联系我们

网域数据安全,专注上网行为管理 网络安全设备

企业数据防泄露问题

 数据防泄漏大部分企业的痛点,数据的保密性这也是解决信息安全最根本的三要素CIA原始驱动力。绝大多数企业决定弥补信息安全功能,成立信息安全团队,投资信息安全的初衷就是防止企业核心数据外泄。数据安全是一个永恒的领域,从最原始的网站防篡改,到如今五花八门的各种数据安全产品和咨询方案,每个产品和服务都有自身适用场景,任何企业的数据防泄漏都不能割裂处理看,就像CISSP中经常讲到的没有One Size Fits All的通用解决方案,只能根据企业的实际情况适配不同的场景,不同的场景选择不同的解决方案。

       由于安全攻防(攻击防护、监测和响应)是数据防泄漏的基础,没有了防火墙、威胁情报、APT攻击发现、IDS、大数据风险监控系统等通用的安全基础设施,没有强有力的安全运营团队,光靠买几套数据防泄漏软件(防水墙、终端/网络DLP软件、数据库防火墙、桌面管理软件等)和服务(数据安全咨询服务)是无法达到预期效果的。
 

       从技术角度来看数据防泄漏就是要保障核心数据存储、使用、传输三个过程的安全,防止信息泄露成为企业数据安全保护建设工作的关键和核心,通过事前、事中、事后的整体策略对敏感数据采取全过程保护。事前预防应做到避免安全事件的发生或降低安全事件发生的概率,事中监控应尽可能发现安全风险,尽可能较少误报,减少安全事件造成的影响,事后审计应做到在安全事件发生后根据数据标签或指纹可进行全程追溯。下面将从存储、使用和传输的三个过程进行阐述。

       存储中数据:存放在数据库、文件服务器、存储于备份设备上的数据等,存储中的数据通常包括企业全部核心商秘信息,因此对企业的核心数据库、文档管理系统等进行安全防护成为重中之中。如果数据比较集中,而且分类明晰,如很多企业有文档管理系统,可以通过数据库防火墙、数据库透明加密、以及敏感数据发现系统进行扫描,做指纹,然后指纹分发到各出口安全设备进行阻拦。除此以外:文件服务器、应用系统和数据库应采取基于用户角色的授权访问控制,并且赋予用户所需最小权限,如进行“三员管理”:系统管理员、安全管理员、审计员相互独立相互制约。对处理核心商秘上产生的工作文档和通过各种方式从数据库或网络应用中获取的核心商秘数据,均应采取技术措施防泄漏,核心商秘数据的外发,需经过审批授权,并对数据做集中式留档审计; 对于如何防止脱裤、撞库、注入、虚假注册、地下交易的技术措施由于主要涉及到攻击防护技术,本章不做详细阐述。

       传输中数据:通过网络应用程序传输的数据,对商业秘密数据的存储、传输、使用行为进行审计,审计记录集中保存。目前主要是微信、QQ、邮件等。因此上网行为管理、NAC、网络DLP、防水墙等均能派上用场。通过SIEM或大数据数据防泄漏系统将审计内容(部分日志记录需要业务系统进行定制开发):访问者、访问目标、访问方式、访问结果(下载、上传、删除、查询、更新等)、访问时间、访问所在服务器或终端的主机名、IP地址、MAC等进行记录和审计,基于源目IP,端口、协议、账户、访问行为、时间等作出异常模型(如特殊时间段的访问、超过平均值的单IP或单账户的流量等),进行用户画像和告警。基于信息的敏感度、企业资源成本、信息安全团队能力、满足《网络安全法》的前提下建议审计记录至少保存六个月,核心商秘审计记录至少保存十二个月,当然有个前提是企业的安全团队(风险/审计/IT)能基于企业实际情况建立数据风控模型,能基于人物画像和行为画像在六个月内发现异常情况,不然审计记录保存再长的时间也只是没有价值的“沉睡数据”。


       使用中的数据:通过终端访问的数据,包括保存在终端磁盘上的数据、终端内存中的数据、屏幕显示中的数据等。终端防护历来是重点同时也是难点,之所以说是重点,因为所有服务器上的数据均能在广泛的终端存在,服务器可以重重防护,但终端上可能很容易就出去了。之所以说是难点,因为终端分布广,100%覆盖率基本不现实(终端多样性、不兼容性、网络稳定性、用户水平和接受性、推广成本、业务多样、用户易用性)、终端软件安装覆盖率、失联率、拦截率等是考核的重点。对于终端追求的是“突出重点”,对重点信息和重点岗位力求百发百中,对低敏感内容终端尽可能的覆盖,覆盖不到的通过网络等其他风控系统做风险补偿。


