选型宝访谈:面对APT,如何以DLP构建金融数据泄漏的最后防线?

写在前面

在“数据即一切”的时代,数据安全是用户讨论最多的话题之一,也是这些IT管理和决策者们平时绷得最紧的那根神经。对于银行、保险等金融企业的CIO和CSO来说,情况更是如此,因为与其他行业相比,金融企业拥有的数据资产更庞大,也更关键:账户信息、交易数据、用户身份信息……保障这些核心数据资产的安全,对CIO和CSO们来说,是份内工作,更是使命和责任。

然而,要选择一款合适的数据安全产品,却不是一件容易的事情。长期以来,数据安全技术一直被国外企业所垄断,相关产品不但价格昂贵,还无法满足国内很多企业的合规性要求。

带着这些问题,选型直播采访了天空卫士的合伙人兼技术总监杨明非先生。

下面,就让我们一起来听,选型宝首席架构师李维良与杨明非先生的精彩对话吧。

李维良(主持人)

信息安全、网络安全、数据安全,它们之间的区别是什么?

杨明非

信息的概念很宽泛,它可以是落在纸面上的,也可以是存在电脑里的,也可以是记在大脑中的,当我们需要对这些信息进行保护的时候,信息安全的概念就出现了。因此,在这3个概念中,信息安全最大,也提出得最早。

随着计算机网络的出现和普及,网络安全的概念应运而生了。顾名思义,网络安全是和通信链路相关的,它更关注数据在传输过程中有没有被***和窃取。

近年来,数据安全的概念越来越受到关注,并频繁出现在我们的技术话语中。一方面,随着大数据时代的到来,数据已成为企业的核心资产,被人们称为“没有进入资产负债表的资产”,其价值正日益凸显。另一方面,来自内部和外部的安全威胁也变得日益频繁和复杂,而无论是防护还是窃取,目标都会落在数据上,数据安全无疑是信息安全的核心与灵魂。

从信息安全到网络安全,再到数据安全,是一个逐步聚焦的过程,也基本代表了安全理念和安全技术的发展历史。

李维良

今天的企业,特别是银行、保险等金融企业,所面临的安全威胁有哪些新的变化?

杨明非

在所有行业中,金融无疑是最受“青睐”的行业。在银行、保险、证券等企业中,存有大量和钱相关的信息,如账户信息、交易数据等,同时还有大量的客户信息,如×××号、电话号码等。这些信息数量大、价值高,很容易成为者的猎取目标。

随着时间的推移和技术的发展,这些企业所面临的安全威胁,也发生了“日新月异”的变化。大家可能还记得,在2008年奥运会期间,发生过多起针对银行系统的DDoS,这些以业务系统的“可用性”为目标,利用目标系统网络服务功能缺陷,或直接消耗其系统资源,使目标系统无法提供正常的服务。

而今天,APT(Advanced Persistent Threat)开始大量出现,这类均以窃取数据为目标,而且更加隐蔽,更加专业。新型威胁的大量出现,为金融企业的数据安全,带来了新的挑战。

李维良

今天,面对日益复杂和频繁的安全威胁,我们需要哪些新的理念、技术和产品?

杨明非

为了抵御各类安全威胁,金融企业配备了防火墙、IPS(防护)、IDS(检测)等安全设备,这些传统的安全设备有一个共同的特点:它们无法感知内容。

比如,它们能够检测到,某个URL中包含了一个SQL注入***,但它们无法知道,一个正在出站的WORD文档中的某张图片,包含了50条敏感的个人身份信息。

在新的安全威胁面前,传统防护设施已显得捉襟见肘,力不从心,无法为企业的核心数据资产提供更有效的保护。在这种情况下,一种新的理念和趋势出现了,那就是以数据为中心的安全,而基于UCS(统一内容安全)技术的DLP(数据泄漏防护),就是在这一趋势下诞生的典型产品。今天,业界普遍认为,采用UCS技术的DLP和ASWG(增强型Web安全网关)是保护用户核心资产的最有效途径。

李维良

UCS技术有哪些核心内容?它是如何对文件的复杂内容进行分析的?

