上述信息安全體系出自中國最大的信息安全廠商。經(jīng)過分析�,可以看出上述的信息安全保障體系存在著重要的缺陷:
1. 采用的是傳統(tǒng)的“邊界保護”理論���,使用“筑圍墻”的方式來建立防護體系,無法做到等級保護�。
傳統(tǒng)信息安全架構(gòu)核心思想是邊界保護��,也就是通過防火墻�、VPN、安全網(wǎng)關(guān)等技術(shù)���,把自己的信息隔離在一個相對封閉的區(qū)域里��,如同在信息周圍筑起一道高圍墻�����。但是�,隨著互聯(lián)網(wǎng)的普及,網(wǎng)絡(luò)和信息系統(tǒng)不可避免地對外開放��,要越來越多地同外界共享應(yīng)用系統(tǒng)和信息�。網(wǎng)絡(luò)邊界阻隔信息流動,從而限制了信息發(fā)揮作用�。采用邊界劃分思想來保護信息安全,是把信息安全當(dāng)做城堡�����,把信息當(dāng)做城堡里的人���,這樣設(shè)計的信息安全系統(tǒng)只能是粗放的�,不能將安全防護貫穿到信息本身;實際上�,真正要保護的對象是城堡里的人,而擁有城堡的是城堡的主人����,因此需要因人而異�����,設(shè)定重點保護對象��,而不是一視同仁�����。
等級保護就是要把信息資產(chǎn)分為不同等級、根據(jù)信息資產(chǎn)不同的重要等級���,采用不能的措施進行防護����,它的出發(fā)點就是要突出重點��,分級負(fù)責(zé)��,分層實施��,是對信息安全細(xì)粒度劃分的體現(xiàn)���,打破了傳統(tǒng)信息安全保護“一刀切”的做法���。
2. 在安全管理方面采用的是“木桶短板”理論���,完全將信息(文檔和數(shù)據(jù))與信息安全隔離。
“木桶短板理論”是對信息安全實踐起到重要指導(dǎo)作用的典型信息安全理論�。該理論認(rèn)為,信息安全的防護強度取決于“木桶”中最短的那塊“木板”���。以此理論為基礎(chǔ)�����,必須導(dǎo)致安全管理實踐上的諸多不足:發(fā)現(xiàn)病毒危害大���,就買最好的反病毒軟件,發(fā)現(xiàn)邊界不安全���,就部署最強的防火墻��,發(fā)現(xiàn)黑客入侵����,就采用最先進的IDS。從實質(zhì)上講���,這是一種“頭痛醫(yī)頭�����,腳痛醫(yī)腳”的做法�,是治標(biāo)不治本的方法���。該理論的隱性的假設(shè)是:信息安全是用來保護信息的“桶”�����,信息則是被保護的“水”。這個理論將信息(文檔和數(shù)據(jù))和信息安全割裂開來����,其結(jié)果必然是信息安全實踐中,只注重堆積信息安全技術(shù)�,而忽視要保護的對象——信息(文檔和數(shù)據(jù))��。
等級保護和分級保護,強調(diào)層次化��,立體防護。按此觀念���,信息安全和信息絕不是桶和水的關(guān)系����,而是緊密結(jié)合在一起的有機體�。信息安全依存于信息和信息系統(tǒng)中���,要做到整體信息安全����,不能孤立去研究信息安全技術(shù)���,而應(yīng)該將信息��、信息系統(tǒng)和信息安全技術(shù)作為一個整體考慮�����。只有這樣,信息安全建設(shè)才不至于走向偏離����。
3. 主要考慮物理安全��、系統(tǒng)安全、應(yīng)用安全和網(wǎng)絡(luò)安全�,忽視了信息自身(文檔和數(shù)據(jù))的安全����。
在傳統(tǒng)的信息安全架構(gòu)中�,由于采用的邊界保護和“木桶短板”理論��,信息安全技術(shù)的研究重點就放在了邊界的安全性和木桶木板的等高性方面。這種架構(gòu)直接導(dǎo)致的后果是�,對信息系統(tǒng)中的信息(文檔和數(shù)據(jù))放任不理��。不做防護。一旦邊界被攻破����,木桶某個木板被鋸短���,信息安全就全面失守。
