電信運(yùn)營(yíng)商生產(chǎn)終端數(shù)據(jù)防泄密系統(tǒng)的設(shè)計(jì)

楊紹君

（寧夏通信規(guī)劃設(shè)計(jì)院（有限責(zé)任公司），銀川 750011）

1 引言

電信運(yùn)營(yíng)商經(jīng)過(guò)多年的網(wǎng)絡(luò)與信息安全管理系統(tǒng)建設(shè)，在物理安全、系統(tǒng)安全、終端安全等方面已取得明顯成效，已經(jīng)在部分部門(mén)及相關(guān)業(yè)務(wù)領(lǐng)域?qū)嵤┝朔佬姑苁侄危M(jìn)行安全控制。電信運(yùn)營(yíng)商的計(jì)費(fèi)、經(jīng)分、客服等系統(tǒng)承載了公司大部分的核心敏感數(shù)據(jù)，對(duì)于數(shù)據(jù)的流轉(zhuǎn)過(guò)程、正常業(yè)務(wù)需求和辦公需求有一部分采用了加密管控手段，但大部分?jǐn)?shù)據(jù)并沒(méi)有使用管控措施。為了實(shí)現(xiàn)進(jìn)一步的數(shù)據(jù)安全防護(hù)，保障企業(yè)業(yè)務(wù)發(fā)展并滿足監(jiān)管合規(guī)要求，還存在以下問(wèn)題需要解決：敏感數(shù)據(jù)的內(nèi)容識(shí)別問(wèn)題；敏感數(shù)據(jù)的存儲(chǔ)流轉(zhuǎn)問(wèn)題；終端敏感信息的防護(hù)問(wèn)題；數(shù)據(jù)風(fēng)險(xiǎn)。針對(duì)上述問(wèn)題，電信運(yùn)營(yíng)商可以通過(guò)建立一個(gè)針對(duì)企業(yè)自身的數(shù)據(jù)防泄密大環(huán)境，建立可管、可信、可控的數(shù)據(jù)安全平臺(tái)，實(shí)現(xiàn)企業(yè)內(nèi)部信息和個(gè)人身份信息的防泄密，防患運(yùn)營(yíng)商復(fù)雜工作體系中可能由于工作習(xí)慣帶來(lái)的被動(dòng)泄密、二次泄密等情況。

2 系統(tǒng)功能架構(gòu)

系統(tǒng)應(yīng)支持分布式部署，可支持客戶端內(nèi)網(wǎng)及VPN接入、負(fù)載均衡和大規(guī)模部署。系統(tǒng)組成部分包括服務(wù)器、控制臺(tái)和客戶端。其中服務(wù)器主要存儲(chǔ)用戶信息、控制策略和審計(jì)日志等核心基礎(chǔ)組件，控制臺(tái)實(shí)現(xiàn)對(duì)策略的定制和下發(fā)，客戶端為辦公終端上安裝的插件，負(fù)責(zé)接收服務(wù)器側(cè)推送的策略并在終端本地執(zhí)行生效。

底層設(shè)計(jì)方面，系統(tǒng)應(yīng)支持分布式架構(gòu)，同一功能模塊可以分布在多臺(tái)計(jì)算機(jī)上，也可以將多個(gè)功能模塊分布到多個(gè)操作系統(tǒng)上，實(shí)現(xiàn)多種功能跨越計(jì)算機(jī)邊界透明運(yùn)行，以此來(lái)提高系統(tǒng)整體的高可靠性，以及用戶數(shù)量增加時(shí)平臺(tái)性能的按需擴(kuò)展（增加部署分布式服務(wù)器平臺(tái)分擔(dān)業(yè)務(wù)流量即可）。

3 系統(tǒng)技術(shù)架構(gòu)

目前，很多大中型企業(yè)對(duì)信息安全的建設(shè)尤為重視，在網(wǎng)絡(luò)邊界部署防火墻、網(wǎng)絡(luò)隔離設(shè)備、入侵檢測(cè)、入侵防御等多種網(wǎng)絡(luò)安全設(shè)備，在一定程度大大提升了企業(yè)信息安全防護(hù)能力，起到了很好的網(wǎng)絡(luò)安全防御效果。但是，終端接入還沒(méi)有完善的安全控制防范機(jī)制，如用戶的認(rèn)證、授權(quán)、審計(jì)等。通常，網(wǎng)絡(luò)中的大部分資源濫用和未經(jīng)授權(quán)的訪問(wèn)都來(lái)自于內(nèi)部[1]。