杨明非

UCS基于统一的企业数据安全策略,通过指纹识别、数据分类、实时安全扫描等先进的数据安全技术,对企业各种数据内容进行全方位的保护,包括企业敏感数据的泄漏检测和阻断、恶意代码或病毒的下载保护、恶意网站访问的识别和拦截等。

文件内容分析是UCS的核心技术之一,它的实现细节,讲起来时间会比较长,我在这里只为大家简要介绍一下。首先,我们要建立各种通道,将数据捕获过来,这个通道可以是网络中的一个旁路,也可以是终端上的一个插件,或者是一个代理服务器。获得数据之后,我们要做的第一个动作,是按照协议和格式,将其还原成文件。如果文件的内容是图片,我们会利用OCR(光学字符识别)技术,将其转换成文字。对于文字内容,我们会进一步做自然语言的语义分析,判断其中是否包含敏感信息,如果有敏感信息,再做阻断、加密等后续处理。

将上述过程拆开来看,每一步都不是特别复杂,但要将其整合起来,并在网络上实时运行,快速处理大量数据,就非常具有挑战性了。

李维良

SecGator DLP,它的产品形态是怎样的?

杨明非

SecGator DLP是我们的主打产品之一,它实际上是一个产品系列。从形态上来说,既有硬件盒子,也有虚拟机这样的纯软件。从功能上来划分,则有三个大的类型:第一种是网关,它主要是以旁路、代理等方式,获取网络流量;第二种是终端,它以软件的形态,安装在Windows或苹果电脑上,并对USB口输出等行为进行监控和管理;第三种是管理平台(UCSS),它是整个系统的大脑。

李维良

SecGator DLP 支持哪些部署方式?

杨明非

SecGator DLP的部署方式非常灵活,既支持传统的本地部署,也支持混合云部署和纯云化部署。

传统部署是大家比较习惯的一种方式,在这种方式下,SecGator DLP网关(UCSG)以合盒子的形态,串接在企业内网的出口处。UCSG监控所有的网络请求,并将监控到的敏感信息发送至UCSS做DLP事件记录。

对那些拥有很多分支机构的大型企业来说,购买大量的盒子,不但需要庞大的费用支出,也会带来管理上的难题。在这种情况下,混合云部署是不错的选择。在这种方式下,网关(UCSG)被搬到了云端,成为Hybrid UCSG,本地终端通过路由器GRE方式,将流量指向Hybrid UCSG,后者监控所有的网络请求,并将监控到的敏感信息发送至UCSS做DLP事件记录。

而对于100人左右,甚至规模更小的企业来说,纯云部署无疑是更经济适用的方式。纯云部署将UCSG和UCSS全部搬到了云端,企业只需通过路由器的GRE方式,将流量导向云端的Cloud UCSG,自身不需要额外购买任何硬件设备。

李维良

面对海量数据和深度内容分析所带来的大吞吐量和高密度运算,SecGator DLP是如何解决性能瓶颈问题的?

杨明非

SecGator DLP系列产品的高性能,是通过两种方式得到保证的。首先,在设计上,我们采用了统一而灵活的系统架构,在这个架构下,我们又使用了很多新技术,以确保每个单体的高性能。

第二,我们同时使用了并行计算技术。SecGator DLP中的任何一个模块,我们都可以把它拆分出来,并按需进行横向扩展。通过灵活扩展和并行计算,可以大幅提高SecGator DLP的整体性能。

李维良

哪些行业、哪种类型的企业更需要SecGator DLP这样的产品?目前有没有成功的应用案例?

