《打造企业内部数据的安全堡垒》由会员分享,可在线阅读,更多相关《打造企业内部数据的安全堡垒(5页珍藏版)》请在金锄头文库上搜索。
1、 打造企业内部数据的安全堡垒 李振彪(中航工业沈阳飞机设计研究所,沈阳110035)摘要:总结分析了企业内网数据安全的现状,结合数据泄露防护技术的具体应用,简要介绍了数据泄露防护的相关概念,阐述了该系统的建设目标,技术框架和功能结构,并对其应用效果进行了概要说明。关键词:内网安全;数据泄露防护;信息安全;加密技术作者简介:李振彪(1980-),男,工程师,研究方向:信息系统安全。收来自WwW.lw5u.Com稿日期:2015-03-23信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。随着武器装备信息化、智能化、一体化的发展趋势,计算机及信息系统已成为国防军工企业提高核心竞争力的重要
2、内容。但是,信息系统在提高工作效率的同时,也对信息的存储、访问控制及信息系统中的计算机终端及服务器的访问控制提出了安全需求。传统的信息安全产品“老三样”:防火墙、防病毒、入侵检测,都是从网络层或者应用层进行安全防护,只是对网络安全层面的被动防护,缺乏对网络中存储和传输的数据的深度防护,尤其是对正在使用途中的数据缺乏实时的安全防护。而根据相关部门调查显示,97%的信息泄密事件都是由于内部员工有意或者无意之间泄露而造成的。因此,为了保障内网运行的安全可靠,需要防范更多的是来自内部的隐患。数据的安全保护,必须从源头做起,即信息加密。只有对信息进行加密,才能有效的实现信息全生命周期保护。但是,是不是只
3、需要加密就可以解决所有的防泄密问题?就信息安全防护问题对数据泄露系统及其应用进行了阐述。以某军工企业网络为例,说明数据泄漏防护技术在企业内部网络中,以及在涉密网络信息安全防护中起到的作用。1 数据泄露防护数据泄露防护(Data leakage prevention,DLP),又称为“数据丢失防护”(Data Loss prevention,DLP),有时也称为“信息泄漏防护”(Information leakage prevention,ILP)。数据泄密防护(DIP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外,是目前
4、国际上最主流的信息安全和数据防护手段,通过身份认证和加密控制以及使用日志的统计对内部文件进行控制。数据泄露防护的核心目标,是让合法的数据使用者可以获得数据内容,让非法的数据接触者不能获取数据内容。数据泄露防护以动态加解密技术为核心。2 应用实例2.1 环境现状某企业目前拥有内部独立网络局域网。下面包括科服务器区、研部门区域、管理部门区域,分别有计算机若干,并有部分涉密单机以及涉密笔记本。存在的数据泄露风险为:(1)网络内数据明文存储,一旦获得文件就可以正常操作;(2)文件没有权限划分,所有人对文件都有权限;(3)网络外发文件不受控制;(4)涉密单机和笔记本没有安全防护,如果丢失会带来很大损失。
5、2.2 建设目标针对网络环境中存在的上述数据泄露风险,技术方案具体分解为如下几条:(1)采用加密的手段控制电子文档内容;(2)赋予不可篡改电子文档身份,并与操作者建立所属关系;(3)细化权限,控制读写、打印和摘抄动作;(4)电子文档与组织结构成员关联实现分级授权;(5)建立离开组织机构胆子文档的管理手段;(6)建立流程机制管理文档在外发阶段的审核;(7)解决高敏感度计算机防护问题。2.3 技术方案根据建设目标可以讲解决方案划分为下面几个模块:电子文档透明加密、电子文档分级授权、外发电子文件管理、文档操作控制及审计、磁盘全盘加密。2.3.1 电子文档透明加密通过透明加解密技术,实现单位内部人员可
6、以正常使用,不受任何影响,并可以通过合法途径正常输出。但是,所有通过非法手段窃取的数据均表现为乱码形式,无法使用。如图1。2.3.2 电子文档分级授权具备完善的文档权限管理及全生命周期管控机制,不仅可细化设置文档的阅读、编辑、复制、打印等组合权限,还可根据管理需要设定文档生命周期,如阅读次数和阅读时限等:系统还提供灵活的二次授权管理、归档管理、交接管理及版本变更管理等功能,如图2所示。2.3.3 外发电子文件管理通过外发申请流程,由用户提出文件外发申请,经预设的部门领导审批后通过外发服务器自动制作成外发文件,由文件输出操作人员进行输出操作。外发文件打开时,需经由用户身份认证,方可阅读文件。同时
7、,外发文件可以限制阅读次数和使用时分等细粒度的权限,从而有效防止了重要信息被非法扩散,其管理流程如图3所示。2.3.4 文档的操作控制及审计通过采用内核防护及剪切板控制技术,防止核心数据内容通过内容复制拖拽、截屏录制、打印输出以及副本另存等方式泄密。并对数据进行操作跟踪,对文档移动审批保证安全审计。2.3.5 磁盘全盘加密磁盘全盘加密采用基于物理扇区级的加密方法,可将保存在硬盘上的所有数据进行加密。非授权用户不仅看不到硬盘上的文件内容,而且也看不到保存在磁盘上的任何文件的名称。2.4 与现有系统结合(1)同域用户结合解决用户。管理端同步AD域users组架构(2)与CA认证来自wwW.lw5u
8、.cOM系统集成,实现插入认证key后自动登录客户端,拔掉认证key后系统用户自动注销(3)集成代办系统,实现通过代办系统流程调用外发程序,实现通过现有数据输出流程自动制作外发文档。(4)对外发文件进行制定。除常用的文档都可以制作外发文件外,支持autocad、catia、UG、Patran、Matlib等设计软件制作外发文件。3 应用效果部门内部人员透明加密使用,不受任何影响;部门间人员通过设置文档的阅读、编辑、复制、打印等组合权限进行分级授权,还可以设定阅读次数和阅读时限、提供二次授权等操作;对外输出文件可以进行文件外发加密制作,整个制作流程贯穿于外发申请流程中,外发文件需通过用户认证读取
9、,并可以设置外发文件的阅读次数和阅读时限。通过定制开发,使得系统能够自动同域用户同步,并集成CA认证系统,同时针对特定软件开发定制,使得系统在环境中能够更好的兼容使用,能够更好的在本单位发挥作用。数据泄露防护系统的应用,基本实现了对用户数据的全方位保护,应用效果如图4,图5所示。4 结语由数据泄露防护技术的具体应用可以看到,数据泄露防护技术基于驱动层透明动态加解密技术,通过用户权限控制、数据加密、日志审计等方法,从用户数据的透明加解密、电子文档分级授权、文件外发管理等方面人手,实现了对用户核心数据的全方位保护,有效防止数据丢失或泄露,降低了重要信息的有意或无意泄密风险,在信息安全防护中起到了重要的作用。参考文献1范九伦密码学基础M西安:西安电子科技大学出版社20082Christof Paar,Jan Pelzl.深入浅出密码学M马小婷,译北京:清华大学出版社2012-全文完-
