O引言 1 当前数据泄漏防护研究现状.
数据的保密性、完整性和可用性关系到国家的安全、 企业的核心竞争力、个人的隐私。数据安全,作为信息安 全领域中的重要课题,正越来越受到大家的关注。
数据安全涵盖了防泄露、防丢失、防滥用3个方面,其 中,数据防泄漏是当前尤为突出的热点问题。电子邮件、即 时通讯、可移动存储介质的广泛应用,在提升人们工作效 率的同时,也不可避免地扩展了数据泄漏的通道,尤其是 主动泄密行为,其泄漏途径更是纷繁复杂。面对这样的严 峻形势,国内外安全厂商纷纷推出自己的解决方案,目标 只有一个:确保数据的安全,防止数据被非法窃取和意外 丢失,无论有意还是无意。
万方数据
数据防泄漏(Data Leakage Prevention—DLP)并非新 兴概念,面向数据的安全防护在多年前就已成为信息安全 领域所关注的重要课题,为此业内先后提出过多种方案,从 不同的角度来解决数据防泄漏问题,目前主流的DLP技术 可以分为控制类、加密类及过滤类3大类技术。
控制类技术的核心思想是权限概念的延伸,主要通过 权限的设置,对计算机的输入输出进行集中控制和管理,防 止未经授权的数据外泄。但是由于该类技术主要关注传输 过程中的合法性,对数据的存储通常不进行加密保护,因 此,单纯采用控制类技术的数据防护方案往往无法解决如 磁盘丢失等被动泄密风险。
加密类技术是信息安全领域的经典技术,其在数据防 泄漏领域的应用可分为:文件级加密技术、磁盘级加密技 术等。以“透明加解密”为代表的文件级加密技术是目前 国内使用最为广泛的防主动泄密解决方案。以windows 7 的BitLocker为代表的磁盘级加密技术,对于解决硬盘遗 失后的被动泄密问题最为有效。
过滤类技术,相对其他技术而言,其优点是无需在终
端处安装软件,使用模式是在内网的出口安装内容过滤设
备,防止敏感数据的泄露,其缺点是无法识别经过特殊处 理的内容,如加密和隐写术(Steganography)处理。
以上技术各有其优势,也都存在一些弱点,尤其是在 应用程序兼容性、防护强度、效能影响等方面。数据防泄 漏,依然任重道远。
2虚拟化的先天特性
作为一项诞生于40多年前的技术,虚拟化技术已经得到 了长期的理论研究和实验论证。经过不断的挑战,虚拟化技 术被要求具备一些基本的特性,这些特性包括:
(1)等价性:运行在虚拟机环境下的程序应当表现出与 原始物理机器基本一致的行为。
(2)资源可控性虚拟机必须能够完全控制虚拟化的资源。 (5)高效性:虚拟机不应当显著降低工作负载性能。
5最合适的虚拟化层次
虚拟化可以在几个不同层面上实现:指令集结构层 (ISA)、硬件抽象层(HAL),操作系统层、应用层等。在指令 集结构层实现的虚拟化通常需要专用硬件设备,即硬件实现 的虚拟化,在其他层次实现的虚拟化技术则可统称为软件实 现的虚拟化。如何在多种虚拟化技术中找到最适合DLP需求 的技术,无疑是将虚拟化技术引入到DLP领域的立足之本。
基于对硬件平台普适性的考虑,必须依赖特殊硬件的虚拟化
技术将首先被排除,所以在软件层次实现的虚拟化技术将作 为数据防泄漏的考虑基础。由软件实现的虚拟化技术,包括 以Vmware为代表的硬件抽象层虚拟化(Hareware—level virtllalj翻tion)、操作系统层虚拟化(os—le、,el Vill|mlizati叽) 以及应用层虚拟化(AppⅡca廿on一1evel vinualization)。
以v1Ⅵware为代表的硬件抽象层虚拟化技术,通过完全 虚拟化所有的物理设备,实现了在宿主主机上构建多个虚拟 操作系统的效果。优点是可以建立完全隔离的操作系统,彻 底屏蔽底层硬件差别;缺点是复杂性较高,效率较低,并且 仅能够模拟硬件资源,不能够模拟文件、注册表等主机资源。 操作系统层虚拟化则将虚拟层实现在操作系统之上,可 以直接使用操作系统提供的设备驱动,因此,无需模拟所有 的硬件设备,只需要实现具体应用所关注的主机资源的虚拟 化。其优点是仅虚拟应用程序的必要资源,冗余低、效能高、 可靠性好,并且可以模拟文件、注册表等非硬件资源。该类 技术主要是通过对宿主操作系统(Host oS)的I/o调用、系 统调用、动态库调用进行重定向而实现的,能够极大地提升 系统性能,比较符合传统数据防泄漏产品的安全防护模型。
84 I晒晒晒。cisma口。①①圆。@田
万方数据
应用层虚拟化则是将虚拟层实现在进程级别,通过针
对指定进程虚拟化其所需资源,可以达到仅对指定进程虚 拟出资源而不影响系统其他应用程序的效果。优点是对系 统影响更小,缺点是无法控制操作系统在内核态中进行的 不区分进程的资源访问。
由此可见,操作系统虚拟化技术是最适合数据防泄漏需 求的技术方案,它能够在控制力度和效能损耗中取得平衡, 并且适合对数据存储单元(文件、注册表等)进行虚拟。
4 操作系统虚拟化技术在数据防泄漏领域
的应用
操作系统虚拟化技术在数据防泄漏方面又可以分为两个 分支:虚拟终端D蝇day—only File sen陀“DoFS)“啪虚拟软 件Layered sof栅are vi巾la】i毖乜on。它们之间的差别在于虚
拟终端机制中的应用软件和数据部署在服务端,虚拟软件机制 中的应用软件和数据部署在客户端,下面分别进行说明。
基于虚拟终端的安全应用,是将原本应该在客户端运 行的软件和数据转移到服务端运行,仅将运行结果通过专 有网络协议传输到客户端显示,其根本的理念类似于瘦客 户端模型。通过虚拟终端技术,虽然没有改变应用软件的 使用模式,但是改变了软件和数据部署的位置,从而隔离 了数据使用者和数据本身,安全性极高。但虚拟终端模式 的弱点是限制了对客户端计算能力的使用,软件的运行完 全依赖于服务器的计算能力,因此不能适合大规模分布式 计算的应用,如3D渲染、网格计算等。(责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)