> 首页 > 关于优炫 > 公司动态 > 业界新闻 >

业界新闻

Industry News

企业安全建设之浅谈数据防泄露

2017-07-27

前言

数据防泄露在每个公司都是很头疼的事情,大大小小的泄露事件也总是不期而至。本文从使用的层面介绍常见的数据防泄露技术手段。

 

核心数据资产管理

数据资产管理(Data asset management 简称DAM)是规划、控制和提供数据及信息资产的一组业务职能,包括开发、执行和监督有关数据的计划、政策、方案、项目、流程、方法和程序,从而控制、保护、交付和提高数据资产的价值。

数据资产管理是IT组织的数据管理专业人员和业务数据管理专员之间的共同责任,它们代表数据生产者和数据消费者的集体利益。资产是个人或组织控制的有价值资产,企业资产有助于实现企业的目标。数据以及数据产生的信息目前已经被公认为是企业的资产。

而核心数据防泄工作是一个非常复杂的工程,投入再多人力也不为过,但是一般企业或机构安全人力大多非常有限,所以常会与专业的数据安全公司合作。

核心数据资产通常会包含以下几大类:

 图片关键词

以上只是举例,具体公司情况都不太一样,需要结合自身实际。比如招聘类公司,简历就是十分重要的资产。


数据保护的生命周期

数据防泄工作需要针对定义的核心数据的全生命周期进行保护。

 图片关键词

数据防泄露的协议栈为:

 图片关键词

这并非一个严格的划分,只是便于把不同的数据防泄露产品和方案进行划分。

 

浅谈数据防泄露

应用级
邮件级数据防泄漏
邮件DLP本质上是扫描邮件的内容和附件,与设定的数据安全策略匹配。

 
数据库审计
对于数据库审计来说,更多是分析数据库流量,实现对数据库非法操作行为的事前预警、实时告警、事后溯源等功能。

 

例如优炫数据库安全审计系统属于江西体育彩票核心数据保护解决方案的一个重要组成部分,它在应用系统和数据库之间设置了一个监管机制,监控数据库的所有访问,对访问数据库的数据流和用户进行采集、分析、识别、屏蔽、替换、阻断、授权、身份验证和身份识别等操作,并对访问数据库的相关行为、发送和接收的相关内容进行存储,分析和查询等功能。有效杜绝数据库非法外联风险,保护了企业数据安全和用户信息安全,同时满足国家等级保护相关要求。

 
数据库
数据库的选择上,我们又该考虑哪些方面呢?首先要考虑安全性,数据泄露的问题可不容小觑;其次是扩容性和性能上也要有保障;同时在兼容性和多应用场景上也不能差,以便数据迁移和实际应用。

 

优炫云数据(简称:UXDB)满足以上三大选择方面的标准,具有强伸缩性(可任意扩容、高性能)、高可用性、数据一致性、支持多租户、高安全性等特点,并且适用于各类大数据应用场景。

UXDB是一款为云平台打造的NewSQL数据库系统,可实现无限制地扩容,同时全面兼容传统的关系型数据库的数据建模模式,并保证事物处理的一致性(ACID),用户可继续使用其熟悉的SQL语言使用优炫云数据库。可应用于大数据处理、大型联机交易系统、大型Web应用、数据业务分析、数据异地容灾等场景。同时优炫云数据库更避免国外云数据库的安全隐患,改变国内过分依赖国外云数据库的现状。

 

网络级
网络DLP

狭义的数据防泄漏产品就是指网络DLP,这是一个经久不衰的安全领域,16年的gartner排名如下:

 图片关键词

 

网络级DLP本质上类似IDS,通过旁路分析网络流量,识别至少以下协议中正文以及附件内容:

  • im
  • http
  • ftp
  • telnet
  • smtp

 

与IDS不同的是,DLP关注的不是攻击签名而是用户定义的核心数据。

图片关键词

 

常见的DLP产品支持的检测规则为:

 图片关键词

 
基础规则
简单几个正则很有用,例如:

