企業(yè)數(shù)據(jù)防泄漏架構(gòu)分析

1、    企業(yè)數(shù)據(jù)防泄漏架構(gòu)分析    范睿摘 要：近年來數(shù)據(jù)泄露事件高發(fā)不止，數(shù)據(jù)防泄漏呈現(xiàn)出企業(yè)認知安全洼地的態(tài)勢。論文對一般性企業(yè)的數(shù)據(jù)現(xiàn)狀、面臨的風險進行了探討，并以系統(tǒng)的數(shù)據(jù)防泄漏技術(shù)體系作為目標，結(jié)合廣義的網(wǎng)絡(luò)安全理念，通過設(shè)定多維度的控制節(jié)點，最終形成了一套“全數(shù)據(jù)流向”過濾的立體分層數(shù)據(jù)安全防泄露架構(gòu)。關(guān)鍵詞：數(shù)據(jù)防泄漏；數(shù)據(jù)安全；數(shù)據(jù)脫敏abstract： the things of data leakage occasionally happen in recent years. most enterprise consciousnes

2、s of data security still remains at a lower level. in this paper， the data circumstance and risks are proposed as a key factor. data leakage is not a single point issue， it is stretched across several fields of network security. as a goal of this thesis， how to build up a multiple dimensions control

3、 point of data security？ how to make a comprehensive data loss prevention model？ after passing the powerful description of the thesis， an "omnidirectional data flow" data security filter architecture will emerge over the water.key words： data leakage prevention； data security； data masking

4、1 引言近年來，隨著企業(yè)信息化建設(shè)的發(fā)展，電子信息庫、電子郵件、電子文件已經(jīng)成為了企業(yè)日常事務(wù)中的主要溝通方式。在信息系統(tǒng)不斷建設(shè)和完善的道路上，信息系統(tǒng)核心的數(shù)據(jù)安全問題已經(jīng)成為了企業(yè)在信息化建設(shè)變革中需要關(guān)注和解決的重點和難題。通過有效的數(shù)據(jù)安全體系架構(gòu)設(shè)計和實施全面的技術(shù)保護手段，可有效地保證企業(yè)核心數(shù)據(jù)的安全，減少泄露事件的發(fā)生。2 重大數(shù)據(jù)安全事件2015年著名酒店（包含喜達屋、洲際、萬豪等）出現(xiàn)大量顧客賬戶信息泄露，匯豐銀行秘密銀行賬戶文件被泄露；2016年國內(nèi)第一在線票務(wù)網(wǎng)站大麥網(wǎng)600萬用戶賬號密碼泄露；棱鏡門事件、yahoo郵箱賬號泄露、網(wǎng)易郵箱數(shù)據(jù)泄露等。公眾系統(tǒng)數(shù)據(jù)安全、

5、金融政府核心數(shù)據(jù)安全已經(jīng)成為信息化社會進程中必須解決的難題。相對于知名公眾系統(tǒng)和政府金融機構(gòu)，很多常規(guī)企業(yè)管理者對數(shù)據(jù)安全的關(guān)注依然停留在傳統(tǒng)的數(shù)據(jù)保護技術(shù)上，依然嘗試依靠單一技術(shù)解決所有的數(shù)據(jù)安全問題。3 企業(yè)數(shù)據(jù)安全特點企業(yè)信息化水平不斷提高，業(yè)務(wù)數(shù)字化程度日益加深，幾乎所有機構(gòu)都卷入到數(shù)據(jù)處理的浪潮。2012年初的達沃斯世界經(jīng)濟論壇上，一份題為大數(shù)據(jù)，大影響（big data，big impact）的報告稱，數(shù)據(jù)已經(jīng)成為一種新的經(jīng)濟資產(chǎn)類別，就像貨幣或黃金一樣。數(shù)據(jù)資產(chǎn)作為信息資產(chǎn)的主要組成部分，具有共享性、增值性、時效性、低安全性。由于數(shù)據(jù)資產(chǎn)復(fù)制成本低，導(dǎo)致企業(yè)擁有和控制數(shù)據(jù)資產(chǎn)的安

