随着电子信息化和网络的发展,从企业到个人、从公共到私人的信息都在电子化和网络化,企业数据和个人信息泄漏已经成为社会当今普遍的问题。对于企业重要数据的泄漏,可能会直接或间接的给企业带来重大的经济损失。数据防泄漏技术已经被许多IT企业所关注和使用,并且帮助公司能够对重要和敏感数据进行保护和管理。
一、跨域数据共享面临的安全风险
随着等级保护制度的实施,通信基础设施安全已经能够得到保障,跨域数据共享安全焦点逐渐转向业务深水区。由于各组织的职责不同,同一类数据在不同单位的安全要求级别存在较大差异,某些权属部门采集的数据范围大、处理权限高,而某些相关部门所需的数据范围小,处理权限低,由此形成了高安全域和低安全域差别。
根据美国安全桔皮书中的BLP(Bell-Lapudula)访问控制模型的定义,当数据由高安全域流向低安全域,即高密低流,则会导致数据机密性风险。在实际敏感数据防护监管体系中,跨域数据共享可能面临数据自身的机密性风险和防护监管难题,主要包括:
1、敏感数据暴露
由于技术、管理、人员等多种因素的影响,跨域数据共享最可能面临的风险是高安全域向低安全域开放其无权访问的数据,即低安全域明明只需要数据A,但是在高安全域中,A、B数据是同一类数据的不同属性,高安全域在数据共享时未加以处理和区分,从而导致数据B泄露到了低安全域。
2、主体责任不清
在数据共享过程中,原始的数据拥有者需承担数据的真实性、准确性、机密性责任,并需为数据安全持续进行组织、人员、技术、资金投入。但是当数据获得者通过数据共享拥有了一份新的数据拷贝,就成为了新的数据拥有者,随着数据共享的范围增加,数据安全的主体责任就可能随着共享范围的增加,被新的数据拥有者所忽略。
3、防护强度降级
根据《DSMM数据安全成熟度模型》的定义,组织的数据安全能力成熟度分为五个级别,代表了组织从随机、无序、无法复制的能力,到可度量、可预测、不断改进和优化的不同级别能力模型。不同组织的成熟度级别不同,对数据安全防护的强度就存在差异,根据木桶原理,数据的整体安全防护能力取决于防护能力最差的那块短板。
4、追踪溯源困难
指望目前的安全防护措施能够百分之百的防止敏感数据泄露是不现实的,一旦发生数据泄露事件,则需组织具备能力,回溯泄露源头,追踪泄露路径,实施调查取证。在数据共享之后,所有安全域内的数据访问日志的完整性受到挑战,任意安全域内的日志遭到破坏,都会给追踪溯源造成不利影响。
未来,跨域数据共享将成为常态,实施有效的跨域数据泄露防护方法是推进跨域数据共享的重要手段之一。
二、公有云的数据泄漏风险
IBM针对全球470家公司,2200+数据泄露案例做了深入的调查分析,发现Top5行业分布:金融行业 16%、服务行业 15%、制造业14%、高新技术行业13%、零售业 7%。数据丢失的主要原因:1来至外部黑客攻击和来至内部人员窃取48%2员工信息处理不当27%3系统故障25% (应用错误,以外的数据转存/泄露,数据传输过程中的逻辑错误, 身份验证失败, 数据恢复失败等)
公有云数据防泄漏产品需具备:
1、可通过机器学习自动发现、分类和保护云中的敏感数据、建立机密数据流转图。
2、在控制面板中看到敏感数据是如何被使用的、存储到什么位置。
3、有能力检测到未知授权的访问和数据意外泄露报警。
4、有能力满足GDPR、PCI-DSS、国内等保方面的安全合规。
三、DLP技术能实现什么
数据防泄漏保护是通过一定的技术手段,防止企业的特定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。对很多新兴科技企业,研发部门往往是企业的核心部门,掌握着大量敏感数据。关于企业内部泄密有很多大家耳熟能详的场景:
1、研发工程师在离职前,将核心技术源代码下载至个人电脑,并加入竞争对手公司或创立自己的公司;
