注方向。以数据为中心的 安全防护，包括机密性、完整性、可用性、抗抵赖等的实现，通常 需要采用多项技术实现。因此数据安全防护技术特点是细分领域繁 多，界限并非十分明显。 l 数据泄密攻击主要涉及外部攻击及内部泄密两大类型。内部防泄密 工具与外部攻击防御工具相互配合，可以大幅度提高数据安全防范 能力，大趋势是由防泄密厂商结合外部攻击防御工具提供整体数据 防泄密解决方案。 l 泄密数据类型众多，数据识别与采集技术越多，越容易发现与定位 敏感数据所在。数据检测与识别能力是防泄密产品的核心竞争力。 具有丰富多样的识别方式及高精准识别率，快速处理企业的各种类 型的海量结构化数据和非结构化数据，是其关键所在。 l 加强对数据库、应用服务、邮件、终端、文档等类型资产进行有效 防护可以减少泄密通道。加强内部员工以及第三方人员调用敏感数 据的检测与审核可以减少数据泄密事件发生。 l 自然语言处理、机器学习、指纹识别、UEBA 以及新的敏感数据识 别及分类方法的发现是防泄密厂家未来技术制高点。 6 企业数据防泄密产品选型指南 第二章 企业数据泄密的主要场景 造成数据泄密的原因 据安全专家统计报告说明，企业在遭遇数据泄露事件时，有百分之八 十的概率是出现在内部人员泄密身上。这样的结果表明，内部数据安 全问题远远比网络攻击更加可怕。尤其是在设计行业，还有类似于公 司间谍一样的神奇存在，在获取到公司核心数据时，如设计重要图纸 文档，则人就销声匿迹了，这样的内部泄密事件发生次数已经不是少 数了，尤其是在中小型企业中更容易发生，大企业也不例外，其原因 就是在于企业数据管理上，没有部署有效的保护体系，让数据安全一 次次遭受严重打击。 企业泄密主要有这么几种可能： l 离职跳槽--离职创业或者高薪跳槽，为了谋求更好的发展，有意识 的窃密； l 外部攻击--基于报复、利益，黑客主动或被唆使窃取公司机密； l 为谋私利--员工受到金钱诱惑出卖公司的机密文件； l 商业间谍--竞争对手获取商业机密常用的手段； l 第三方泄密--第三方合作伙伴有意或无意的二次泄密； l 无意泄密--员工使用计算机和互联网的过程中无意识的泄密。 7 企业数据防泄密产品选型指南 数据泄密的途径 主动泄密 主动泄密已经成为当前企业信息安全的首要问题，据报告数据显示， 目前泄密事件中，近80%的损失都是由内部人员主动泄密导致。 企业面临的主动泄密隐患包括： 1、将企业内部文档私自拷贝外带及复用泄密(USB/网络/即时通讯/刻 录); 2、越权访问非授权数据泄密; 3、盗用他人账号及设备非法访问数据泄密; 4、伙同他人实现敏感数据跨安全域转移泄密; 5、通过打印机、传真机等将敏感数据进行介质转换泄密 ; 6、私自携带笔记本设备接入内部网络非法下载数据泄密; 7、对敏感数据的恶意传播及扩散泄密; 8、对核心应用系统的非安全接入及访问泄密; 9、不遵守管理制度的其他导致数据泄密的行为等。 8 企业数据防泄密产品选型指南 被动泄密 被动泄密是指导致信息泄密的人员在无意识或不知情的情况下所发生 的泄密隐患，被动泄密已成为当前日益激烈的恶性商业竞争下的主要 泄密隐患。 目前存在的被动泄密隐患包括： 1、移动笔记本、USB存储设备遗失或失窃导致数据泄密; 2、邮件或网络误操作、误发送等，数据的误用引起的泄密; 3、保密意识淡薄对敏感数据保管不当引起的泄密，如随意共享等; 4、感染病毒、木马后引发的敏感数据泄密; 5、将存放重要数据的机器、存储介质随意交与他人使用引发的泄密; 6、移动笔记本、USB存储设备和硬盘等维修、废弃时引发的泄密。 9 企业数据防泄密产品选型指南 第三方泄密 第三方泄密是指重要数据交付给合作伙伴、客户或其他关系密切人员 后保管不当或故意分发所引起的第三方扩散泄密，是目前企业商业化 合作需求背景下逐渐体现的信息安全问题。 