杨明非

针对DLP产品,我们前段时间刚做了一个市场分析,发现各行各业都需要它, 只要你的企业有数据,并认为数据是企业的重要资产。

当然,这其中也有一些热点行业。首先是金融企业,它们自身有数据保护的强烈需求,同时又有更多的合规性要求;第二个是互联网企业,特别是那些2C的公司,它们手里有大量的个人隐私信息需要保护。另外,医疗、制造业、军队、政府等,也是DLP产品的需求主体。

目前,天空卫士的SecGator DLP等数据安全产品,已经在航空、快递物流、金融(银行、保险、基金、证券)等行业,得到了非常广泛的应用。

李维良

SecGator DLP和ASWG与新一代防火墙(NGFW)是什么关系?

杨明非

ASWG和NGFW在功能上有一些交集,比如,它们都可以对URL进行分类,知道用户访问了哪些网站。SecGator DLP/ASWG与NGFW、传统防火墙、上网行为管理等设备等并不冲突,它们可以配合使用,共同为数据提供多重保护。

但是,与DLP产品相比,其他安全设备都无法对文件的内容进行深度分析。比如,某个员工向外发送了一个WORD文档,这个动作很多设备都可捕捉到,但是只有基于UCS的DLP会告诉你:这个文档内嵌了一张图片,而图片中含有50个敏感的电话号码。

李维良

谢谢杨总的分享。

原文地址:https://blog.51cto.com/14440256/2423732

时间: 2024-11-05 17:21:12

选型宝访谈:面对APT,如何以DLP构建金融数据泄漏的最后防线?的相关文章

选型宝访谈:怎样构建统一、共享的主数据平台,打造真正干净的数据治理能力?

今天,商业环境瞬息万变,竞争日益加剧. 无论你是什么行业,你都无法回避的一个关键词是"数字化转型".通过数字化转型,让企业变得敏捷,成为一种时代精神,也是我们这代IT人的使命. 然而,无论是业务层面的创新需求,还是决策层面的数据分析需求,都要干净.准确的业务数据作为支撑.只有拥有一个规范的.干净的数据基础,才有可能谈创新,才有可能在复杂多变的商业环境下,做出科学的决策,数字化转型战略才有机会落地. 在企业纷繁复杂的数据里,有一类数据事关全局,例如:客户数据.产品数据.员工数据.....

选型宝访谈:做好邮件安全,斩断威胁数据安全的“杀伤链”!

写在前面 信息安全是一个永恒的话题,也是企业CIO.CSO们关注的重点.就在今年的5月12日,WannaCry勒索病毒大规模爆发,再一次为企业的信息安全敲响了警钟. 可以说,我们面对的安全问题,从来没有像今天这么复杂,企业的信息安全,也从来没有像今天这么重要.一方面,随着大数据时代的到来,数据已成为企业的核心资产,变得越来越重要.云计算和移动互联网的普及,又使企业IT基础架构的边界越来越模糊,数据变得无处不在.另一方面,来自外部和内部的安全威胁越来越频繁,威胁手段也越来越多样化.专业化. 在这样

选型宝访谈:海底捞 如何打造全渠道+全场景的智能客服系统?

01直播简介 说起客服系统,大家可能会首先想到呼叫中心(Call Center),想到那些熟悉的客服号码:10086.95588.12306.400.800...... 曾经,电话和邮件,是客户与企业连接的主要纽带. 然而,"移动+社交"改变了这一切. APP.微信.小程序.电商网站.QQ.邮件.电话-..客户可能会通过任何一种方式,与你的企业发生连接, 客服的渠道,正在变的极度碎片化. 移动+社交时代,我们应该怎样构建新的客服系统? 在新一代智能客服系统的赛道里,UDESK 是颇受关

选型宝访谈:深度协作时代,如何驾驭安全隐患?

