究竟什么是数据丢失防护(DLP)

随着越来越多关于数据泄露的事件被公开，企业已经意识到关键数据保护对企业的重要意义。特别是在一些研究机构和军事保密机关，对出入人员的管控措施十分严格，不仅不能携带具有拍摄功能的工具，也不许随意携带USB移动存储设备。

一些用户抱怨，之所以会有这些安全防护措施，主要是因为重大数据泄露事件不断发生，公司只好使出各种方式保护研发、合同、财务等机密文件。

此时此刻，数据安全到底如何防护?随着数据泄露引发的危机逐步扩大，企业对数据丢失防护(DLP)产品的需求逐渐加大。事实上，无论是硬件防护，还是文档保护(File Protection)、I/O保护(I/O Protection)、局域网保护(LAN Protection)都属于DLP的范畴。这也正好迎合了DLP产品的三种分类：

***，文档保护(File Protection)：通过对文档本身进行安全管控避免资料外泄，例如文档加密等。

第二，I/O保护(I/O Protection)：控制输入/输出设备的使用情况，以防止机密文件通过USB等移动存储设备泄露。

第三，局域网保护(Lan Protection)：对局域网内运行的各种业务进行管控，通过限制、检测、记录网络内运行的Email、MSN、QQ、http、ftp等业务，防范机密文件透过互联网泄露。

这三种数据安全防护方式到底有何不同? 下面细细道来。

文档保护(File Protection)发展趋势

当前，文档保护主要有两种模式，一种是仅能用来保护文件使用者泄露机密文件的“数字版权管理(Digital Rights Management，DRM)”，另外一种是可以同时防护文件作者与文件使用者的“即时读写加解密”。

1、数字版权管理

无论是前几年较常被市场讨论的数字版权管理(DRM)或企业级数字版权管理(Enterprise Digital Rights Management，E-DRM)，皆起源于微软在2004年的大规模炒作。

微软为炒做该市场，除针对终端应用软件与服务器系统推出相对应的产品，如Office IRM(Information Rights Management)与Windows RMS(Rights Management Services)等，鉴于协同工作日趋普及，微软也在其企业产品上，整合上述的DRM功能。

DRM可以防止由于企业员工不慎将受到DRM保护的机密文件转给他人时泄露数据。在打开DRM文件时，必须接入到授权服务器取得授权，才可以打开文件，因此企业无须担心机密文件会因有心人士的不法手段而外泄。

不过，自微软推出RMS以来，仅有微软的Office系统架构在RMS上，其他应用软件厂商并未支持RMS验证机制。

企业如欲将其他应用软件的文件整合至DRM机制中，企业IT管理人员必须通过外挂程序将每一个应用软体(每一个版本)及欲限制的功能整合至DRM中，其工作量十分庞大。事实上，即使做得出来，也可能出现未控制到的安全隐患。

因此，可以简单的认为DRM仅适用于以Microsoft Office与Arobat PDF方式的文档。

另外值得一提的是，DRM技术防范的对象是文档的使用者，而非作者。因此，需要一套可以防止作者故意泄露机密数据的防护工具，在这种状况下，出现所谓的即时读写加解密产品。

2、即时读写加解密产品

由于DRM不适合保护Microsoft Office与Arobat PDF以外的文档，也无法防范文件作者盗取机密资料，因此可在机密文件储存时，自动进行加密、打开时自动解密的“即时读写加解密”技术得到推崇。

“即时读写加解密”的技术实现门槛很高，必须在驱动层(driver layer)设计内核模式驱动程序，直接运行于Windows等操作系统的内核(kernel)中，接管文件系统。

即时读写加解密技术之所以实现上如此复杂，是为了要确保该机制不会造成用户电脑不稳定，甚至破坏文档等情况发生。

通过即时读写加解密产品，企业不需限制储存设备、输入/输出设备、网络、电子邮件以及QQ/MSN等的使用功能，因为文档在储存时，即处于加密状态，即便该文件被泄露出去也无法打开。

另外，有的即时读写加解密产品，会限制保护文件格式的数量。企业IT管理人员可以根据企业实际需求，来选择保护不同类型的文件格式。

I/O保护(I/O Protection)发展趋势

当企业未实施文件加解密保护机制时，可以通过设置I/O设备的方式，防止内部机密文件泄露。由中央控管所有终端计算机的储存及USB移动存储设备、打印机等输入/输出设备，限制这些设备的读写权限;此外，有些产品在用户终端计算机使用者将资料复制到USB移动存储设备或刻录到光盘时，系统会自动进行文件加密等保护措施。

使用上述的I/O保护产品时，必须特别注意该产品是否可以防护到每一种储存设备、输入/输出设备，假若有遗漏，即可能成为企业的安全隐忧。

然而，如今企业提倡人性化管理，通过限制I/O设备读写的方式来防止数据泄露，显得过于严厉。因此，笔者认为所谓的I/O保护产品，只是DLP技术未成熟时的过渡产物，当DLP技术日趋成熟，I/O保护产品必将遭市场淘汰。

局域网保护(Lan Protection)发展趋势

局域网保护类产品与I/O保护产品的概念相似，是通过监测、记录或限制局域网中未加密文档的方式，来实现数据丢失防护。

其中常见的产品一种是针对网络或邮件服务器进行检测;另外一种通过事先分析机密文件的特征，决定机密文件是否可以通过网络、储存设备与输入/输出设备传送。

显而易见，局域网保护类产品仅适用于事后审计，难以做到即时防止机密文件泄密，假若仅是为审计企业关键数据的传播状况，笔者看不出其与IDS产品有何异同。

至此，相信读者已经对如今DLP产品有了大致的了解。随着企业关键数据保护需求的日益增加，以及公安部82号令、萨班斯法案等相关法律法规的不断出台与完善，数据安全的时代已经到来。.com提醒您，在选购DLP产品时要充分了解相关DLP产品的防护机制，考虑企业的实际需求，这样才有助于您打造适合于企业自身的数据丢失保护解决安全。

【编辑推荐】