企業數據防泄漏架構分析

范睿

摘 要：近年來數據泄露事件高發不止，數據防泄漏呈現出企業認知安全洼地的態勢。論文對一般性企業的數據現狀、面臨的風險進行了探討，并以系統的數據防泄漏技術體系作為目標，結合廣義的網絡安全理念，通過設定多維度的控制節點，最終形成了一套“全數據流向”過濾的立體分層數據安全防泄露架構。

關鍵詞：數據防泄漏；數據安全；數據脫敏

Abstract： The things of data leakage occasionally happen in recent years. Most enterprise consciousness of data security still remains at a lower level. In this paper， the data circumstance and risks are proposed as a key factor. Data leakage is not a single point issue， it is stretched across several fields of network security. As a goal of this thesis， how to build up a multiple dimensions control point of data security？ How to make a comprehensive data loss prevention model？ After passing the powerful description of the thesis， an "omnidirectional data flow" data security filter architecture will emerge over the water.

Key words： data leakage prevention； data security； data masking

1 引言

近年來，隨著企業信息化建設的發展，電子信息庫、電子郵件、電子文件已經成為了企業日常事務中的主要溝通方式。在信息系統不斷建設和完善的道路上，信息系統核心的數據安全問題已經成為了企業在信息化建設變革中需要關注和解決的重點和難題。通過有效的數據安全體系架構設計和實施全面的技術保護手段，可有效地保證企業核心數據的安全，減少泄露事件的發生。

2 重大數據安全事件

2015年著名酒店（包含喜達屋、洲際、萬豪等）出現大量顧客賬戶信息泄露，匯豐銀行秘密銀行賬戶文件被泄露；2016年國內第一在線票務網站大麥網600萬用戶賬號密碼泄露；棱鏡門事件、Yahoo郵箱賬號泄露、網易郵箱數據泄露等。

公眾系統數據安全、金融政府核心數據安全已經成為信息化社會進程中必須解決的難題。相對于知名公眾系統和政府金融機構，很多常規企業管理者對數據安全的關注依然停留在傳統的數據保護技術上，依然嘗試依靠單一技術解決所有的數據安全問題。

3 企業數據安全特點

企業信息化水平不斷提高，業務數字化程度日益加深，幾乎所有機構都卷入到數據處理的浪潮。2012年初的達沃斯世界經濟論壇上，一份題為《大數據，大影響》（Big Data，Big Impact）的報告稱，數據已經成為一種新的經濟資產類別，就像貨幣或黃金一樣。

數據資產作為信息資產的主要組成部分，具有共享性、增值性、時效性、低安全性。由于數據資產復制成本低，導致企業擁有和控制數據資產的安全性很差，這正是導致數據資產風險的一個重要因素[1]。

為了更加細致地了解企業數據的特點，從數據的不同維度出發進行了幾項歸納。

（1）按照數據類型可將企業內部數據分為結構化數據和非結構化數據，在絕大多數企業內都存在此兩類數據。

（2）按照使用場景可分為集中式使用和分散式使用，對于偏向于研究型的企業或部門，大部分采用集中式使用；對于通用事務或管理類企業或部門，則大部分采用分散式使用。

（3）按照數據敏感級別可將企業數據分為絕密級、機密級、秘密級和公開級。這是我國國家保密法進行的密級分類說明[2]，但絕大部分企業并未完全按照此說明進行數據分類和標注。

（4）按照數據使用介質可分為移動設備、終端PC、服務器。企業內部大量使用的為終端PC，Byod也逐步應用在了企業內部的數據處理上。

（5）按照數據傳輸方式可分為Web加密或非加密傳輸、郵件傳輸、即時通訊傳輸。

（6）按照數據的狀態、可分為靜止的數據、移動的數據和使用中的數據。

（7）按照數據生命周期可分為數據申請、數據創建、數據校驗、數據存儲分發、數據使用、數據歸檔、數據刪除幾個階段，在企業內部的數據安全架構中，處于較難執行的一個部分[3]。

4 企業數據防泄漏途徑分析

對于大部分企業來講，內網安全的防范重點，主要集中在防病毒、防火墻、分區訪問控制這幾個領域。但如圖1所示，其企業內網安全所涉及的領域遠不止這幾個方面。絕大部分企業用戶認為在企業內網是安全的，企業內網之間的文件訪問是安全可靠的。但從數據安全的角度出發，我們發現即便在一個已經具備防病毒、防火墻、分區訪問控制的企業內網里，數據的安全依然處于幾乎裸奔的狀態。數據可以被任意地被拷貝、讀取、發送和更改，數據庫可以進行任意的操作，可任意查詢導出關鍵表。可見，企業數據泄露的途徑和方式有多種。