相比企业内部的风险管理，对第三方风险管理更具有挑战性，对拥有 成百上千供应商的组织来说，更是如此。 “安全值”联合“供应链安全联盟”发布了《第三方安全风险管理能力框 架》，文中提到： “第三方是组织的扩展，其行为可以直接影响到合规性和品牌声誉。 这就要求企业对几十个，几百个甚至数千个第三方进行调查，评估 和后续跟进，并对风险采取行动。第三方风险管理能力将应用于从 合同签订之前到合同执行过程中一直到合同完成之后整个生命周期， 并且在数字化环境下，风险控制需要得到领导充分的重视和支持， 经多个业务和职能部门的协同来完成。” 可见，对第三方合作伙伴的风险管理，任重而道远，过程更需要科学 的方法。 10 企业数据防泄密产品选型指南 外部威胁导致的泄密 虽然导致企业信息泄露最大的威胁都来自内部（内鬼），但是外部的 攻击威胁也是不容忽视的。 每年都会披露出来多起外部恶意攻击导致的数据泄露事件，大部分都 是中大型企业，从小型的入侵外泄事件到超大型的入侵外泄事件，从 黑客激进分子（hacktivism）到网络间谍，再到为钱作案的网络犯罪集 团，有太多太多的事情发生了。 网络上的各种木马、蠕虫、勒索软件层出不穷，通过服务器缝隙、桌 面缝隙、移动代码、在邮件中选用嵌入式HTML、对HTTP和HTTPS的 遍及访问、cookie窃取、通过大量ping攻击服务器、脚本攻击对应网 站 数据来源：深信服科技 11 企业数据防泄密产品选型指南 第三章 数据防泄密的手段 防止内部主动泄密的15种方法 教育员工 不要低估员工教育的力量。CoSoSys的研究显示，60%的员工不知道 哪些公司的数据是机密的。因此，他们可能会意外泄漏或使用不当。 签署法律文件 很多企业在员工入职的时候，都会签署保密协议，尤其是开发人员这 样的涉密人员，通过这种方式，可以一定程度上的防止员工主动泄密。 文件加密 文件加密是一种比较常见的数据安全保护手段。不影响员工日常的操 作，加密的文件只能在单位内部电脑上正常使用，一旦脱离单位内部 的网络环境，在外部电脑上使用是乱码或无法打开。这样可以防止内 部的二次泄密。 第三方身份验证 现在有许多基于标准且高度安全的身份验证产品可供选择，这样的话， 你的员工/客户等等就不需要一个个记住账号密码了，这样就能减少账 号泄密的风险了。 12 企业数据防泄密产品选型指南 禁用USB接口 这种方式可以有效防止恶意的数据拷贝，如果需要对外发送的话，需 要经过审核后由专人拷贝出来再外发。 控制网络访问权限 网站白名单，只允许访问工作需要的网站，其他一律禁止掉。这个算 是比较严格的限制方式了。 控制内部文件访问权限 比如销售类企业要保护的就是客户的信息，而设计类企业要保护的就 是图纸等信息，所以需要设置权限，每个人只能访问自己权限范围内 的数据。 对企业数据信息存储介质做渗透测试 渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目 标系统的安全做深入的探测，发现系统最脆弱的环节。 服务器上备份文件 及时的将重要文件备份，以便丢失后能及时找回，同时可以减少无意 的泄密带来损失。 使用防泄密软件 比如DLP、上网行为管理等产品，防止敏感信息以及不合规的文件传 输行为。 13 企业数据防泄密产品选型指南 云桌面 很多研发型企业都在使用，它的成本比较低，使用灵活，可以快速响 应企业和开发需求，实现代码等数据不落地，对于企业来说，不仅仅 是便于管理了，而且更能保障信息安全。 实施网络隔离 这个算是目前最流行的方式了。绝大多数企业采取的第一个步骤是将 企业内网与互联网进行隔离，较大规