写在前面 文档处理与分享协作是企业日常运营中最基本的需求,如何适应"移动+云"时代的巨大变化,如何满足企业日益复杂的办公与协作需求,一直是CIO们关注的热点之一. 下面,就让我们一起回顾本期访谈的精彩内容吧. 1深度解读<网络安全法> 李维良(主持人) 什么是合规?企业为什么需要合规管理?什么样的企业需要合规管理? Kevin(嘉宾) 任何一个企业,在任何一个国家或地区进行经营活动,都要遵守当地的法律.法规和标准,这就是"合规".不管是企业还是公民,遵守

选型宝访谈:什么是没有基因缺陷的信息安全体系?

写在前面 目前所有的安全厂商的安全理念都是错的! 99%的企业的安全系统都是有基因缺陷的! 这是选型宝主编与SYNOPSYS中国区部门业务负责人. Coverity产品线专家 韩葆首次交流时,他率先抛出的两个观点! PART1 Q作为一家EDA和IP领域的一个全球的领导者,那么你们为什么会想要进入这个安全市场,这个市场其实已经很拥挤了.那么你们的优势在哪? 韩葆 其实这样的,在过去的30多年里我们一直在做的,我们要去保证硬件芯片的可靠性和安全性.这种复杂性和能力是远远超越目前企业安全市场的需求的

选型宝访谈:什么是APP测试的正确打开方式?

写在前面 在今天的移动互联网时代,信息系统移动化成为企业CIO/CTO们最关心的话题之一.虽然移动化有很多路径,但相对来说,开发原生APP仍然是性能和体验最佳的一种方式. 但是,开发APP并非易事,尤其是其测试过程,常常令人崩溃.一方面,APP的版本更新速度越来越快,另一方面,APP要适配的机型越来越繁杂.每一次版本升级,开发或测试人员都要针对各种机型,做功能.性能.安全等一系列测试-- 下面,就让我们一起来听,选型宝首席架构师李维良与Aella的精彩对话吧. 李维良(主持人) 在移动互联网时代

选型宝访谈:如何构筑BAT级的用户行为分析能力?

前言 随着流量红利时代的结束,互联网迎来了更加精细化的用户与订单时代.今天,从数据出发,深度了解用户行为,持续优化产品.营销和运营,成为企业制胜的关键.在这样的背景下,数据分析平台成为助力企业实现"数据驱动"和精细化运营的必备工具.那么,今天的企业到底需要怎样的数据分析平台?如何让数据分析平台在企业快速落地,真正做到"用数据说话",让数据为企业创造真正的价值?带着这些疑问,选型宝直播采访了中国大数据分析行业开拓者神策数据的创始人兼CEO桑文锋先生.以下就是我们根据这

选型宝访谈:超融合, 能否承载联想的转型梦想?

写在前面 IT大势,合久必分,分久必合.在虚拟化技术出现10年之后,计算与存储分立的传统架构正逐步被另一种更简约.更高效.更可靠的IT架构所替代,这种云时代的新兴架构就是超融合. 权威机构的调研数据显示,2016年,超融合的销售额同比增长了116%,到2019年,超融合的全球市场规模将超过1000亿美元.在中国,互联网产业蓬勃发展,传统产业云化转型,互联网+战略全面推进--这一切,使中国成为了全球超融合基础架构增速最快的市场. 当一个巨大蛋糕遇到正在寻找新兴市场的联想集团时,超融合自然成了这家中

选型宝访谈:企业网盘,能否成为联想企业云市场的突围尖兵?

写在前面 云端存储与协作是企业的刚性需求,也是企业SaaS应用中的第一大门类,而SaaS百亿级的市场规模,则占了国内整个云服务市场70%的份额. 和超融合一样,企业网盘对联想来说,也不仅仅是一款产品或解决方案,它是联想从传统的硬件设备供应商向新时代的云服务提供商转型的重要依托,是联想"设备+云"业务的突破口. 那么,联想企业网盘到底是怎样一款产品?它能否担得起联想突围企业云市场的重任呢?做为联想的新生力量,网盘团队是联想这家IT老字号本分守成的"富二代",还是锐意进