等級保護和分級保護不僅要求對信息系統(tǒng)的物理安全�����、系統(tǒng)安全、網(wǎng)絡(luò)安全和應(yīng)用安全進行保護,還要求直接針對信息(文檔和數(shù)據(jù))自身的安全進行保護�����。尤其是分級保護��,直接要求將涉及國家秘密的信息分級分類進行保護����,這是傳統(tǒng)信息安全保障體系的空白。
三�����、 數(shù)據(jù)泄露防護(DLP)體系是等級保護和分級保護思想的最佳實踐
近年來����,數(shù)據(jù)泄露防護(DLP)在中國市場上正如火如荼的高速發(fā)展。這是一種全新的產(chǎn)品體系�����,從設(shè)計原理���、系統(tǒng)架構(gòu)和保護策略等多方面超越了傳統(tǒng)信息安全產(chǎn)品��,與國家正在大力推廣的等級保護和分級保護思想具備天然的吻合性��,突破了傳統(tǒng)信息安全理論的局限��,直接有效地保護信息安全(文檔和數(shù)據(jù))����,是一種革命性的創(chuàng)新產(chǎn)品體系���。
為了便于分析�����,筆者以中國數(shù)據(jù)泄露防護(DLP)的代表——北京億賽通數(shù)據(jù)泄露防護(DLP)為例��,對數(shù)據(jù)泄露防護(DLP)體系的特點進行簡單介紹��。
1. 數(shù)據(jù)泄露防護(DLP)直接針對信息(文檔和數(shù)據(jù))自身的安全進行保護���。
億賽通DLP體系主要功能是防泄密�����、防止數(shù)據(jù)泄露����,是直接針對信息(文檔和數(shù)據(jù))的安全性進行保護��,確保信息(文檔和數(shù)據(jù))的保密性�、完整性和可用性。
2. 數(shù)據(jù)泄露防護(DLP)從源頭上確保信息(文檔和數(shù)據(jù))安全����。
億賽通DLP核心的功能是加密。其核心加密技術(shù)是“智能動態(tài)加解密技術(shù)”��。這項技術(shù)能強制透明地對所有核心信息進行加密保護����,從源頭上確保信息安全�。
3. 數(shù)據(jù)泄露防護(DLP)充分體現(xiàn)了等級保護和分級保護的思想�。
億賽通DLP體系基于驅(qū)動層透明動態(tài)加解密技術(shù)��,采用對應(yīng)客戶需求的安全策略���,以透明加密功能為核心����,結(jié)合文檔透明加密�、文檔權(quán)限管理、文檔外發(fā)控制�、文檔備份、業(yè)務(wù)流程審批����、磁盤全盤加密、磁盤分區(qū)加密等基本功能���,融合身份認(rèn)證����、日志審計��、端口管理、移動存儲管控和系統(tǒng)容災(zāi)管理等功能��,構(gòu)建完整的數(shù)據(jù)泄露防護(Data Leakage Prevention��,DLP)體系�。采用分域安全架構(gòu),將整個網(wǎng)絡(luò)分為終端���、端口�、磁盤���、服務(wù)器�、局域網(wǎng)五大安全域�����,并以筆記本電腦��、移動存儲設(shè)備���、數(shù)據(jù)庫為安全域特例�,針對各個安全域采取對應(yīng)的安全策略,在確保內(nèi)部網(wǎng)絡(luò)各個節(jié)點數(shù)據(jù)安全的基礎(chǔ)上��,實現(xiàn)整體一致的全面防護�����。
4. 數(shù)據(jù)泄露防護(DLP)能與傳統(tǒng)信息安全保障體系兼容�����,組成真正完整的信息安全架構(gòu)���。
億賽通DLP不僅可以作為一個單獨的產(chǎn)品體系使用,還能結(jié)合傳統(tǒng)信息安全體系����,組成一個加強型保護方案,實現(xiàn)邊界管理和內(nèi)容管理雙重保護�����。