4.1 郵件傳輸泄露

郵件是數據泄露的主要途徑，郵件傳輸泄露通常指用戶通過企業郵箱或個人郵箱從企業內部網絡發送帶敏感信息的郵件到企業外部。

郵件傳輸泄露分兩種情況。一是用戶無意操作導致數據泄露：（1）用戶郵箱在用戶的掌控之內，但無意間導致數據泄露；（2）用戶郵箱被木馬或黑客攻破，被黑客拿到企業內部通訊敏感郵件和數據；（3）用戶被社會工程。二是用戶有意操作導致數據泄露：員工存在惡意行為。endprint

4.2 Web上傳（網盤）/FTP外發泄露

通過網盤或FTP進行數據的上傳，也是數據泄露的主要途徑之一。通過Web泄露數據通常具有四個特點：（1）通過Web郵箱上傳附件；（2）通過網盤加密上傳企業敏感數據；（3）通過FTP異地存儲企業敏感數據；（4）被惡意掛馬或訪問惡意站點，導致數據被Web站點竊取。

4.3 U盤拷貝泄露

通過企業臺式電腦或筆記本電腦連接個人U盤保存企業敏感數據。

4.4 IM即時通訊外發泄露

通過QQ、MSN、微信等即時通訊軟件進行敏感數據傳輸。

4.5 CIFS/NFS網絡共享泄露

通過Windows共享服務器或NFS共享掛載的方式，將企業敏感數據拿到個人電腦中，并進行保存或外發。

4.6 打印數據泄露

通過網絡打印的方式，將企業敏感數據打印為紙質文件，以便攜帶。

4.7 紅外、藍牙傳輸泄露

通過紅外或藍牙設備進行數據傳輸。

4.8 CD/DVD光盤刻錄泄露

通過刻錄設備對敏感數據進行刻錄CD/DVD，以便攜帶。

4.9 截屏拷貝泄露

通過截屏保存為圖片文件，對敏感數據進行另存發送，以逃避檢查。

4.10 存儲設備、筆記本電腦丟失泄露

裝有企業敏感數據的移動硬盤或筆記本電腦丟失，導致數據外泄。

4.11 黑客攻擊，木馬后門竊取泄露

對企業關鍵崗位員工的筆記本電腦或臺式電腦或企業后臺核心服務器進行攻擊和掛馬，一旦成功，即可在內網進行大量的數據竊取工作。

4.12 數據庫數據泄露

對數據具有核心管理權限的人員或賬號被惡意使用，并提取敏感數據。

4.13 手機拍照泄露

對具有拍攝功能的設備未進行管控，導致敏感信息被攝錄保存。

4.14 勒索軟件加密、破壞或泄露數據

通過惡意附件和惡意Web站點掛馬等方式，迫使企業核心崗位人員被勒索病毒感染，從而導致核心數據被識別和泄露，近期流行的CryptoLocker Wannacrypt和Petya導致大量用戶敏感數據被加密和泄露[4]。

4.15 離職審查破壞或泄露

離職管理流程和技術流程未進行高度統一，導致存在權力真空期，離職員工可利用此漏洞進行非授權操作，導致數據被破壞或泄露。

4.16 社會工程學泄露

社會工程學泄露就是通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統的秘密。社會工程即有技巧地操縱人們在生活中的某些方面采取某種行動。其利用的工具包含如開鎖器、攝像機、錄音設備、GPS跟蹤器和各類攻擊工具[5]。

5 通用數據泄露防護技術

針對各種數據防泄漏技術，我們進行了調研和總結，各自均存在防護盲區。

5.1 國外數據防泄漏技術

國外數據防泄漏技術的重點關注在數據內容的識別，提供基于文件內容識別敏感數據，數據保護策略顆粒度細，具備數據分級的功能（絕密、機密、內部等），對文件不做任何修改，數據不存在破壞的可能性，其數據的泄露識別覆蓋從終端、網絡、存儲的各個層面，具有數據傳輸泄露的可視化視圖、完整的審計和證據保存的功能。

5.2 國內數據防泄漏技術

國內數據防泄漏的特點主要體現在透明加解密，即通過對文件的加密實現內部用戶使用透明，外部用戶加密保護的功能。其技術特點主要為自動對敏感文件加密，數據一旦加密，就可視為是安全的，無需擔心使用、傳輸、保存的各個環節，無需考慮用戶對文件使用、傳播的方式，只需考慮要保護的文件對象。部分國內數據防泄漏技術，還集合了數據生命周期中的數據打開控制和數據報廢的功能，實現進一步的文件訪問權限，防止被非授權的人員訪問。

