2016, Vol. 34 
随着电子信息化进程的加快,使得经济、政治、科技等方面的电子信息化程度越来越高,在数据价值高度体现和共享能力大力提升的同时,对数据安全的关注程度也越来越高。数据安全是信息化建设的基石,如果数据安全没有保障,信息化建设程度越高,损失就可能会越大,因此重视数据安全建设已经成为管理层和信息安全责任人关注的重点和难点,数据防泄密体系建设也势在必行。
1 内蒙古电力科学研究院数据安全防护现状为更好地实现信息安全防护,满足业务发展和监管合规的要求,内蒙古电力科学研究院(以下简称内蒙古电科院)经过多年的系统信息安全建设,目前防护能力已经基本覆盖了网络、终端、数据和应用安全,但还缺乏具体措施来解决数据内容防护面临的识别难、定位难、防护难等问题。
1.1 敏感数据识别难(1) 业务系统数量多,数据关系复杂,难以进行梳理;
(2) 无法给出具体敏感内容的判断标准;
(3) 无法判断出哪些数据是重要的;
(4) 大量的结构化、半结构化、非结构化数据难于辨识;
(5) 缺乏对数据内容的分类和敏感级别分级;
(6) 保护措施无法和敏感重要级别挂钩,保护效能和效率较低。
1.2 敏感数据定位难(1) 无从知晓重要敏感数据的存放位置,保护难以实施;
(2) 无法明确某类敏感数据在公司的整体分布情况;
(3) 缺乏对不同数据在不同位置的风险评估视图。
1.3 重要数据防护难(1) 多维度管理导致防护难以实现紧耦合;
(2) 缺乏对敏感核心数据整个流通通路的监控审计。
2 数据泄露防护系统建设目标鉴于内蒙古电科院数据安全防护现状及数据泄露风险,结合现有信息安全标准、规范和相关指引,同时参考电力行业相关成功案例,提出内蒙古电科院数据泄露防护系统的总体建设目标。
2.1 终端核心数据安全目标(1) 通过加密技术实现核心数据传输和存储过程中的保护,核心数据的外发需安全可控,防止非授权访问窃取及通过其他途径外泄;
(2) 核心数据使用行为可追溯,可快速发现及识别数据应用风险;
(3) 对文件打印操作进行权限控制和记录,设置打印者信息和水印密级标识,即使数据被非法传播出去,外部非授权人员也无法打开使用;
(4) 不影响移动办公及出差人员的正常业务开展;
(5) 院、各部门、各专业所之间数据交互的便利与保密。
2.2 应用系统数据安全目标(1) 从应用系统导出数据实现自动加密,应用后端明文存储;
(2) 应用系统数据传输过程采用加密技术防止嗅探转储明文;
(3) 实现应用系统的应用层准入控制,防止非法访问;
(4) 应用数据保护机制需具备高可用性和稳定性,确保业务连续性;
(5) 应用数据保护机制需与现有信息化系统、业务系统等无缝安全集成。
2.3 移动及存储介质安全目标结合加密技术实现移动存储介质安全管理,杜绝移动存储介质滥用,确保院内介质应用可管、可控、可查。
2.4 终端安全综合管控目标终端标准化,确保入网终端符合要求,规范员工网络行为防止违规外联,统一内网用户身份与安全认证管理,终端安全加固杜绝主机漏洞隐患,对终端行为进行监控与审计审查。
3 数据泄露防护系统设计原则 3.1 自主可控数据泄露防护系统的核心技术和产品全部采用国产产品,确保内蒙古电科院数据安全,满足自主、可信、可控的原则。
3.2 安全合规数据泄露防护系统涵盖商密数据内部流转、部门间流转以及企业外部流转的全方位可控保护,并做到事前防范、事中控制和事后追溯,使商业秘密在信息系统中得到真正有效的保护[1]。在执行技术规范过程中,需要对照等级保护及分级保护中针对数据及信息系统的要求,综合考虑标准性和合规性,降低总体管理成本[2]。
3.3 全面的多层次防护单独依靠一种产品或者技术并不能够实现数据泄露防护,必须建立包括IT基础架构安全、数据安全、安全管理3方面内容的多层次防护体系,并辅以适当的管理、流程和培训,才能确保实现数据安全防护的目标。
3.4 首要解决大概率事件所有的“安全”都是相对的,过于安全会牺牲系统的运行效率和用户的方便性。通过物理隔离的方式把存有机密文件的电脑与外界隔绝是最佳的信息泄露防护方案,但同时也违背了信息可用的原则。层次化的数据泄露防护方案需要通过完善的管理和多种技术共同配合实现。这就需要在现有安全架构的基础上,妥善分析各种安全风险的优先级别,分清哪些是大概率事件、哪些是小概率事件,首先解决大概率安全事件。小概率事件(类似用手机抓拍计算机屏幕的信息偷窃方式)属于极端的数据泄露情况[3],在设计数据防泄露方案时不可能也没必要做到完全防护。