6、全性很差，這正是導(dǎo)致數(shù)據(jù)資產(chǎn)風險的一個重要因素1。為了更加細致地了解企業(yè)數(shù)據(jù)的特點，從數(shù)據(jù)的不同維度出發(fā)進行了幾項歸納。（1）按照數(shù)據(jù)類型可將企業(yè)內(nèi)部數(shù)據(jù)分為結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，在絕大多數(shù)企業(yè)內(nèi)都存在此兩類數(shù)據(jù)。（2）按照使用場景可分為集中式使用和分散式使用，對于偏向于研究型的企業(yè)或部門，大部分采用集中式使用；對于通用事務(wù)或管理類企業(yè)或部門，則大部分采用分散式使用。（3）按照數(shù)據(jù)敏感級別可將企業(yè)數(shù)據(jù)分為絕密級、機密級、秘密級和公開級。這是我國國家保密法進行的密級分類說明2，但絕大部分企業(yè)并未完全按照此說明進行數(shù)據(jù)分類和標注。（4）按照數(shù)據(jù)使用介質(zhì)可分為移動設(shè)備、終端pc、服務(wù)器。企業(yè)內(nèi)部

7、大量使用的為終端pc，byod也逐步應(yīng)用在了企業(yè)內(nèi)部的數(shù)據(jù)處理上。（5）按照數(shù)據(jù)傳輸方式可分為web加密或非加密傳輸、郵件傳輸、即時通訊傳輸。（6）按照數(shù)據(jù)的狀態(tài)、可分為靜止的數(shù)據(jù)、移動的數(shù)據(jù)和使用中的數(shù)據(jù)。（7）按照數(shù)據(jù)生命周期可分為數(shù)據(jù)申請、數(shù)據(jù)創(chuàng)建、數(shù)據(jù)校驗、數(shù)據(jù)存儲分發(fā)、數(shù)據(jù)使用、數(shù)據(jù)歸檔、數(shù)據(jù)刪除幾個階段，在企業(yè)內(nèi)部的數(shù)據(jù)安全架構(gòu)中，處于較難執(zhí)行的一個部分3。4 企業(yè)數(shù)據(jù)防泄漏途徑分析對于大部分企業(yè)來講，內(nèi)網(wǎng)安全的防范重點，主要集中在防病毒、防火墻、分區(qū)訪問控制這幾個領(lǐng)域。但如圖1所示，其企業(yè)內(nèi)網(wǎng)安全所涉及的領(lǐng)域遠不止這幾個方面。絕大部分企業(yè)用戶認為在企業(yè)內(nèi)網(wǎng)是安全的，企業(yè)內(nèi)網(wǎng)之間的

8、文件訪問是安全可靠的。但從數(shù)據(jù)安全的角度出發(fā)，我們發(fā)現(xiàn)即便在一個已經(jīng)具備防病毒、防火墻、分區(qū)訪問控制的企業(yè)內(nèi)網(wǎng)里，數(shù)據(jù)的安全依然處于幾乎裸奔的狀態(tài)。數(shù)據(jù)可以被任意地被拷貝、讀取、發(fā)送和更改，數(shù)據(jù)庫可以進行任意的操作，可任意查詢導(dǎo)出關(guān)鍵表。可見，企業(yè)數(shù)據(jù)泄露的途徑和方式有多種。4.1 郵件傳輸泄露郵件是數(shù)據(jù)泄露的主要途徑，郵件傳輸泄露通常指用戶通過企業(yè)郵箱或個人郵箱從企業(yè)內(nèi)部網(wǎng)絡(luò)發(fā)送帶敏感信息的郵件到企業(yè)外部。郵件傳輸泄露分兩種情況。一是用戶無意操作導(dǎo)致數(shù)據(jù)泄露：（1）用戶郵箱在用戶的掌控之內(nèi)，但無意間導(dǎo)致數(shù)據(jù)泄露；（2）用戶郵箱被木馬或黑客攻破，被黑客拿到企業(yè)內(nèi)部通訊敏感郵件和數(shù)據(jù)；（3）用戶

