【TechTarget中国原创】DLP的结构由它们所保护的内容决定:活动数据的网络监视、静止数据的存储扫描以及终端所使用的数据监视。
一套完整的解决方案包括上述各个方面,而部分套件工具只涵盖了部分功能,比如一个只能通过电子邮件的终端DLP工具。还有单通道产品,以及拥有某些DLP功能的非DLP工具,比如一个电子邮件网关,它能够阻止发送含有信用卡数据的信息。从长远来看,大多数企业——尤其是大型企业——更喜欢全面的解决方案,但如果没有必要进行全面覆盖的话,含有部分功能的套件和带有DLP功能的工具也可以满足企业的战略需要。
DLP市场开始的时候使用被动网络监视工具,它们侧重于通过通信通道来监测信息泄露,比如电子邮件、即时通讯、FTP 和HTTP。这些简单的监视和报警工具后来发展成了更加全面的方案,给Web、FTP 和 IM添加了电子邮件集成和网关/代理服务器集成。这让企业能够在数据泄漏之前就阻止网络流量,而不是在数据丢失之后进行报警。(请参考网络监视提示”)
对于电子邮件,DLP供应商内置了一个邮件传输代理,这个代理可以被作为另一个中继站添加到邮件的路径中,用来阻止、隔离、加密邮件或者甚至把邮件退回给用户。因为邮件协议是一个保存并转发的协议,集成起来相当方便。有几个工具通过集成了Exchange以及其他的邮件服务器进而能够支持类似的操作。
其他的通道,比如Web, FTP 和 IM,由于这些流量使用同步协议,所以阻止起来比较困难。会话分析集成了代理服务器之后,可以在内容发布之前用来改造和评估会话内容。很少DLP工具能够提供代理服务器,而是跟大型网关/代理服务器的供应商进行合作,或者使用因特网内容转换协议。当把一个能够代理安全套接字层流量的工具集成进来的话,你就可以监测加密的网络流量。
静止数据的DLP方案通常跟网络监视具有同样的价值。这就是所谓的内容发现;这些工具扫描企业的库以及共享文件来发现敏感内容。想象一下,你可以识别每个存储了信用卡信息的服务器状态,并警惕那些未经授权的内容。
内容发现有三种类型:网络扫描,本地代理和应用程序一体化。对于网络扫描来说,这种DLP工具连入共享文件展开分析,提供了很宽的覆盖范围但是功能有限。本地代理可能有效的在主流平台上直接扫描服务器,而不是通过网络,这个方法对于大型的库更加有效,但是需要更多的管理。有些工具直接集成了文档管理系统以及其他的库,充分利用了本地功能。
执行这种政策需要把企业的目录跟动态主机配置协议服务器集成在一起,用来识别用户的位置(系统和IP地址)——这在评价过程中是一个关键的功能。基于角色的管理和分级管理可以减少管理费用,这在大型的配置中尤其重要。
DLP政策的违反是极为敏感的,通常需要专门的工作流程。与病毒感染系统或者入侵监测系统的报警不同,这种事件会导致员工的解雇或者采取法律行动。DLP管理系统的核心就是事件处理队列,事件处理人员可以从这个队列中看到分配给他们的任务是否违规,然后采取行动,并处理调查工作流程。一个好的工作流程接口可以很容易识别出关键事件,减少事件处理的时间、管理费用,以及减少整个操作的成本。
最近,有一个DLP用户最终选择了带有工作流程的产品。这个用户考虑了两家供应商,他们在技术功能方面都能满足用户的要求,最后该用户选择了非技术用户(法律、HR和遵从部门)更加喜欢的具有工作流程和接口的那款产品。
除了政策管理和事件处理之外,你需要一个集成了现存的基础设施以及包括了强有力的管理工具(比如事件存挡、备份以及性能监视)的方案。因为高级管理人员和审计人员可能对DLP活动感兴趣,我们需要有强有力的报告来给这些非技术人员看,并需要这些报告来支持规则遵从。