3.5 机密信息的划分标准对于可以完全对外公开的数据,不需要任何数据泄露防护措施;对于关系到企业生存、发展、声誉的重要数据,应当严格控制其存储位置、使用方式和传输方式。信息机密级别需依据信息的内容来判断。信息所有者(如业务人员)可以根据个人或者企业的相关规定理解个人创建的信息内容的机密级别。
4 数据泄露防护系统的总体架构随着安全威胁的多元化、复杂化,现有的以网络边界、终端及外设端口管理、系统管理为核心的局部被动控制方式已经难以适用复杂的业务场景,基本上处于防护难、评估难的困境,数据安全管理正经历着从防失密、防外泄、防滥用到综合一体化防护[4]。
4.1 数据安全保护模型为确保数据安全防护措施体现“可执行、可落地、可评估”的原则,结合数据安全治理的理念和数据泄露防护中敏感数据“识别难、定位难、保护难”的问题,根据相关保护技术指引,从数据生命周期和数据流向2 个维度设计了基于敏感数据的安全保护能力模型,通过该模型可以设计和规划内蒙古电科院数据安全防护方案,并作为全院数据安全防护的参考标准和重要依据,模型如图 1所示。
|
图 1 敏感数据安全保护能力模型 |
为解决敏感数据“识别难、定位难、保护难”的问题,结合数据安全治理规划设计方法,设计了基于数据安全治理分级防护的一体化防泄密解决方案(见图 2)。该方案可实现内容识别分级、主动防护、全面通道监控、风险预警审计的统一数据安全整体防护,在网络层面,实时识别通过不同网络协议外发的数据是否含有关键类别信息;在终端层面,对敏感内容的非法使用采取相应防护措施;在内容层面,实现对数据的分级加密保护;在系统层面,实现离线文档权限一体化管控,同时监控和审计关键数据的内部使用及外发,形成敏感数据泄露的整体管控能力[4]。方案整体涵盖业务系统离线数据、终端及移动存储、邮件系统、互联网出口的多重纵深防护。数据安全防护方案主要解决以下5个方面的问题。
|
图 2 基于数据安全治理的分级防护方案框架 |
当前绝大多数数据安全防护解决方案的首要难点是如何确定哪些数据是重要的,现有的人工判断方式存在很多弊端,比如误判率高、主动性差、效率低、判断标准不一等。因此需要通过机器化的方式对内容进行快速而准确的识别,利用机器学习工具快速生成某类数据的规则特征库,对于海量数据处理方面可通过机器智能高速自动识别关键数据密级。
4.2.2 分级管理按照合规监管要求和数据防护最佳实践,数据分类分级是数据防护的必要前提,机器进行内容识别后,需要根据业务特点对不同内容进行分类分级,确保分级防护策略的实施,避免出现过度防护或者防护不足的情况。
4.2.3 主动防护根据数据安全治理指引可知,内容识别和分级都只是数据安全防护的基础工作,按照分级管控策略,为更好地预防敏感数据泄露,必须具备对应的防护控制措施。当敏感数据存在泄露的可能性时,系统会根据预置的分级管理规则选择性的从多个层面实现发现、记录、阻止、加密、通知、告警提示等,从而将敏感数据主动套用安全保护策略,起到事前主动防御的作用。
4.2.4 精细控制通过自定义规则提供细致的文档分类能力,使细粒度权限控制成为可能,比如针对某一类型或级别的文档选择不同的控制措施,不仅可以针对文档本身采取控制措施,也可以指定文档的访问权限,甚至可以限制用户对文档内容的具体操作,可以在不同技术层面选择不同的控制策略。
4.2.5 平台化部署对于内部网络中位于不同存储位置(网络、终端、数据库、文件服务器、邮件系统等)的数据,其内容识别的实现方式既有差异,也有共性,这就需要有统一的数据安全管理平台来实现统一的策略管理、授权管理、系统维护和操作审计等,降低总体管理维护成本,保障系统的一体化[5]。
4.3 数据安全防护技术架构通过对各部门需求调研和数据安全防护措施梳理,根据解决方案框架和现状,从6个技术架构层面和3个防护能力层面对内蒙古电科院全院数据安全防护能力做了整体评估,数据安全防护整体评估模型如图 3所示。
|
图 3 数据安全防护整体评估模型 |
基于上述数据安全分级防护方案框架,整体方案遵循“事前防御,事中控制,事后审计”的原则,针对数据形成、流转、应用、存储、脱密及销毁整个生命周期内采取事前防御思路,防止主动泄密,使用及存储中的数据进行内容方面的保护控制,确保关键控制措施切实有效[6]。
4.4.1 网络敏感数据安全防护网络敏感数据安全防护提供对通过互联网及邮件系统的敏感信息泄露发现与识别、监控和审计能力,具体如下:
(1) 识别:要能识别多种协议、应用、格式类型的数据内容;