9、被社會工程。二是用戶有意操作導(dǎo)致數(shù)據(jù)泄露：員工存在惡意行為。endprint4.2 web上傳（網(wǎng)盤）/ftp外發(fā)泄露通過網(wǎng)盤或ftp進行數(shù)據(jù)的上傳，也是數(shù)據(jù)泄露的主要途徑之一。通過web泄露數(shù)據(jù)通常具有四個特點：（1）通過web郵箱上傳附件；（2）通過網(wǎng)盤加密上傳企業(yè)敏感數(shù)據(jù)；（3）通過ftp異地存儲企業(yè)敏感數(shù)據(jù)；（4）被惡意掛馬或訪問惡意站點，導(dǎo)致數(shù)據(jù)被web站點竊取。4.3 u盤拷貝泄露通過企業(yè)臺式電腦或筆記本電腦連接個人u盤保存企業(yè)敏感數(shù)據(jù)。4.4 im即時通訊外發(fā)泄露通過qq、msn、微信等即時通訊軟件進行敏感數(shù)據(jù)傳輸。4.5 cifs/nfs網(wǎng)絡(luò)共享泄露通過windows共享服務(wù)器

10、或nfs共享掛載的方式，將企業(yè)敏感數(shù)據(jù)拿到個人電腦中，并進行保存或外發(fā)。4.6 打印數(shù)據(jù)泄露通過網(wǎng)絡(luò)打印的方式，將企業(yè)敏感數(shù)據(jù)打印為紙質(zhì)文件，以便攜帶。4.7 紅外、藍牙傳輸泄露通過紅外或藍牙設(shè)備進行數(shù)據(jù)傳輸。4.8 cd/dvd光盤刻錄泄露通過刻錄設(shè)備對敏感數(shù)據(jù)進行刻錄cd/dvd，以便攜帶。4.9 截屏拷貝泄露通過截屏保存為圖片文件，對敏感數(shù)據(jù)進行另存發(fā)送，以逃避檢查。4.10 存儲設(shè)備、筆記本電腦丟失泄露裝有企業(yè)敏感數(shù)據(jù)的移動硬盤或筆記本電腦丟失，導(dǎo)致數(shù)據(jù)外泄。4.11 黑客攻擊，木馬后門竊取泄露對企業(yè)關(guān)鍵崗位員工的筆記本電腦或臺式電腦或企業(yè)后臺核心服務(wù)器進行攻擊和掛馬，一旦成功，即可在

11、內(nèi)網(wǎng)進行大量的數(shù)據(jù)竊取工作。4.12 數(shù)據(jù)庫數(shù)據(jù)泄露對數(shù)據(jù)具有核心管理權(quán)限的人員或賬號被惡意使用，并提取敏感數(shù)據(jù)。4.13 手機拍照泄露對具有拍攝功能的設(shè)備未進行管控，導(dǎo)致敏感信息被攝錄保存。4.14 勒索軟件加密、破壞或泄露數(shù)據(jù)通過惡意附件和惡意web站點掛馬等方式，迫使企業(yè)核心崗位人員被勒索病毒感染，從而導(dǎo)致核心數(shù)據(jù)被識別和泄露，近期流行的cryptolocker wannacrypt和petya導(dǎo)致大量用戶敏感數(shù)據(jù)被加密和泄露4。4.15 離職審查破壞或泄露離職管理流程和技術(shù)流程未進行高度統(tǒng)一，導(dǎo)致存在權(quán)力真空期，離職員工可利用此漏洞進行非授權(quán)操作，導(dǎo)致數(shù)據(jù)被破壞或泄露。4.16 社會工

12、程學泄露社會工程學泄露就是通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統(tǒng)的秘密。社會工程即有技巧地操縱人們在生活中的某些方面采取某種行動。其利用的工具包含如開鎖器、攝像機、錄音設(shè)備、gps跟蹤器和各類攻擊工具5。5 通用數(shù)據(jù)泄露防護技術(shù)針對各種數(shù)據(jù)防泄漏技術(shù)，我們進行了調(diào)研和總結(jié)，各自均存在防護盲區(qū)。5.1 國外數(shù)據(jù)防泄漏技術(shù)國外數(shù)據(jù)防泄漏技術(shù)的重點關(guān)注在數(shù)據(jù)內(nèi)容的識別，提供基于文件內(nèi)容識別敏感數(shù)據(jù)，數(shù)據(jù)保護策略顆粒度細，具備數(shù)據(jù)分級的功能（絕密、機密、內(nèi)部等），對文件不做任何修改，數(shù)據(jù)不存在破壞的可能性，其數(shù)據(jù)的泄露識別覆蓋從終端、網(wǎng)絡(luò)、存儲的各個層面，具有數(shù)據(jù)傳輸泄露的可視化