系統(tǒng)建設(shè)需要實(shí)現(xiàn)終端準(zhǔn)入功能所涉及的準(zhǔn)入系統(tǒng)網(wǎng)關(guān)硬件設(shè)備，以實(shí)現(xiàn)終端在沒(méi)有安裝安全客戶端的情況下不允許使用公司內(nèi)部網(wǎng)絡(luò)；實(shí)現(xiàn)終端在沒(méi)有安裝安全客戶端的情況下不允許登錄業(yè)務(wù)系統(tǒng)。

4 系統(tǒng)功能設(shè)計(jì)

圖1 網(wǎng)絡(luò)架構(gòu)

4.1 系統(tǒng)安全準(zhǔn)入

安全準(zhǔn)入系統(tǒng)可采用軟件與硬件相結(jié)合的方式，通過(guò)身份認(rèn)證、安全域控制等方法，從源頭上保證接入網(wǎng)絡(luò)的終端可信，并控制可信計(jì)算機(jī)的訪問(wèn)權(quán)限，為運(yùn)營(yíng)商的終端接入安全管理提供有效的保障，規(guī)避由于非可信終端的隨意接入而可能帶來(lái)的運(yùn)營(yíng)商網(wǎng)絡(luò)及信息資源違規(guī)占用、病毒木馬泛濫、企業(yè)資料泄密以及越權(quán)訪問(wèn)等諸多安全問(wèn)題。同時(shí)，系統(tǒng)應(yīng)支持集群式部署，能夠統(tǒng)一管理準(zhǔn)入設(shè)備，輕松掌控網(wǎng)絡(luò)邊界安全。

安全準(zhǔn)入系統(tǒng)能夠使運(yùn)營(yíng)商網(wǎng)絡(luò)終端的接入安全得到強(qiáng)制提升，保證運(yùn)營(yíng)商網(wǎng)絡(luò)保護(hù)機(jī)制不被間斷，有效提升網(wǎng)絡(luò)安全。與此同時(shí)，基于設(shè)備接入控制網(wǎng)關(guān)，還可以對(duì)于遠(yuǎn)程接入企業(yè)內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行身份、惟一性及安全認(rèn)證。

4.2 智能規(guī)則生成

通常情況下，終端用戶的敏感數(shù)據(jù)很難保證非常嚴(yán)格的管理，管理員也無(wú)法確認(rèn)這些敏感數(shù)據(jù)的分布位置以及使用人員、使用方式，這就造成了較高的數(shù)據(jù)泄密風(fēng)險(xiǎn)。如果管控不及時(shí)，泄密風(fēng)險(xiǎn)將進(jìn)一步上升。若大規(guī)模采用人工方式篩選過(guò)濾，將帶來(lái)巨大的工作量，而且難以保證效果。因而，通過(guò)一種自動(dòng)化的軟件程序來(lái)協(xié)助用戶創(chuàng)建數(shù)據(jù)管理模式是非常必要的。

數(shù)據(jù)防泄密平臺(tái)需要提供對(duì)數(shù)據(jù)進(jìn)行智能梳理的智能化工具軟件，以實(shí)現(xiàn)數(shù)據(jù)發(fā)現(xiàn)及數(shù)據(jù)分類(lèi)分級(jí)的規(guī)則整理。工具軟件在文檔聚類(lèi)過(guò)程會(huì)自動(dòng)根據(jù)評(píng)判分?jǐn)?shù)排序區(qū)分度高的特征詞，實(shí)現(xiàn)樣本的分析、整理及選擇特征詞等任務(wù)，并最終導(dǎo)出敏感信息規(guī)則。

智能規(guī)則生成的工具以獨(dú)立軟件的形態(tài)來(lái)使用，支持WindowsXP、Windows7/10 32位/64位等主流操作系統(tǒng)，生成的規(guī)則直接導(dǎo)入到數(shù)據(jù)防泄密平臺(tái)啟用。