(2) 发现:灵活的按需策略实现目标数据的发现定位;
(3) 监控:形成网络出口处的敏感数据泄露发现能力;
(4) 保护:按需策略实现目标数据泄露响应及保护能力;
(5) 审计:记录各种相关日志事件;
(6) 告警:可多种方式的提醒和整体趋势分析。
4.4.2 终端敏感数据安全防护终端敏感数据安全防护提供对终端电脑通过打印、U盘拷贝、IM发送等方式造成敏感信息外泄时的监控、审计、阻断、告警等防护能力,具体如下:
(1) 可信:仅允许经过信任的终端进入网络;
(2) 可控:确保终端经过安全检查并接受统一的安全管控策略;
(3) 可审:用户接入、外网访问、外设使用等均有记录;
(4) 识别:能够识别终端敏感数据并进行分类和标记;
(5) 监控:支持多种终端数据传递通道的检测响应能力;
(6) 保护:支持主动保护措施和被动保护措施。
4.4.3 系统敏感数据安全防护系统敏感数据安全防护提供对于应用系统内结构化数据的安全保护,侧重于对下载离线后系统数据的保护控制,具体如下:
(1) 脱敏:对敏感数据离线后进行敏感内容脱敏;
(2) 授权:系统敏感数据离线权限和在线访问和操作权限一致;
(3) 加密:对下载至终端的应用数据加密并限制打印、复制、截屏、水印等;
(4) 标记:对应用系统内各关键流程内数据或附件标记密级;
(5) 打印:如无必要系统限制,对系统内数据或文档进行导出和在线打印操作。
4.4.4 敏感数据内容安全防护敏感数据内容安全防护提供对数据内容安全层面的保护,该部分功能在数据或文档本身层面实现,具体如下:
(1) 授权:对数据内容访问控制和分发进行权限控制;
(2) 加密:对存储在不同位置的敏感数据内容进行加密;
(3) 控制:能够对文档实现操作层面的控制,包括打印、复制、截屏、水印等;
(4) 脱敏:对敏感数据离线后进行敏感内容脱敏;
(5) 记录:对文件的操作使用做完整的操作记录。
4.4.5 离网敏感数据安全防护离网敏感数据安全防护具有对离开应用系统的非结构化敏感数据安全防护的能力,确保其离线后内容安全可控,具体如下:
(1) 标记:对系统流程内文档敏感标记密级,便于后续开发或保护;
(2) 识别:发现终端敏感数据,应用系统内数据密级标记;
(3) 保护:防止通过终端和介质的主动和被动泄密行为;
(4) 外发:第三方获取敏感数据的使用安全可控,包括认证、授权、保护、销毁等;
(5) 审计:对离线数据使用全过程进行操作记录和定位。
4.4.6 介质外设及移动办公数据保护介质外设及移动办公数据保护提供对于经过终端信息处理设备处理后的信息保护,包括对移动办公及移动存储介质设备的数据安全管理,具体如下:
(1) 存储介质:具备对移动存储介质的分发、管理、授权、使用、记录等能力;
(2) 外设设备:办公外设使用授权,收发或打印专人管理、打印添加水印;
(3) 移动办公:确保离线办公终端用户终端安全审计及数据安全离线策略保护;
(4) 笔记本管理:防止笔记本数据因丢失、被盗及维修而导致的泄密。
5 结语本文结合内蒙古电科院业务数据现状,制订了基于数据安全治理的分级防护解决方案,可形成具备“智能识别、主动防护、监控响应”能力的一体化防护体系。该方案的实施,可同时兼顾不同防护应用场景和数据流向生命周期的保护,实现敏感数据看得见、泄密风险看得见、数据泄露防得住的整体效果,最终达到“敏感数据到哪里,方案就能保护到哪里”的目标。
| [1] | 李伟伟, 张涛, 林为民, 等. 电力系统终端敏感数据保护研究与设计[J]. 现代电子技术 , 2013 (15) :112–114. |
| [2] | 马军伟, 阎立, 赵敏, 等. 电力系统信息安全防护研究分析[J]. 信息安全与技术 , 2014 (8) :85–87. |
| [3] | 吴泽君. 利用数据泄漏防护保护企业数据安全[J]. 计算机安全 , 2010 (1) :81–82. |
| [4] | 徐晖, 梁承东, 程俊春. 基于电力系统的信息安全综合评价体系研究[J]. 计算机科学 , 2014, 41 (S2) :482–484. |
| [5] | 余昇, 祝璐, 沈昌祥. 多级安全模型[J]. 计算机工程与设计 , 2012, 31 (13) :2939–2950. |
| [6] | 李伟伟, 张涛, 林为民, 等. 电力系统敏感数据全生命周期安全风险分析[J]. 电力信息化 , 2012 (11) :78–81. |