13、視圖、完整的審計和證據(jù)保存的功能。5.2 國內(nèi)數(shù)據(jù)防泄漏技術(shù)國內(nèi)數(shù)據(jù)防泄漏的特點主要體現(xiàn)在透明加解密，即通過對文件的加密實現(xiàn)內(nèi)部用戶使用透明，外部用戶加密保護的功能。其技術(shù)特點主要為自動對敏感文件加密，數(shù)據(jù)一旦加密，就可視為是安全的，無需擔心使用、傳輸、保存的各個環(huán)節(jié)，無需考慮用戶對文件使用、傳播的方式，只需考慮要保護的文件對象。部分國內(nèi)數(shù)據(jù)防泄漏技術(shù)，還集合了數(shù)據(jù)生命周期中的數(shù)據(jù)打開控制和數(shù)據(jù)報廢的功能，實現(xiàn)進一步的文件訪問權(quán)限，防止被非授權(quán)的人員訪問。5.3 數(shù)字權(quán)限管理防泄漏技術(shù)6drm以加密和pki為基礎(chǔ)架構(gòu)，可以對文件做詳細的讀、寫、打印進行控制?？梢詫Πl(fā)布出去的文件進行控制，對于主

14、（人員、部門），客體（文件、數(shù)據(jù)）提供詳細的控制手段（讀、修改、打印、拷貝、時間范圍）；數(shù)據(jù)即使被發(fā)布給了第三方（用戶、合作伙伴），也可以對其進行訪問控制，采用加密方式，不需要擔心使用、傳輸、保存的各個環(huán)節(jié)。5.4 數(shù)據(jù)加密防泄漏整盤和基于文件的加密，混合了國內(nèi)和國外的加密技術(shù)。5.5 存在的問題針對以上所提及的當前數(shù)據(jù)防泄漏技術(shù)，可以看到其各自的技術(shù)和管理局限性，鑒于此，提出了一套綜合完備的數(shù)據(jù)防泄漏技術(shù)架構(gòu)。此架構(gòu)具有廣闊的網(wǎng)絡(luò)安全視野，并從廣度上切入，進行整體架構(gòu)設(shè)計，對各個模塊的數(shù)據(jù)防泄漏技術(shù)上則提出了治理思路。此架構(gòu)旨在對所有對數(shù)據(jù)防泄漏技術(shù)感興趣的個人或單位起到技術(shù)指導(dǎo)和參考作用（

15、注：數(shù)據(jù)分類、數(shù)據(jù)告警優(yōu)化方法不在本文的討論范疇）。6 企業(yè)數(shù)據(jù)防泄漏技術(shù)架構(gòu)面對眾多的數(shù)據(jù)泄露路徑和當前數(shù)據(jù)防泄漏技術(shù)的局限性，經(jīng)過多方調(diào)研和分析，提出全數(shù)據(jù)流向控制的數(shù)據(jù)防泄漏架構(gòu)模型，基于此模型建立的數(shù)據(jù)防泄漏架構(gòu)，可以相對將數(shù)據(jù)泄露風險降低到最少。本模型從數(shù)據(jù)管理制度入手，兼顧數(shù)據(jù)的全流向控制，并從局域網(wǎng)，用戶或服務(wù)器終端，用戶手機類移動終端三個層面作為切入點，對數(shù)據(jù)所承載的網(wǎng)絡(luò)協(xié)議、應(yīng)用協(xié)議、移動終端、數(shù)據(jù)庫、操作系統(tǒng)等角度進行了考慮，形成了入向過濾、出向過濾、內(nèi)部分層管理的多層數(shù)據(jù)防泄漏保護架構(gòu)。6.1 制度的設(shè)定數(shù)據(jù)防泄漏需要企業(yè)制度的支持，通常企業(yè)會有信息系統(tǒng)運行制度或信息系統(tǒng)

