> 首頁 > 關于優炫 > 公司動態 > 業界新聞 >

業界新聞

Industry News

企業安全建設之淺談數據防泄露

2017-07-27

前言

數據防泄露在每個公司都是很頭疼的事情,大大小小的泄露事件也總是不期而至。本文從使用的層面介紹常見的數據防泄露技術手段。

 

核心數據資產管理

數據資產管理(Data asset management 簡稱DAM)是規劃、控制和提供數據及信息資產的一組業務職能,包括開發、執行和監督有關數據的計劃、政策、方案、項目、流程、方法和程序,從而控制、保護、交付和提高數據資產的價值。

數據資產管理是IT組織的數據管理專業人員和業務數據管理專員之間的共同責任,它們代表數據生產者和數據消費者的集體利益。資產是個人或組織控制的有價值資產,企業資產有助于實現企業的目標。數據以及數據產生的信息目前已經被公認為是企業的資產。

而核心數據防泄工作是一個非常復雜的工程,投入再多人力也不為過,但是一般企業或機構安全人力大多非常有限,所以常會與專業的數據安全公司合作。

核心數據資產通常會包含以下幾大類:

 圖片關鍵詞

以上只是舉例,具體公司情況都不太一樣,需要結合自身實際。比如招聘類公司,簡歷就是十分重要的資產。


數據保護的生命周期

數據防泄工作需要針對定義的核心數據的全生命周期進行保護。

 圖片關鍵詞

數據防泄露的協議棧為:

 圖片關鍵詞

這并非一個嚴格的劃分,只是便于把不同的數據防泄露產品和方案進行劃分。

 

淺談數據防泄露

應用級
郵件級數據防泄漏
郵件DLP本質上是掃描郵件的內容和附件,與設定的數據安全策略匹配。

 
數據庫審計
對于數據庫審計來說,更多是分析數據庫流量,實現對數據庫非法操作行為的事前預警、實時告警、事后溯源等功能。

 

例如優炫數據庫安全審計系統屬于優炫軟件核心數據保護解決方案的一個重要組成部分,它在應用系統和數據庫之間設置了一個監管機制,監控數據庫的所有訪問,對訪問數據庫的數據流和用戶進行采集、分析、識別、屏蔽、替換、阻斷、授權、身份驗證和身份識別等操作,并對訪問數據庫的相關行為、發送和接收的相關內容進行存儲,分析和查詢等功能。有效杜絕數據庫非法外聯風險,保護了企業數據安全和用戶信息安全,同時滿足國家等級保護相關要求。

 
數據庫
數據庫的選擇上,我們又該考慮哪些方面呢?首先要考慮安全性,數據泄露的問題可不容小覷;其次是擴容性和性能上也要有保障;同時在兼容性和多應用場景上也不能差,以便數據遷移和實際應用。

 

優炫云數據(簡稱:UXDB)滿足以上三大選擇方面的標準,具有強伸縮性(可任意擴容、高性能)、高可用性、數據一致性、支持多租戶、高安全性等特點,并且適用于各類大數據應用場景。

UXDB是一款為云平臺打造的NewSQL數據庫系統,可實現無限制地擴容,同時全面兼容傳統的關系型數據庫的數據建模模式,并保證事物處理的一致性(ACID),用戶可繼續使用其熟悉的SQL語言使用優炫云數據庫。可應用于大數據處理、大型聯機交易系統、大型Web應用、數據業務分析、數據異地容災等場景。同時優炫云數據庫更避免國外云數據庫的安全隱患,改變國內過分依賴國外云數據庫的現狀。

 

網絡級
網絡DLP

狹義的數據防泄漏產品就是指網絡DLP,這是一個經久不衰的安全領域,16年的gartner排名如下:

 圖片關鍵詞

 

網絡級DLP本質上類似IDS,通過旁路分析網絡流量,識別至少以下協議中正文以及附件內容:

  • im
  • http
  • ftp
  • telnet
  • smtp

 

與IDS不同的是,DLP關注的不是攻擊簽名而是用戶定義的核心數據。

圖片關鍵詞

 

常見的DLP產品支持的檢測規則為:

 圖片關鍵詞

 
基礎規則
簡單幾個正則很有用,例如:

圖片關鍵詞
 

指紋文檔比對
指紋文檔比對把重要的文件直接倒入DLP系統,DLP抽取其中的文字形成指紋,這樣只要對文件內容修改不大都可以被檢測到。

常見支持的文件類型包括:Microsoft Word 和 PowerPoint 文件、PDF 文檔、設計規劃、源碼文件、CAD/CAM 圖像、財務報告、并購文檔和其它敏感或專利信息形式保存。

業務或者系統管理只需要定義機敏信息應當存儲的目錄,IDM即可以對該目錄下的文件建立索引,類似與搜索引擎的方式,形成企業機敏信息的內容索引。

網絡級DLP的未來趨勢是與云訪問安全代理 (CASB) 功能集成,將敏感數據的發現范圍進一步擴大到云應用程序。

擴展了 DLP 覆蓋范圍到云應用程序中的內容,包括:

  •  Office 365
  • Box
  • Dropbox
  • Google Apps
  • Salesforce

利用全部的 CASB 功能,持續監控云應用程序中內容的增加、修改和訪問權限

 

設備級
設備加密

設備防丟失,主要是預防設備丟失后造成的數據泄露,最常見的就是U盤等移動存儲。

移動存儲有指紋保護、密碼保護之分,雖然保護方式不一樣,可底層數據加密基本都是AES128或者256,能提高設備丟失后數據泄漏的門檻,但對于高手來說還是可以搞定的。

 
硬盤加密
對于硬盤,有硬盤密碼保護,即在bios里面設置硬盤密碼,每次開機都需要輸入硬盤密碼。

例如mac自帶的硬盤加密:

 圖片關鍵詞

 

硬盤加密技術非常成熟了,商用產品非常多,不得不提的還有truecrypt,據說國內安全傳統四強之一就要求員工用這個。

tTrueCrypt不需要生成任何文件即可在硬盤上建立虛擬磁盤,大家可以按照盤符進行訪問,所有虛擬磁盤上的文件都被自動加密,需要通過密碼來進行訪問。

不過truecrypt被爆存在安全漏洞,其開發者也承認存在安全問題,具體是否使用大家根據實際情況權衡。

 
移動設備數據擦除
微軟郵件系統自帶一個十分強悍的功能,對于配置接受公司exchange郵件的移動終端,可以通過登錄OWA頁面直接遠程擦除整個設備的內容并完全恢復設備出廠化配置。

 圖片關鍵詞


文件級
文件加密

文件加密產品目前國內產品就非常強悍了,一搜一大把,例如微軟提供的文件加密產品RMS。RMS跟微軟的AD集成,可以針對郵件組進行授權讀寫打印權限控制,坦率講針對微軟的文件類型支持挺不錯,比如word 電子表格 ppt等,而且還有mac版。

不過對于非微軟等文件類型就比較遺憾了,不過滿足正常辦公需要基本夠用,最強悍的是與郵件系統的集成,可以在發郵件的時候直接設置哪些郵件組的人才能看(收件人和可以加密看郵件的人恨可能是子集關系)。

 
端點級DLP
本質上是網絡級DLP的端點級實現,支持攔截功能。

 

其他
水印
對抗截屏的利器,常見手段是在圖片中帶入水印,通過水印可以查出截屏人員的個人信息。

 
桌面虛擬化
這個基本是對抗數據防泄露的大招了。桌面虛擬化在數據中心的服務器上進行服務器虛擬化,生成大量的獨立的桌面操作系統(虛擬機或者虛擬桌面),同時根據專有的虛擬桌面協議發送給終端設備。

 圖片關鍵詞

用戶終端通過以太網登陸到虛擬主機上,只需要記住用戶名和密碼及網關信息,即可隨時隨地的通過網絡訪問自己的桌面系統。

任何數據全生命周期都在數據中心虛擬出的桌面系統中,員工接觸到的瘦終端僅僅起到一個顯示和傳遞鍵盤鼠標聲音信息的作用。

 

總結
數據防泄漏是個非常復雜的系統工程,任何技術手段都不能確保不被繞過,必要的技術手段可以提高門檻,最后的落地強依賴于公司相關核心數據安全管理策略的執行,常說的七分管理三分技術在這里非常合適,數據防泄露工作很重要的一個就是安全意識教育,盡量減少無意泄密的情況。

 

內容來源:FreeBuf
專欄作者兜哥

150武器幻化赚钱吗