数据泄密(泄露)防护(Data leakage prevention, DLP),又称为“数据丢失防护”(Data Loss prevention, DLP),有时也称为“信息泄漏防护”(Information leakage prevention, ILP)。数据泄漏防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。
随着信息技术的飞速发展,计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径。但是,信息系统在提高人们工作效率的同时,也对信息的存储、访问控制及信息系统中的计算机终端及服务器的访问控制提出了安全需求。
目前对内外安全的解决方案,还停留在防火墙、入侵检测、网络防病毒等被动防护手段上。在过去的一年中,全球98.2%的计算机用户使用杀毒软件,90.7%设有防火墙,75.1%使用反间谍程序软件,但却有83.7%的用户遭遇过至少一次病毒、蠕虫或者木马的攻击,79.5%遭遇过至少一次间谍程序攻击事件。
据国家计算机信息安全测评中心数据显示,由于内部重要机密数据通过网络泄露而造成经济损失的单位中,重要资料被黑客窃取和被内部员工泄露的比例为1:99。也就是说重要资料的泄露只有1%是被黑客窃取造成的,而99%都是由于内部员工有意或者无意之间泄露而造成的。
DLP数据泄漏防护系统的原理,是通过身份认证和加密控制以及使用日志的统计对内部文件经行控制。数据泄漏防护技术(DLP)日渐成为目前市场上最为重要的安全技术之一。企业青睐数据泄漏防护技术,来保护所有权数据和满足法规遵从。
根据所部署的位置的不同,数据泄漏防御方案可以分成基于网络的数据泄漏防御方案(NDLP)和基于主机的数据泄漏防御方案(HDLP)。大部分数据泄漏防御方案是基于网络类型,少部分是基于主机类型。
基于网络的数据泄漏防御方案通常部署内部网络和外部网络连接的出口处,所针对的对象是进出单位内部网络的所有数据。基于主机的数据泄漏防御方案则部署在存放敏感数据的主机上,当其发现被保护主机上的数据被违规转移出主机时,HDLP会采取拦截或警报等行为。
DLP是一套完整的体系,也是多种系统的集成,用以解决不同类型的用户的不同需求。国外DLP方案多数是基于网络的,这主要是因为国外用户的网络环境和信息化水平与国内大不相同。这种基于网络的DLP比较符合国外用户的需求。而中国国内的信息化现状来看,比较适合采用基于主机的DLP解决方案。