2、自主设计的产品信息被发现在黑市交易,例如,源代码、设计图纸、技术规范等;
3、企业员工将高敏感度的公司信息(如企业战略、营销计划、科研产品信息等)上传至公共论坛或社交网站上;
4、以上场景只是数据泄露场景的冰山一角,数据防泄漏对于很多企业来说可谓是至关重要,且能够直接为企业避免或减少损失。
传统的DLP系统可以在数据存储和传输过程中进行实时扫描,识别这些数据是否违反现有策略规则,进而对数据外发事件进行静默审计,隔离可疑文件,加密数据或直接阻拦传输,大致做法:
1、深入业务部门做涉密数据、数据分级、传输途径、存储位置以及使用人及部门调研,最终形成业务系统数据流转图。(人工)
2、通过数据防泄密系统自动化监控网络、主机的数据泄露风险评估。
3、部署DLP系统阻断以上泄露途径。传统的数据存储位置一般都是内部网盘、文件服务器、PC本地。泄漏点途径:U盘、打印、MSN、应用程序控制、https上传等。
数据防泄漏产品经过这几年的发展,技术方面已经产生了很大的变化,传统的数据分级已经变成AI方式识别和分类、通过正则表达式、文件指纹的方式也逐步被AI机器学习方式所取代。数据落磁加密已经从传统的Agent透明加密演变成以KMS为核心的文件加密系统。
四、DLP实施前要做好的工作
为了更精准地保护企业的敏感数据,提升后期DLP运维的效率,在实施DLP项目之前,有几件需要提前做好的工作:
1、数据分级分类:
企业需要针对自身所持有的数据进行分级分类,而后对特定等级的数据进行DLP策略的实施。如:企业将数据分级为绝密、机密、内部、公开四个等级,并仅针对绝密和机密数据实施数据防泄漏保护。部分行业有专门针对数据分级分类的国家政策规定或指导,如证券期货行业的《证券期货类数据分级分类指引》,企业可根据国家规定、行业实践进行相应的数据分级分类工作。
2、人员角色和岗位权限定义:
一般情况下DLP产品会读取企业的AD域信息来进行管控。如果企业实施精细化管理,AD域的准确性将会是一个影响DLP管理效果的重要因素,否则企业人工维护人员信息需要投入的人力成本将会非常高。
3、内部沟通:
由于有很多企业会部署终端DLP,这将需要在员工电脑上安装软件并且可能会影响到员工的日常操作流程,管理层的重视与支持,自上而下进行推广,对于一个DLP项目的成功实施至关重要。同时实施过程的数据识别、运维阶段的事件处理,都离不开业务部门的支持,这都需要在实施前进行充分的沟通。
五、DLP实施技术层面的考量
目前市场上使用比较多的DLP类型有终端DLP,网络DLP以及邮件DLP。
1、终端DLP
会针对所安装的终端的数据使用行为做监控,这也是目前应用范围最广的DLP类型。即使设备在离线的状态,只要策略已经在终端生效,也会实施相应的管控措施。
2、网络DLP
一般是放在企业内网出口位置,可以对发送的信息做第二道审核。同时有些产品为了减轻终端压力,图像识别功能(如扫描的图片,截图或非文字转换为PDF的文档)也是放在网络DLP中。
3、邮件DLP
一般是部署在邮件服务器上,对于邮件发放进行审核。有的企业邮箱是在外网可以登陆的,此种方式可以减少这种在外网通过企业邮箱发送数据而产生数据泄露的风险。
面向不同的需求和环境,DLP有多种不同侧重实施方案,有的表现为设备强管控,采用逻辑隔离手段,构建安全隔离容器;也有的表现为文档强管控,提供内容源头级纵深防御能力。数据文档的分类、分级、加密、授权与管理,也有行为强审计,利用准确关键字对数据操作行为的审计,对文档的新建、修改、传输、存储、删除的行为监察,还有智能管控,可识别、可发现、可管理,提供共性管控能力的DLP方案产品。
为了防止内部、外部人员有意、无意造成的数据泄露而造成损失,如今大多数数据库通过数据加密来保证数据安全,防止泄密,这也是当前最有效的解决办法。以数据加密为核心的数据泄露防护(DLP)解决方案,已经成为主流方案,并得到了众多用户的认可。