图片关键词
 

指纹文档比对
指纹文档比对把重要的文件直接倒入DLP系统,DLP抽取其中的文字形成指纹,这样只要对文件内容修改不大都可以被检测到。

常见支持的文件类型包括:Microsoft Word 和 PowerPoint 文件、PDF 文档、设计规划、源码文件、CAD/CAM 图像、财务报告、并购文档和其它敏感或专利信息形式保存。

业务或者系统管理只需要定义机敏信息应当存储的目录,IDM即可以对该目录下的文件建立索引,类似与搜索引擎的方式,形成企业机敏信息的内容索引。

网络级DLP的未来趋势是与云访问安全代理 (CASB) 功能集成,将敏感数据的发现范围进一步扩大到云应用程序。

扩展了 DLP 覆盖范围到云应用程序中的内容,包括:

  •  Office 365
  • Box
  • Dropbox
  • Google Apps
  • Salesforce

利用全部的 CASB 功能,持续监控云应用程序中内容的增加、修改和访问权限

 

设备级
设备加密

设备防丢失,主要是预防设备丢失后造成的数据泄露,最常见的就是U盘等移动存储。

移动存储有指纹保护、密码保护之分,虽然保护方式不一样,可底层数据加密基本都是AES128或者256,能提高设备丢失后数据泄漏的门槛,但对于高手来说还是可以搞定的。

 
硬盘加密
对于硬盘,有硬盘密码保护,即在bios里面设置硬盘密码,每次开机都需要输入硬盘密码。

例如mac自带的硬盘加密:

 图片关键词

 

硬盘加密技术非常成熟了,商用产品非常多,不得不提的还有truecrypt,据说国内安全传统四强之一就要求员工用这个。

tTrueCrypt不需要生成任何文件即可在硬盘上建立虚拟磁盘,大家可以按照盘符进行访问,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。

不过truecrypt被爆存在安全漏洞,其开发者也承认存在安全问题,具体是否使用大家根据实际情况权衡。

 
移动设备数据擦除
微软邮件系统自带一个十分强悍的功能,对于配置接受公司exchange邮件的移动终端,可以通过登录OWA页面直接远程擦除整个设备的内容并完全恢复设备出厂化配置。

 图片关键词


文件级
文件加密

文件加密产品目前国内产品就非常强悍了,一搜一大把,例如微软提供的文件加密产品RMS。RMS跟微软的AD集成,可以针对邮件组进行授权读写打印权限控制,坦率讲针对微软的文件类型支持挺不错,比如word 电子表格 ppt等,而且还有mac版。

不过对于非微软等文件类型就比较遗憾了,不过满足正常办公需要基本够用,最强悍的是与邮件系统的集成,可以在发邮件的时候直接设置哪些邮件组的人才能看(收件人和可以加密看邮件的人恨可能是子集关系)。

 
端点级DLP
本质上是网络级DLP的端点级实现,支持拦截功能。

 

其他
水印
对抗截屏的利器,常见手段是在图片中带入水印,通过水印可以查出截屏人员的个人信息。

 
桌面虚拟化
这个基本是对抗数据防泄露的大招了。桌面虚拟化在数据中心的服务器上进行服务器虚拟化,生成大量的独立的桌面操作系统(虚拟机或者虚拟桌面),同时根据专有的虚拟桌面协议发送给终端设备。

 图片关键词

用户终端通过以太网登陆到虚拟主机上,只需要记住用户名和密码及网关信息,即可随时随地的通过网络访问自己的桌面系统。

任何数据全生命周期都在数据中心虚拟出的桌面系统中,员工接触到的瘦终端仅仅起到一个显示和传递键盘鼠标声音信息的作用。

 

总结
数据防泄漏是个非常复杂的系统工程,任何技术手段都不能确保不被绕过,必要的技术手段可以提高门槛,最后的落地强依赖于公司相关核心数据安全管理策略的执行,常说的七分管理三分技术在这里非常合适,数据防泄露工作很重要的一个就是安全意识教育,尽量减少无意泄密的情况。

 

内容来源:FreeBuf
专栏作者兜哥