16、安全管理制度，數(shù)據(jù)安全的相關(guān)規(guī)定會包含其中。如圖2所示，制度的約定需要從數(shù)據(jù)密級分類、員工職級的數(shù)據(jù)使用須知、密級數(shù)據(jù)流轉(zhuǎn)須知、密級數(shù)據(jù)解密期限等角度進行約定。確認其企業(yè)內(nèi)部的核心數(shù)據(jù)，做好數(shù)據(jù)密級分類是數(shù)據(jù)防泄漏體系架構(gòu)中并不可少的部分。endprint6.2 數(shù)據(jù)使用渠道企業(yè)數(shù)據(jù)會在局域網(wǎng)進行流轉(zhuǎn)和傳遞，企業(yè)局域網(wǎng)是數(shù)據(jù)監(jiān)控的一個重點。此類監(jiān)控的重點突出在對網(wǎng)絡(luò)協(xié)議的解碼和分析，以及對應(yīng)用協(xié)議的過濾。針對員工操作數(shù)據(jù)的情況，對工作電腦的數(shù)據(jù)傳遞控制是企業(yè)數(shù)據(jù)監(jiān)控的另一個重點。此類監(jiān)控重點突出在用戶對工作電腦的數(shù)據(jù)處理上。例如對文件的打印、復(fù)制、網(wǎng)盤的上傳，郵件的傳遞、數(shù)據(jù)的截屏、u盤的控制

17、、紅外藍牙設(shè)備的管控等，對任何從工作電腦發(fā)起的對數(shù)據(jù)的操作均是數(shù)據(jù)監(jiān)控的重點。另一方面，對重點企業(yè)業(yè)務(wù)系統(tǒng)數(shù)據(jù)或數(shù)據(jù)庫等人員的權(quán)限控制。審計運維管理則是數(shù)據(jù)監(jiān)控的重要組成部分，針對數(shù)據(jù)庫的脫敏操作是當前數(shù)據(jù)流轉(zhuǎn)過程中急需關(guān)注的一個安全熱點。最后，員工自帶byod設(shè)備存在數(shù)據(jù)泄露的情況，大部分企業(yè)并未充分認識到此類方式的數(shù)據(jù)泄露風險。6.3 數(shù)據(jù)的流向數(shù)據(jù)流入。對進入企業(yè)的數(shù)據(jù)進行了嚴格控制，重點在惡意代碼、垃圾信息、釣魚站點、sql注入、xss攻擊、csrf攻擊、身份認證、u盤及外設(shè)管控等7，確保進入企業(yè)的數(shù)據(jù)是安全可靠的。此部分不對數(shù)據(jù)進行機密性判斷，但需要進行數(shù)據(jù)可用性和完整性判斷。數(shù)據(jù)流

18、。對流出企業(yè)的數(shù)據(jù)結(jié)合三大數(shù)據(jù)傳輸渠道進行數(shù)據(jù)機密性判斷和過濾。數(shù)據(jù)間交互。對企業(yè)內(nèi)部員工之間的數(shù)據(jù)交互進行分級控制和審計監(jiān)控。6.4 全流向數(shù)據(jù)防泄漏分層架構(gòu)模型數(shù)據(jù)安全是信息整體安全的一部分，對數(shù)據(jù)進入企業(yè)進行了一系列完整性和可用性檢查，對數(shù)據(jù)流出企業(yè)進行了一系列機密性檢查。在充分考慮了數(shù)據(jù)安全的cia三要件的前提下8，提出了如圖3所示的全流向數(shù)據(jù)防泄漏分層架構(gòu)模型。以數(shù)據(jù)全流向、數(shù)據(jù)生命周期管理、企業(yè)數(shù)據(jù)管理制度三個角度作為參考點。此模型中可見企業(yè)數(shù)據(jù)管理制度是貫穿始終的部分，任何企業(yè)如果脫離數(shù)據(jù)管理制度，均無法保證其數(shù)據(jù)的可用性、完整性和機密性。模型的左邊為數(shù)據(jù)流入檢查，在數(shù)據(jù)進入企業(yè)