4.3 敏感數(shù)據(jù)智能識(shí)別

系統(tǒng)在每個(gè)被管理的終端上安裝數(shù)據(jù)泄漏防護(hù)客戶端軟件，且能夠根據(jù)分類(lèi)分級(jí)策略，自動(dòng)在終端后臺(tái)靜默掃描識(shí)別所有文檔數(shù)據(jù)，根據(jù)企業(yè)內(nèi)部定義的不同密級(jí)進(jìn)行分類(lèi)分級(jí)保護(hù)，并將掃描事件結(jié)果回傳給服務(wù)器[2]。

4.4 分類(lèi)分級(jí)自動(dòng)加密

系統(tǒng)對(duì)掃描識(shí)別出來(lái)的敏感數(shù)據(jù)進(jìn)行分類(lèi)整理（定義密級(jí)）。根據(jù)分類(lèi)分級(jí)內(nèi)容識(shí)別策略與加密策略的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)終端掃描出的敏感數(shù)據(jù)自動(dòng)加密，系統(tǒng)掃描出來(lái)的最重要的數(shù)據(jù)使用高法則的加密技術(shù)進(jìn)行加密，同時(shí)只有指定的用戶具有解密的權(quán)限；而系統(tǒng)掃描出來(lái)的次重要的敏感數(shù)據(jù)會(huì)自動(dòng)調(diào)用次加密法則進(jìn)行加密，使數(shù)據(jù)在企業(yè)內(nèi)安裝了客戶端的終端上都能查看，起到防泄密的功能，當(dāng)有需要外出的數(shù)據(jù)時(shí)必須通過(guò)審批系統(tǒng)進(jìn)行審批才可以打開(kāi)查看，否則看到的只是加密后的密文數(shù)據(jù)。

4.5 手動(dòng)加密

對(duì)用戶自行創(chuàng)建的文件可以由用戶自行完成對(duì)該文件的加密保護(hù)。且可以選擇不同的加密密級(jí)給相應(yīng)的文件實(shí)行加密[3]。

4.6 密文權(quán)限管控

加密文件具備靈活的權(quán)限控制，包括：讀、寫(xiě)、另存、拷貝、截屏、脫密等。加密文檔的權(quán)限可與文檔密級(jí)銜接，實(shí)現(xiàn)靈活管控，具備相關(guān)權(quán)限的用戶可使用和流轉(zhuǎn)加密文件。

4.7 文件審批系統(tǒng)

如用戶需要將文件外帶，需發(fā)起文件外帶請(qǐng)求審批；系統(tǒng)將會(huì)把文件推送至審批人處，審批人核實(shí)請(qǐng)求文件內(nèi)容是否屬于可外帶范圍；如確為可外帶文件，則審批人同意該審批請(qǐng)求，文件自動(dòng)流轉(zhuǎn)到發(fā)起人處；否則，拒絕發(fā)起人的要求。

為滿足實(shí)際工作中對(duì)時(shí)間和效率的要求，系統(tǒng)需具備自動(dòng)審批功能和備用審批、委托審批、臨時(shí)授權(quán)等特色功能。

4.8 明文外發(fā)要求

支持文件審批外帶管理，外帶的加密文件，需經(jīng)過(guò)流程審批后才能夠?qū)⒚芪霓D(zhuǎn)換成明文，進(jìn)行外帶后使用，否則非法外帶為密文。能提供自審批功能、審批者審批、協(xié)同審批等功能。

4.9 移動(dòng)存儲(chǔ)介質(zhì)安全管控

鑒于移動(dòng)存儲(chǔ)設(shè)備的隨意使用將造成資料外泄等安全隱患，需要對(duì)U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行生命周期（注冊(cè)、授權(quán)、使用、掛失與取消掛失、注銷(xiāo)）管控，而且要求支持市面上常見(jiàn)的絕大多數(shù)USB移動(dòng)存儲(chǔ)設(shè)備。

4.10 文檔溯源

可以實(shí)現(xiàn)對(duì)的加密文檔的追蹤溯源管理，即當(dāng)用戶A加密文檔時(shí)，系統(tǒng)會(huì)自動(dòng)生成惟一ID加載至文檔中，并將相關(guān)日志信息存儲(chǔ)至服務(wù)器，該信息對(duì)用戶為不可見(jiàn)，當(dāng)用戶A將加密文檔傳送到用戶B并在該終端打開(kāi)時(shí)，系統(tǒng)可以再追加一個(gè)隱藏標(biāo)簽，以此類(lèi)推，從而實(shí)現(xiàn)對(duì)文檔的產(chǎn)生、流轉(zhuǎn)、分發(fā)、使用全過(guò)程的跟蹤，追溯敏感數(shù)據(jù)流轉(zhuǎn)過(guò)程。

