上述信息安全體系出自中國最大的信息安全廠商。經(jīng)過分析,可以看出上述的信息安全保障體系存在著重要的缺陷:
1. 采用的是傳統(tǒng)的“邊界保護(hù)”理論�,使用“筑圍墻”的方式來建立防護(hù)體系�,無法做到等級(jí)保護(hù)�����。
傳統(tǒng)信息安全架構(gòu)核心思想是邊界保護(hù),也就是通過防火墻���、VPN��、安全網(wǎng)關(guān)等技術(shù)���,把自己的信息隔離在一個(gè)相對(duì)封閉的區(qū)域里��,如同在信息周圍筑起一道高圍墻���。但是�,隨著互聯(lián)網(wǎng)的普及���,網(wǎng)絡(luò)和信息系統(tǒng)不可避免地對(duì)外開放����,要越來越多地同外界共享應(yīng)用系統(tǒng)和信息�。網(wǎng)絡(luò)邊界阻隔信息流動(dòng)�,從而限制了信息發(fā)揮作用����。采用邊界劃分思想來保護(hù)信息安全����,是把信息安全當(dāng)做城堡,把信息當(dāng)做城堡里的人�,這樣設(shè)計(jì)的信息安全系統(tǒng)只能是粗放的,不能將安全防護(hù)貫穿到信息本身;實(shí)際上��,真正要保護(hù)的對(duì)象是城堡里的人�����,而擁有城堡的是城堡的主人�����,因此需要因人而異,設(shè)定重點(diǎn)保護(hù)對(duì)象�����,而不是一視同仁����。
等級(jí)保護(hù)就是要把信息資產(chǎn)分為不同等級(jí)、根據(jù)信息資產(chǎn)不同的重要等級(jí)����,采用不能的措施進(jìn)行防護(hù)���,它的出發(fā)點(diǎn)就是要突出重點(diǎn)���,分級(jí)負(fù)責(zé),分層實(shí)施����,是對(duì)信息安全細(xì)粒度劃分的體現(xiàn),打破了傳統(tǒng)信息安全保護(hù)“一刀切”的做法�����。
2. 在安全管理方面采用的是“木桶短板”理論,完全將信息(文檔和數(shù)據(jù))與信息安全隔離����。
“木桶短板理論”是對(duì)信息安全實(shí)踐起到重要指導(dǎo)作用的典型信息安全理論。該理論認(rèn)為�,信息安全的防護(hù)強(qiáng)度取決于“木桶”中最短的那塊“木板”。以此理論為基礎(chǔ)�����,必須導(dǎo)致安全管理實(shí)踐上的諸多不足:發(fā)現(xiàn)病毒危害大�����,就買最好的反病毒軟件�,發(fā)現(xiàn)邊界不安全,就部署最強(qiáng)的防火墻�,發(fā)現(xiàn)黑客入侵,就采用最先進(jìn)的IDS�����。從實(shí)質(zhì)上講��,這是一種“頭痛醫(yī)頭,腳痛醫(yī)腳”的做法�����,是治標(biāo)不治本的方法�。該理論的隱性的假設(shè)是:信息安全是用來保護(hù)信息的“桶”,信息則是被保護(hù)的“水”����。這個(gè)理論將信息(文檔和數(shù)據(jù))和信息安全割裂開來,其結(jié)果必然是信息安全實(shí)踐中����,只注重堆積信息安全技術(shù),而忽視要保護(hù)的對(duì)象——信息(文檔和數(shù)據(jù))����。
等級(jí)保護(hù)和分級(jí)保護(hù)��,強(qiáng)調(diào)層次化�,立體防護(hù)。按此觀念��,信息安全和信息絕不是桶和水的關(guān)系����,而是緊密結(jié)合在一起的有機(jī)體���。信息安全依存于信息和信息系統(tǒng)中,要做到整體信息安全����,不能孤立去研究信息安全技術(shù),而應(yīng)該將信息�����、信息系統(tǒng)和信息安全技術(shù)作為一個(gè)整體考慮�。只有這樣,信息安全建設(shè)才不至于走向偏離��。
3. 主要考慮物理安全�����、系統(tǒng)安全�����、應(yīng)用安全和網(wǎng)絡(luò)安全��,忽視了信息自身(文檔和數(shù)據(jù))的安全。
在傳統(tǒng)的信息安全架構(gòu)中��,由于采用的邊界保護(hù)和“木桶短板”理論����,信息安全技術(shù)的研究重點(diǎn)就放在了邊界的安全性和木桶木板的等高性方面。這種架構(gòu)直接導(dǎo)致的后果是����,對(duì)信息系統(tǒng)中的信息(文檔和數(shù)據(jù))放任不理。不做防護(hù)����。一旦邊界被攻破,木桶某個(gè)木板被鋸短��,信息安全就全面失守�����。