     通常情况下,大型企业均面临以下几个比较通用的几个典型场景:


       普通办公场所:特点是保密级别不高,人员分散,但需求固定:主要是网络需求或内外部沟通,比较适合侵入度较小的解决方案:如网络准入控制NAC、无线控制器WLC、上网行为管理、网络DLP、NGFW、安全邮件网关、移动终端管理MDM/MAM/MCM等多种方式对数据进行保护。


       分布式网点、店铺、办事处:特点是操作单一,标准化成本低,网点分散,管理成本和维护成本较高,终端数据相对不多,日常主要使用企业通用的内部系统,员工IT需求不高。比较适合使用虚拟桌面来解决数据防泄漏问题,将敏感核心数据留在总部的终端服务器上,服务器的数据通过企业数据中心或总部集中的专业安全能力,如防火墙、网络DLP(防水墙)、终端DLP、数据库审计系统、漏洞和补丁管理系统、敏感数据扫描系统、敏感数据签名过滤系统、大数据安全风险感知系统等来实现数据安全。


       制造工厂生产环境:主要数据是包含基础技术开发和加工工序、工艺图纸、工程文档、机加工程序等,由于工厂的生产实际限制情况,很多DLP产品无法安装,如数控机床系统不支持外来程序,改造成本很高,USB口无法有效管理,造成开发程序泄漏等。 


       适合通过DNC系统,MES系统和ERP系统先将零散的数据IT化,再将非结构化数据进行系统化,将原来的通过USB拷贝变成系统下发程序直接到机床,减少中间过程环节,有效的降低工厂机加工程序外泄风险,使得原来的生产过程文档从编制到归档整个过程,通过流程化的管理方式,规范整个操作过程,对文档通过产品制造方案的形式进行打包管理,保证数据的安全性及唯一性;将程序文档进行流程管理、版本控制、操作追溯、程序说明文档与联网通信系统集成,通过将生产过程文档远程推送到操作终端,实现自动化推送及无纸化办公,将零散文档和程序先IT化,然后再纳入信息安全管理范围,实现数据程序从编制到定型归档整个流程均可控。避免原有的程序从编辑人员、审核人员、分发人员、程序调试/试切、批产和管理等流程中通过U盘拷贝的各种风险。


       小规模普通生产研发机构:对互联网的依赖和对共享平等的文化氛围要求没有互联网公司创新机制下的高,但对生产、质量、技术和流程要求较高,能容忍一定程度的控制,比较适合终端DLP监控,打印监控,桌面USB管控,核心数据通过微软的RMS授权,并配合一定程度的网络DLP,移动终端管理MDM/MAM/MCM这种对安全和效率的折中方案。


       核心研究机构:双网隔离,所有的协作均在内网完成,内外交互通过网闸或中转设备进行摆渡。内部使用安全U盘(仅仅内部机器能识别),对外交流使用可控U盘(授权的U盘可以拷贝低密度的数据到外部机器),所有行为均受到监控,重点岗位对外人员执行硬盘全盘加密策略,要求高的系统配置二线防泄密岗,手机等设备严禁带入研究场所,对应的物理安全也相应提升,所有系统严格执行“涉密机不上网,上网机不涉密”。


       从管理角度来看,数据防泄密工作贯穿企业信息安全工作全生命周期,一般数据保护项目流程就是:敏感数据识别,定级,分场景保护,监控数据流向(数据溯源),优化安全策略。但最难的不是后面的保护措施,而是数据的识别和定级必须依靠各业务部门的大力配合,没有业务部门高级管理者参与的话,失败的概率很高。数据安全项目一般从上而下,管理为主,建议采用集团办公室、各业务部门、安全团队三方组成联合战队的形式推进,安全团队可以借此建立一个二层/三层的组织架构,把项目做成长效机制,信息安全工作才能长久落地。组织架构可以分成三层:第一层信息安全委员会(由相关部门负责人组成)、第二层执行层(由跨部门的数据安全项目组成员组成)、第三层推广层(由各业务部门关键员工组成)。这个过程安全团队可采用透明的方式配合业务部门做好数据防泄密的技术支持工作,协助他们做好数据防范工作,而不是强制他们要做,低姿态进入业务系统,尽可能的扩大最广泛的信息安全统一战线是企业信息安全工作的最长久的保障。


       对于企业而言可以参考《中央企业商业秘密保护暂行规定》和《中央企业商业秘密信息系统安全技术指引》,该法规最核心的内容是数据安全保护,还包括网络安全、服务器与应用安全、终端安全、移动介质安全以及制度的安全,以期建立一个相对完善的防护体系。

您可能需要了解的产品:数据库审计第二代防火墙上网行为管理