5.3 數字權限管理防泄漏技術[6]

DRM以加密和PKI為基礎架構，可以對文件做詳細的讀、寫、打印進行控制。可以對發布出去的文件進行控制，對于主（人員、部門），客體（文件、數據）提供詳細的控制手段（讀、修改、打印、拷貝、時間范圍）；數據即使被發布給了第三方（用戶、合作伙伴），也可以對其進行訪問控制，采用加密方式，不需要擔心使用、傳輸、保存的各個環節。

5.4 數據加密防泄漏

整盤和基于文件的加密，混合了國內和國外的加密技術。

5.5 存在的問題

針對以上所提及的當前數據防泄漏技術，可以看到其各自的技術和管理局限性，鑒于此，提出了一套綜合完備的數據防泄漏技術架構。此架構具有廣闊的網絡安全視野，并從廣度上切入，進行整體架構設計，對各個模塊的數據防泄漏技術上則提出了治理思路。此架構旨在對所有對數據防泄漏技術感興趣的個人或單位起到技術指導和參考作用（注：數據分類、數據告警優化方法不在本文的討論范疇）。

6 企業數據防泄漏技術架構

面對眾多的數據泄露路徑和當前數據防泄漏技術的局限性，經過多方調研和分析，提出全數據流向控制的數據防泄漏架構模型，基于此模型建立的數據防泄漏架構，可以相對將數據泄露風險降低到最少。

本模型從數據管理制度入手，兼顧數據的全流向控制，并從局域網，用戶或服務器終端，用戶手機類移動終端三個層面作為切入點，對數據所承載的網絡協議、應用協議、移動終端、數據庫、操作系統等角度進行了考慮，形成了入向過濾、出向過濾、內部分層管理的多層數據防泄漏保護架構。

6.1 制度的設定

數據防泄漏需要企業制度的支持，通常企業會有信息系統運行制度或信息系統安全管理制度，數據安全的相關規定會包含其中。如圖2所示，制度的約定需要從數據密級分類、員工職級的數據使用須知、密級數據流轉須知、密級數據解密期限等角度進行約定。確認其企業內部的核心數據，做好數據密級分類是數據防泄漏體系架構中并不可少的部分。endprint

6.2 數據使用渠道

企業數據會在局域網進行流轉和傳遞，企業局域網是數據監控的一個重點。此類監控的重點突出在對網絡協議的解碼和分析，以及對應用協議的過濾。

針對員工操作數據的情況，對工作電腦的數據傳遞控制是企業數據監控的另一個重點。此類監控重點突出在用戶對工作電腦的數據處理上。例如對文件的打印、復制、網盤的上傳，郵件的傳遞、數據的截屏、U盤的控制、紅外藍牙設備的管控等，對任何從工作電腦發起的對數據的操作均是數據監控的重點。

另一方面，對重點企業業務系統數據或數據庫等人員的權限控制。審計運維管理則是數據監控的重要組成部分，針對數據庫的脫敏操作是當前數據流轉過程中急需關注的一個安全熱點。

最后，員工自帶Byod設備存在數據泄露的情況，大部分企業并未充分認識到此類方式的數據泄露風險。

6.3 數據的流向

數據流入。對進入企業的數據進行了嚴格控制，重點在惡意代碼、垃圾信息、釣魚站點、SQL注入、XSS攻擊、CSRF攻擊、身份認證、U盤及外設管控等[7]，確保進入企業的數據是安全可靠的。此部分不對數據進行機密性判斷，但需要進行數據可用性和完整性判斷。

數據流。對流出企業的數據結合三大數據傳輸渠道進行數據機密性判斷和過濾。

數據間交互。對企業內部員工之間的數據交互進行分級控制和審計監控。

6.4 全流向數據防泄漏分層架構模型

數據安全是信息整體安全的一部分，對數據進入企業進行了一系列完整性和可用性檢查，對數據流出企業進行了一系列機密性檢查。在充分考慮了數據安全的CIA三要件的前提下[8]，提出了如圖3所示的全流向數據防泄漏分層架構模型。以數據全流向、數據生命周期管理、企業數據管理制度三個角度作為參考點。