等級(jí)保護(hù)和分級(jí)保護(hù)不僅要求對(duì)信息系統(tǒng)的物理安全����、系統(tǒng)安全����、網(wǎng)絡(luò)安全和應(yīng)用安全進(jìn)行保護(hù)��,還要求直接針對(duì)信息(文檔和數(shù)據(jù))自身的安全進(jìn)行保護(hù)�。尤其是分級(jí)保護(hù)�����,直接要求將涉及國家秘密的信息分級(jí)分類進(jìn)行保護(hù)��,這是傳統(tǒng)信息安全保障體系的空白���。
三�、 數(shù)據(jù)泄露防護(hù)(DLP)體系是等級(jí)保護(hù)和分級(jí)保護(hù)思想的最佳實(shí)踐
近年來�����,數(shù)據(jù)泄露防護(hù)(DLP)在中國市場上正如火如荼的高速發(fā)展�����。這是一種全新的產(chǎn)品體系�,從設(shè)計(jì)原理、系統(tǒng)架構(gòu)和保護(hù)策略等多方面超越了傳統(tǒng)信息安全產(chǎn)品,與國家正在大力推廣的等級(jí)保護(hù)和分級(jí)保護(hù)思想具備天然的吻合性��,突破了傳統(tǒng)信息安全理論的局限���,直接有效地保護(hù)信息安全(文檔和數(shù)據(jù))����,是一種革命性的創(chuàng)新產(chǎn)品體系����。
為了便于分析,筆者以中國數(shù)據(jù)泄露防護(hù)(DLP)的代表——北京億賽通數(shù)據(jù)泄露防護(hù)(DLP)為例��,對(duì)數(shù)據(jù)泄露防護(hù)(DLP)體系的特點(diǎn)進(jìn)行簡單介紹����。
1. 數(shù)據(jù)泄露防護(hù)(DLP)直接針對(duì)信息(文檔和數(shù)據(jù))自身的安全進(jìn)行保護(hù)。
億賽通DLP體系主要功能是防泄密���、防止數(shù)據(jù)泄露�����,是直接針對(duì)信息(文檔和數(shù)據(jù))的安全性進(jìn)行保護(hù)���,確保信息(文檔和數(shù)據(jù))的保密性、完整性和可用性���。
2. 數(shù)據(jù)泄露防護(hù)(DLP)從源頭上確保信息(文檔和數(shù)據(jù))安全��。
億賽通DLP核心的功能是加密��。其核心加密技術(shù)是“智能動(dòng)態(tài)加解密技術(shù)”�����。這項(xiàng)技術(shù)能強(qiáng)制透明地對(duì)所有核心信息進(jìn)行加密保護(hù)��,從源頭上確保信息安全��。
3. 數(shù)據(jù)泄露防護(hù)(DLP)充分體現(xiàn)了等級(jí)保護(hù)和分級(jí)保護(hù)的思想�����。
億賽通DLP體系基于驅(qū)動(dòng)層透明動(dòng)態(tài)加解密技術(shù)����,采用對(duì)應(yīng)客戶需求的安全策略�,以透明加密功能為核心,結(jié)合文檔透明加密、文檔權(quán)限管理����、文檔外發(fā)控制、文檔備份�、業(yè)務(wù)流程審批、磁盤全盤加密��、磁盤分區(qū)加密等基本功能�����,融合身份認(rèn)證�、日志審計(jì)、端口管理�����、移動(dòng)存儲(chǔ)管控和系統(tǒng)容災(zāi)管理等功能�����,構(gòu)建完整的數(shù)據(jù)泄露防護(hù)(Data Leakage Prevention�,DLP)體系。采用分域安全架構(gòu)�,將整個(gè)網(wǎng)絡(luò)分為終端����、端口�、磁盤����、服務(wù)器、局域網(wǎng)五大安全域���,并以筆記本電腦�、移動(dòng)存儲(chǔ)設(shè)備����、數(shù)據(jù)庫為安全域特例,針對(duì)各個(gè)安全域采取對(duì)應(yīng)的安全策略�����,在確保內(nèi)部網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)數(shù)據(jù)安全的基礎(chǔ)上����,實(shí)現(xiàn)整體一致的全面防護(hù)。
4. 數(shù)據(jù)泄露防護(hù)(DLP)能與傳統(tǒng)信息安全保障體系兼容�,組成真正完整的信息安全架構(gòu)�。
億賽通DLP不僅可以作為一個(gè)單獨(dú)的產(chǎn)品體系使用�����,還能結(jié)合傳統(tǒng)信息安全體系�����,組成一個(gè)加強(qiáng)型保護(hù)方案����,實(shí)現(xiàn)邊界管理和內(nèi)容管理雙重保護(hù)。