4.11 終端管理系統(tǒng)

（1）打印文件審計(jì)。終端用戶在打印加密文件時(shí)可審計(jì)打印文檔名、IP用戶名稱(chēng)等信息，亦可將打印內(nèi)容會(huì)傳送到服務(wù)器記錄，供審計(jì)使用。

（2）遠(yuǎn)程桌面。管理員可以通過(guò)控制臺(tái)或工具遠(yuǎn)程控制目標(biāo)計(jì)算機(jī)。當(dāng)目標(biāo)計(jì)算機(jī)收到訪問(wèn)請(qǐng)求時(shí)，提示用戶是否允許被遠(yuǎn)程，用戶允許后，管理員就能夠通過(guò)控制臺(tái)通過(guò)VNC協(xié)議遠(yuǎn)程到對(duì)應(yīng)的終端機(jī)器上。

（3）上網(wǎng)行為審計(jì)（HTTP管控）。終端用戶的上網(wǎng)行為可以被審計(jì)和管控；管理員可以通過(guò)日志系統(tǒng)查看各個(gè)用戶的HTTP管控日志。

（4）客戶端通信控制（IP端口控制）。IP端口控制能夠從目的IP、端口、協(xié)議、數(shù)據(jù)包四個(gè)維度進(jìn)行全方位的隔離，允許或禁止訪問(wèn)目的主機(jī)。

（5）硬件資產(chǎn)審計(jì)。用來(lái)管理PC端的硬件資產(chǎn)信息，具體內(nèi)容包括計(jì)算機(jī)名、IP地址、關(guān)聯(lián)用戶、CPU、內(nèi)存、硬盤(pán)、收集時(shí)間、所屬組等信息。

4.12 網(wǎng)絡(luò)安全管理

（1）應(yīng)用程序外發(fā)管控。系統(tǒng)對(duì)指定的應(yīng)用程序外發(fā)工具（RTX/MSN/飛秋/飛信）的附件進(jìn)行外發(fā)管控。外發(fā)管控策略的手段包括：明文發(fā)送、加密發(fā)送和禁止發(fā)送。

（2）HTTP協(xié)議外發(fā)加密。將連接互聯(lián)網(wǎng)的終端使用HTTP外發(fā)的敏感文件進(jìn)行加密，限制可以上網(wǎng)的終端向非安全環(huán)境傳輸敏感文件。

（3）禁止應(yīng)用程序網(wǎng)絡(luò)連接。通過(guò)定義黑白名單的方式控制應(yīng)用程序在應(yīng)用層是否可以訪問(wèn)網(wǎng)絡(luò)。可通過(guò)應(yīng)用程序、IP地址、協(xié)議、端口等維度進(jìn)行管控，禁止或允許某些應(yīng)用程序使用網(wǎng)絡(luò)連接。

4.13 外部設(shè)備管理

系統(tǒng)可以實(shí)現(xiàn)對(duì)終端PC用戶通用型外部設(shè)備的實(shí)時(shí)開(kāi)啟或者關(guān)閉的管理。包括：網(wǎng)絡(luò)適配器、無(wú)線Wi-Fi、藍(lán)牙、USB、3G網(wǎng)卡、鍵盤(pán)、鼠標(biāo)、SCSI/RAID控制器等常見(jiàn)的硬件外設(shè)的管理。

4.14 日志記錄

加密系統(tǒng)可根據(jù)相應(yīng)的設(shè)置策略自動(dòng)收集相關(guān)的日志信息，包括但不僅限于：系統(tǒng)運(yùn)行日志、程序升級(jí)日志、客戶端安裝/卸載日志、客戶端上下線日志、賬號(hào)登陸/綁定日志。

5 結(jié)束語(yǔ)

通過(guò)建立一套可隨時(shí)隨地檢索發(fā)現(xiàn)企業(yè)內(nèi)部終端是否存在敏感數(shù)據(jù)的大數(shù)據(jù)分析挖掘平臺(tái)，達(dá)到對(duì)敏感數(shù)據(jù)可發(fā)現(xiàn)、可判斷、可控制的一體化管理體系，針對(duì)客戶信息的敏感數(shù)據(jù)進(jìn)行全流程的管控，對(duì)于企業(yè)是非常必要的。