一種數據防擴散平臺在企業多業務場景中的應用

【 摘 要 】 數據擴散是企業面臨的關鍵信息安全問題之一，必須采用防護機制與策略保護企業核心數據。由于數據防擴散工作是一項涉及“人”、“計算機”、“數據”等多方面要素的系統性工程，需提出一套整體性的、針對于不同要素的防護機制與策略。基于對開展數據防擴散工作的認識，以將“計算機”設置為安全邊界、將“人”設定為可信人員、在安全邊界內使用“數據”為方法，組織研發一種數據防擴散平臺。經在四種業務場景中的應用，該平臺有效保護了業務場景中的數據。

【 關鍵詞 】 計算機；數據防擴散；數據靜態存儲；數據動態傳遞

Application of a Data Loss Prevention Platform in Enterprises Multi-Business Scenarios

Wang Jie

（China Petroleum Engineering Co.，Ltd Southwest Company SichuanChengdu 610041）

【 Abstract 】 Data loss is one of the vital information security issues faced by the modern company. Prevention mechanisms and policies are now undoubtedly a necessary to protect companys business-critical data. Since data loss prevention is a systematic engineering project， which normally containing multi-factors （i.e. people， computer and data）， it is important to propose an overviewed but each factor-targeted prevention mechanism with appropriate policies. According to the understanding of data prevention practices， a data loss prevention platform， which defining the computer as the secure boundary and authorizing the staff as the trusted user， proposed and implemented to utilize the data within the secure boundary. By applying the proposed platform in four business scenarios， it is shown that this platform effectively protects the business data.

【 Keywords 】 desktop computer； data loss prevention； data static storing； data dynamic transmission

1 引言

隨著信息化技術的迅猛發展，企業通過開展滿足自身需求的信息化建設提升辦公手段、提高工作效率，并形成和積累了大量的過程與成果數據。這些數據被視為企業重要的無形資產，是企業的五大核心資源中的一項[1]。若數據被擴散，不僅導致企業在激烈的市場競爭中處于不利的地位，還可能對國家政治、經濟、社會和個人造成重大影響[2]。

據統計，92%的數據擴散事件可歸入九種基本模式（其中，內部失竊約占19%，物理性損失約占16%。）[3]。為保護數據安全，企業常用技術手段為“數據加密”，但其實質是利用密碼技術對數據進行加密隱藏。當加密數據被擴散后，雖能延緩數據被使用的時間、增大數據被使用的成本，但仍存在被破解的風險[4]。而用于防止數據擴散的系統（Data Leakage/Loss Prevention System）往往具備識別、監控和保護敏感數據的能力，并可根據預先定義的安全策略檢測誤用情況[5]。常見的商用數據防擴散系統包括：McAfee DLP、Check Point DLP、防水墻等。這些系統或機制在應用過程中必須根據企業的業務特征和對數據安全等級的定義進行配置[6]；并以“用戶驅動”的方式提高用戶的安全意識、告知用戶企業的安全策略、在關鍵數據上打標簽，否則，可能導致較高的錯誤檢測率[7]。

筆者參與了所在企業開展的數據防擴散研究工作，基于企業戰略和業務需要，梳理了四種業務場景的數據防擴散需求，構建了適用的數據防擴散平臺。本文總結了在數據防擴散研究過程中的認識，數據防擴散平臺的構建方式，以及數據防擴散平臺在四個業務場景中的適應性。

2 對企業開展數據防擴散工作的認識

數據擴散的發生通常由“人”、“計算機”和“數據”三個基本要素構成。企業應結合自身的行業特征與業務特點，對三個基本要素體系化地開展數據防擴散工作，主要包括：（1）識別可能的數據擴散途徑；（2）確定合理的數據安全級別；（3）規劃、驗證、實施可行的安全保護策略。

2.1 關于識別數據擴散途徑

圖1展示了常見的數據擴散途徑樣例。在數據的靜態存儲過程中，數據可以通過數據存儲介質被盜用、復制的方式（包括但不限于：竊取計算機硬盤或計算機主機）被擴散；在數據的動態傳遞過程中，數據可以通過網絡傳輸的方式（包括但不限于：在線聊天工具傳輸、郵件傳輸、網盤上傳）和使用移動存儲介質拷貝數據的方式[8]被擴散；在數據的動態使用過程中，數據可以通過被復制的形式（包括但不限于：相機拍攝、文件復印）被擴散。

2.2 關于數據安全級別與安全保護策略

由數據的擁有者負責確定數據的敏感程度并明確是否需要得到保護，是一種較好的實踐方法[9]。但要全面、準確、規范地識別數據對企業生產經營管理的重要性與涉密程度，并定義安全級別，是企業開展基于“數據”的數據防擴散工作的難點。

3 技術方法

本數據防擴散平臺的目標，不是根據數據的安全等級對數據精準地執行防擴散措施，而是將“人員”和“計算機”作為管控的對象，構建出一種可控的數據使用環境，以使合法的人員在可控的計算機上存儲和使用數據。