此模型中可見企業數據管理制度是貫穿始終的部分，任何企業如果脫離數據管理制度，均無法保證其數據的可用性、完整性和機密性。

模型的左邊為數據流入檢查，在數據進入企業階段，首先從數據的連接開始，對網絡七層進行了全面的過濾，避免惡意的攻擊鏈接或木馬站點對企業內部用戶或對外服務的業務系統造成的影響，然后通過郵件安全過濾確保安全的郵件附件進入企業，對外設進入的數據則通過U盤等外設管控實現對移動傳遞數據的安全性導入，通過Web協議防護設備進行對基于Web攻擊的流量進行過濾，確保各類后臺數據庫的安全和數據庫的完整性和有效性。

模型的右邊則為數據的流出檢查，對需要外發的數據或人員，首先經過企業管理制度的約定，對人員職級和數據進行分類分級授權，對員工可進行操作的數據進行篩查和授權，并通過對局域網、主機端和移動端的安全控制進行數據過濾，同時對重要信息系統的數據操作和導出采用運維審計系統進行授權和審計，并通過脫敏系統進行敏感數據的脫敏操作。經過一系列機密性檢查后，進行數據合并和外發操作。

通過一系列的控制，保障企業的數據安全接收和外發。

管理控制。運維審計系統控制：通過運維審計系統的認證，授權，審計功能對操作核心數據的人員進行有效管理，采用最小權限的原則，保障核心數據庫和應用系統數據的安全。

網絡型控制包括識別和阻斷。

識別。通過SPAN模式，對局域網的核心交換進行網絡流量鏡像，并將鏡像數據傳遞給局域網數據泄露分析器，對流經局域網的數據進行網絡協議解碼和識別敏感數據。

阻斷。（1）部署Web協議代理器：企業員工訪問對外站點經過Web協議代理器的過濾識別，對惡意站點，勒索病毒進行預防，同時識別出WEB傳輸協議中傳輸的敏感數據，并進行阻斷和控制。（2）部署郵件過濾網關：企業員工對接收和外發郵件須經過網關過濾，杜絕郵件病毒的產生，同時對郵件外發中的敏感數據進行阻斷和控制。

主機型控制。針對終端用戶采用Agent模式，對敏感數據進行透明加解密，確保安裝了Ggent之間的終端可透明識別敏感數據，對外發數據進行加密或設定使用期限，對離線用戶保持策略控制。對U盤、外設、打印設備由agent進行注冊控制，確保授權使用外設并記錄證據。

移動端控制。對安卓或蘋果等手機或平板類設備，通過EMM APP進行控制，通過EMM的沙箱，地理圍欄，應用APP控制，拍照錄音控制，藍牙控制，文檔自動銷毀，工作桌面等技術對數據傳輸進行控制，嚴格控制工作數據存放到工作桌面[9]。

結構化數據控制。數據庫脫敏系統，針對企業核心數據庫的核心數據導出的操作，需要進行適當的數據保護措施，如采用數據庫動態查詢或查詢特定表、視圖或庫的操作，可采用動態脫敏技術，如需要進行全庫導出或數據庫虛擬化操作，則采用靜態脫敏技術進行敏感數據清洗。

7 結束語

本文結合當前數據防泄漏技術特點和對廣義網絡安全的研究，提出了全面的數據防泄漏架構模型。此模型中的各個部件均可找到對應的技術實現方式，具有現實可行性和全面性。機密性、完整性、可用性是網絡安全的三大要件。本模型從數據的流向和數據的安全角度出發對網絡安全三要件進行了對應，可作為企業建立數據防泄漏模型的參考。

參考文獻

[1] Dedman， Bill； Brunker， Mike； Cole， Matthew （May 26， 2014）. "Who Is Edward Snowden， the Man Who Spilled the NSA's Secrets？". NBC News. Retrieved April 11， 2015.

[2] http：//www.gov.cn/zwgk/2014-02/03/content_2579949.htm. [Z]

[3] 趙飛.基于全生命周期的主數據管理：MDM詳解與實踐[M].北京：清華大學出版社， 2015：3-5，104-128.

[4] Https：//en.wikipedia.org/wiki/Ransomware.[Z].

[5] Christopher Hadnagy.社會工程安全體系中的人性漏洞[M].北京：人民郵電出版社，2013：6-7，198-219.

[6] 馮明，等.數字版權管理技術原理與應用[M].北京：人民郵電出版社，2009：25-39.

[7] 諸葛建偉.網絡攻防技術與實踐[M]. 北京：電子工業出版社，2011：367-391.

[8] 范夢雪，羅群.信息安全風險分析方法及應用[D].2006，2-7.

[9] 胡彬.網絡安全技術與應用[J].2017年01期.endprint