19、階段，首先從數(shù)據(jù)的連接開始，對網(wǎng)絡(luò)七層進行了全面的過濾，避免惡意的攻擊鏈接或木馬站點對企業(yè)內(nèi)部用戶或?qū)ν夥?wù)的業(yè)務(wù)系統(tǒng)造成的影響，然后通過郵件安全過濾確保安全的郵件附件進入企業(yè)，對外設(shè)進入的數(shù)據(jù)則通過u盤等外設(shè)管控實現(xiàn)對移動傳遞數(shù)據(jù)的安全性導(dǎo)入，通過web協(xié)議防護設(shè)備進行對基于web攻擊的流量進行過濾，確保各類后臺數(shù)據(jù)庫的安全和數(shù)據(jù)庫的完整性和有效性。模型的右邊則為數(shù)據(jù)的流出檢查，對需要外發(fā)的數(shù)據(jù)或人員，首先經(jīng)過企業(yè)管理制度的約定，對人員職級和數(shù)據(jù)進行分類分級授權(quán)，對員工可進行操作的數(shù)據(jù)進行篩查和授權(quán)，并通過對局域網(wǎng)、主機端和移動端的安全控制進行數(shù)據(jù)過濾，同時對重要信息系統(tǒng)的數(shù)據(jù)操作和導(dǎo)出采用

20、運維審計系統(tǒng)進行授權(quán)和審計，并通過脫敏系統(tǒng)進行敏感數(shù)據(jù)的脫敏操作。經(jīng)過一系列機密性檢查后，進行數(shù)據(jù)合并和外發(fā)操作。通過一系列的控制，保障企業(yè)的數(shù)據(jù)安全接收和外發(fā)。管理控制。運維審計系統(tǒng)控制：通過運維審計系統(tǒng)的認證，授權(quán)，審計功能對操作核心數(shù)據(jù)的人員進行有效管理，采用最小權(quán)限的原則，保障核心數(shù)據(jù)庫和應(yīng)用系統(tǒng)數(shù)據(jù)的安全。網(wǎng)絡(luò)型控制包括識別和阻斷。識別。通過span模式，對局域網(wǎng)的核心交換進行網(wǎng)絡(luò)流量鏡像，并將鏡像數(shù)據(jù)傳遞給局域網(wǎng)數(shù)據(jù)泄露分析器，對流經(jīng)局域網(wǎng)的數(shù)據(jù)進行網(wǎng)絡(luò)協(xié)議解碼和識別敏感數(shù)據(jù)。阻斷。（1）部署web協(xié)議代理器：企業(yè)員工訪問對外站點經(jīng)過web協(xié)議代理器的過濾識別，對惡意站點，勒索病毒

21、進行預(yù)防，同時識別出web傳輸協(xié)議中傳輸?shù)拿舾袛?shù)據(jù)，并進行阻斷和控制。（2）部署郵件過濾網(wǎng)關(guān)：企業(yè)員工對接收和外發(fā)郵件須經(jīng)過網(wǎng)關(guān)過濾，杜絕郵件病毒的產(chǎn)生，同時對郵件外發(fā)中的敏感數(shù)據(jù)進行阻斷和控制。主機型控制。針對終端用戶采用agent模式，對敏感數(shù)據(jù)進行透明加解密，確保安裝了ggent之間的終端可透明識別敏感數(shù)據(jù)，對外發(fā)數(shù)據(jù)進行加密或設(shè)定使用期限，對離線用戶保持策略控制。對u盤、外設(shè)、打印設(shè)備由agent進行注冊控制，確保授權(quán)使用外設(shè)并記錄證據(jù)。移動端控制。對安卓或蘋果等手機或平板類設(shè)備，通過emm app進行控制，通過emm的沙箱，地理圍欄，應(yīng)用app控制，拍照錄音控制，藍牙控制，文檔自動銷毀，工作桌面等技術(shù)對數(shù)據(jù)傳輸進行控制，嚴格控制工作數(shù)據(jù)存放到工作桌面9。結(jié)構(gòu)化數(shù)據(jù)控制。數(shù)據(jù)庫脫敏系統(tǒng)，針對企業(yè)核心數(shù)據(jù)庫的核心數(shù)據(jù)導(dǎo)出的操作，需要進行適當?shù)臄?shù)據(jù)保護措施，如采用數(shù)據(jù)庫動態(tài)查詢或查詢特定表、視圖或庫的操作，可采用動態(tài)脫敏技術(shù)，如需