3.1 總體架構

數據防擴散平臺的總體架構和主要包含的模塊如圖2所示。

（1）“模版管理模塊”：用于管理每個業務場景中使用的操作系統和應用軟件鏡像。

（2）“安全策略管理模塊”：用于定制和管理每個業務場景中的安全策略。

（3）“計算機管理模塊”：用于管理每個業務場景中使用的終端計算機。

（4）“用戶管理模塊”：用于管理每個業務場景中使用終端計算機的人員，包括：人員的使用權限授權、登陸計算機的賬號管理。

（5）“管理員管理模塊”：用于超級管理員對每個業務場景的二級管理員進行管理。

3.2 部署邏輯

數據防擴散平臺是將計算機需要部署的操作系統和應用軟件集中到后臺服務器，形成統一管理的鏡像模板。根據不同業務場景的數據防擴散管控需要，在服務器中針對“人員”和“計算機”配置各業務場景的安全策略（主要包括：計算機的物理層安全策略、計算機的操作系統層安全策略、計算機的部署環境安全策略、人員安全策略）。最后將鏡像模板和配套安全策略統一下發至業務場景下的計算機。

下發到計算機的操作系統和應用軟件充分利用計算機自身硬件的計算資源實現本地化運算。與此同時，數據防擴散平臺與計算機實時進行數據引導，確保計算機在后臺服務器的實時檢測和統一管理，以保持各項數據防擴散策略的有效性。

4 多業務場景應用

4.1 應用的業務場景

數據防擴散平臺在筆者所在企業應用的業務場景如下。

（1）工程設計場景。該業務場景主要采用了AVEVA工程設計軟件開展工程設計工作[10]。由于AVEVA工程設計軟件是C/S架構模式，其設計數據往往存放于項目專用服務器。但由于AVEVA數據文件存放形式的特殊性，其數據文件可拷貝至計算機本地。另外，為了滿足項目設計質量與進度要求，常聘用臨時設計團隊開展設計工作。該場景需授權臨時設計團隊使用指定計算機，并在整個設計過程中防止設計數據和設計成果被惡意拷貝或將硬盤移植至其它計算機中使用。

（2）軟件外包研發場景。在多個軟件外包研發過程中，研發團隊所使用的輸入參考資料為多年累積形成的關鍵業務知識；而研發獲得的設計文檔、軟件源代碼、軟件安裝包，也是重要的信息資產。該場景需為軟件外包研發團隊提供專門的駐場研發環境。

（3）電子圖檔存檔場景。電子圖檔主要包括歷年工程設計項目和科研項目的電子化成果文件，是重要的數據資產和知識積累，具有復用、挖掘的重要價值。在該業務場景中，電子圖檔存檔需由指定工作人員在指定計算機上通過端口導入，并上傳至圖檔系統。該場景需授權唯一的電子圖檔存檔管理人員使用指定的計算機，并對計算機端口使用進行管控。

（4）采購評標場景。采購評標場景中采用了電子化的采購評標方式，評標專家通過專用的計算機評判投標方提交的投標電子文檔，并在指定的評標系統中做出投標評判。該場景需嚴防電子版的投標文檔和評標報告在評標結果公布前被擴散。

4.2 策略應用

當數據防擴散平臺向業務場景中的計算機推送鏡像模板時，應用以下配套安全策略。

（1）802.1x認證配置。阻止用戶將未部署數據防擴散平臺的計算機接入指定網絡環境，避免訪問存放有數據的服務器或共享文件夾。

（2）加域及域控配置。僅允許具有合法賬號的指定用戶登錄、使用計算機；且可配套應用其它域控管理策略。

（3）端口配置。管理計算機端口，禁止通過USB、光驅、藍牙等端口將數據拷貝。

（4）硬盤加密配置。對計算機物理硬盤加密，阻止硬盤移除后在其它計算機中直接讀取數據。

（5）快速恢復策略。在計算機出現中病毒、軟件遭到破壞等故障后，通過操作系統推送快速將計算機恢復到正常狀態。

5 結束語

筆者所在企業基于已有的私有云架構部署數據防擴散平臺，有效地保護了多業務場景下業務數據及知識資產的安全，達到了對計算機終端的數據防擴散目的。本平臺適應于廣泛的數據防擴散場景，對其它業務場景的實用性及配套安全策略尚待探索。

參考文獻

[1] 郭成華. 工程公司企業信息化建設的規劃方法 [J]. 天然氣與石油， 2016.34（2）：78-81.

[2] 吳世忠. 扼住數據擴散高發的勢頭[J].中國信息安全，2012（2）：2.

[3] 郭瑞. 數據擴散風險的趨勢分析[J].信息安全與技術， 2014，5（10）：18-21.

[4] 史殿娟. 淺談數據防擴散系統在鐵路產品安全設計中的應用[J].鐵路采購與物流，2015（4）：41-42.

[5] Sultan Alneyadi， Elankayer Sithirasenan， Vallipuram Muthukkumarasamy. A Survey on Data Leakage Prevention Systems [J]. Journal of Network and Computer Applications，2016.

[6] Lior Arbel. Data loss prevention： the business case [J].Computer Fraud & Security， 2015.2015（5）：13-16.

[7] Stephane Charbonneau. The role of user-driven security in data loss prevention [J].Computer Fraud & Security， 2011.2011（11）：5-8.

[8] 何思思，吳一冰，劉新永，等. 淺談三種移動存儲介質中數據交換的防泄密方案[J].中國科技縱橫，2014（6）：32-33.

[9] Chen Keke， Liu Ling. Privacy Preserving Data Classification with Rotation Perturbation [C]. 5th IEEE International Conference on Data Mining， 2005.

[10] 宋光紅、劉家洪、彭磊、董君. PDMS三維軟件在天然氣處理廠設計中的應用[J].天然氣與石油， 2014.32（6）：68-71.

作者簡介：

王頡（1985-），男，四川成都人，畢業于英國拉夫堡大學，博士，從事計算機應用與信息安全管理工作；主要研究方向與關注領域：計算機應用技術、信息安全、云計算等。