DLP浅谈
作者 appleleaf | 2010-01-03 23:11 | 类型 专题分析, 网络安全, 行业动感 | 12条用户评论 »
DLP (Data leakage prevention)技术是应用安全领域的一个分支。听起来挺悬的。如果翻译成中国土话 – 信息安全系统,估计很多人都明白了。 DLP是一个Total Solution,业界一般抽象出host,server,network这三个实体,从而进行DLP技术的描述和研究。其实可以画一张很大的图片来描述整个DLP系统的用户场景和需求。我尝试的画了一张小的,如下: DLP关注的概念就是一个IO的概念。这里的IO是广义上说的,前些日子央视某谍战片,实际数据泄漏是在印刷厂发生的,此时印刷厂的保险柜就是一个IO了。 从计算机的角度讲,几乎任何IO都可以物理屏蔽,例如将所有的无线设备拔除,将所有的IO接口都铅封(据说通过声卡也可以传递数据),将网络进行物理隔离。但唯一的无法屏蔽的IO就是最大的最闪亮的 – 计算机屏幕。公司可以禁止携带数码相机,但是对于有备而来的007似乎就不管用了,尤其是遇到大内密探008,表面上是皮鞋,实际上是数码相机……:-)。再不行,兄弟我拿本子抄,再不行每天背诵10行code, 总能防不胜防。“防君子不防小人”是有深意的。 笔者认为,DLP技术方案很大程度是由管理需求决定合的,例如。 1.甲公司的理念是公司所有员工都是好孩子,DLP仅仅是为了防范员工无意之间的差错造成的信息泄露。 2.乙公司的理念是公司员工都可能是工业间谍,DLP系统必须在事件发生后的1分钟内响应。 两者的要求差别是巨大的。对于前者如果网络流量加密,没有识别出来,也可能无所谓。对于后者就应该block掉。所有的traffic都要可见,可分析。 从技术角度讲,有些DLP厂商强调加密,加密固然是DLP方案的一部分,但是DLP的本质是敏感信息的识别。加密本身并非DLP技术。同样是敏感信息识别,同IDS/IPS的Pattern Match相比,DLP要求更高,完美的系统是可以识别语义的。常理上智能要求越高的东西就越不准确(大家对于绿坝开发团队要宽容一些,图片是那么好识别的吗:-)),笔者认为审核的人工介入是无法避免的。 DLP业界的并购,烽烟已去,多是2007年的事情,有兴趣的读者可以搜索一下下面的案例: McAfee Acquires Onigma, Introduces Data Loss Prevention Solution RSA acquires data-loss vendor Tablus Symantec Buys Vontu for $350 Million | |
雁过留声
“DLP浅谈”有12个回复
正好最近在想一些DLP的事情,很好的文字,谢谢苹果叶同志。
以前指纹识别刚出来,已经后来又虹膜识别出来的时候,以后…我就觉得恐怖,那没有高科技手段武装的残酷的坏人不会把你的手割了,眼睛挖了…,比没有这些高科技安防手段的时候更惨,最好能有通过心跳呼吸来识别可能才能使犯罪更人性。
最近不是中国有所DLP很高的监狱,还是让犯人给越狱了
多谢老韩鼓励,DLP这东东挺有意思,大家一块研究交流。
虹膜或者指纹只是身份识别,如果能够根据人像直接识别,最好。如果对敏感信息的分类是自动的,这个有点太困难了。至少应该是手动标识出某个object的秘密等级。比如像绿霸这样的模式识别,能够直接给图片定级吗?比如三级片,是看整个流里面有多少个颜色是肉色的像素?
我猜,只要模式的数量可控就可以比较精确的识别。比如声音识别以及OCR等等。但是对于黄色图片就没有办法了,按照像素之类的都误报过多,离商用太远。
那岂不是红烧排骨也会被绿霸河蟹掉了?
关键这个不良图片本身就没什么准确的定义,不同的价值观和道德观面前,不良图片的标准是不一样的。比如对于我这样想减肥的人,印着美味排骨饭的订餐单也可以认为是严重的不良图片:(
DLP在国内没像国外发展那么迅猛的原因,我觉得根本不在技术层面。主管单位的态度还不明朗,大量zf背景的企业不敢贸然上马;政策法规也存在缺失,比较有国内特色的内容审计产品发展到现在也没向DLP转型,说明在另一个层面还存在需求。再往下就不好说了,国外DLP的资料越看越觉得不平衡。
我觉得主要还是需求没有上来,有关部委没有采购意向。另外我感觉DLP很大程度上是管理问题,技术上只能尽力而为。
部委怎么采购啊?部委无论为谁采购,都要符合国密及衍生标准吧,现在有么?外来品都过不了这个坎吧
这个产品基本上必然有准入门槛,老外很难进来。
他么老外已经有人研究了,利用屏幕,眼睛,眼镜,墙上的钟表,反光来偷窥,而且还有专门软件来分析(例如把眼球反射的变形图像再变形成正常形状)。还有关于多少钱买多好的望远镜,能达到多好的效果。。。。
以后写字楼的外墙都不能做成玻璃的了,呵呵。