涉密環境下的非密辦公網敏感信息監控系統設計

◆武越 劉向東 周曉俊 石兆軍 李可

（中國航天科工集團第二研究院706 所 北京 100854）

目前出于信息安全的考慮，涉密單位通常建設兩套業務辦公網，一套為專門處理涉密業務的涉密辦公網，與互聯網物理隔離；同時，為了精簡涉密辦公網的網絡規模，涉密單位會同步建設一套僅處理日常公共事務的非密辦公網，將主要非涉密業務遷移至非密辦公網運行，包括出差申請、財務報銷、非密公文審閱、民用業務等。

涉密辦公網與非密辦公網之間原則上并行運行，相對獨立。但是，由于涉密單位的業務范疇在兩網之間難免存在重疊，因此會出現由于工作需要將某些數據信息由涉密辦公網導入非密辦公網的情況。由于涉密辦公網與非密辦公網之間物理隔離，一般通過人工刻錄光盤的方式進行兩網之間數據中轉，因此存在由于人為疏忽和失誤將涉密敏感信息引入非密辦公網的安全風險。

本文針對涉密單位對非密辦公網中的敏感數據檢測較為薄弱的安全防護現狀，開展敏感信息監控系統設計論證，對非密辦公網中可能存在的涉密敏感信息進行全方位檢測、識別和阻斷，確保非密辦公網中的數據信息安全可控。

1 非密辦公網安全現狀及分析

1.1 安全現狀

非密辦公網一般與國際互聯網邏輯隔離，具體劃分為以下功能區域：用戶終端區用于部署用戶終端、安全產品區部署安全防護產品、業務應用區部署應用系統。非密辦公網網絡結構如圖1 所示。

在安全防護建設方面，非密辦公網部署VPN 密碼機和防火墻實現網絡邊界的安全隔離與訪問控制，部署防病毒系統實現用戶終端及服務器病毒查殺，部署主機監控與審計系統實現對終端安全策略的配置和審計，在核心交換機旁路部署入侵檢測系統對所有網絡流量進行實時監測以及報警。

非密辦公網中的業務數據主要以兩種方式存在，一種以非結構化電子文件的格式存在，例如word、PDF 等；另一種以結構化格式依托于具體業務應用系統而存在，具有相對固定的數據格式。業務數據在網絡傳輸的過程中，數據內容通常在應用層進行協議封裝，包括使用HTTP 協議、HTTPS 協議和部分私有協議等。

圖1 非密辦公網網絡結構圖

1.2 安全風險

由于涉密單位的涉密辦公網和非密辦公網并行運行，兩網之間不可避免地存在大量信息交換，當業務信息在兩網之間傳遞的過程中，存在涉密信息由于人為操作失誤進入非密辦公網的安全風險。如果非密辦公網出現了存儲、處理、傳輸涉密信息的情況，將嚴重違反安全保密規定，后果極其嚴重。

同時，由于非密辦公網與互聯網邏輯隔離，如果非密辦公網中存在涉密敏感信息，將有可能導致敏感信息進一步通過邏輯鏈路擴散至互聯網造成敏感信息失控的局面，引發嚴重失泄密事件。

目前，傳統的防火墻、防病毒系統、主機監控與審計系統等安全防護產品無法對非密辦公網中的信息流量建立有效的內容審查機制，暫無較為有效的技術手段對非密辦公網中是否存在敏感信息進行監控、檢測、告警和阻斷，存在較高的安全隱患。

1.3 非密辦公網敏感信息監控需求分析

針對目前非密辦公網對敏感信息管控措施較為薄弱的安全防護現狀，亟需針對非密辦公網建設敏感信息監控系統，一方面及時發現非密辦公網中違規出現的涉密敏感信息，同時對非密辦公網與互聯網之間的跨網數據傳輸進行內容檢測和阻斷，從而保護敏感信息安全可控，避免出現失泄密事件。

通過建設敏感信息監控系統，將主要解決以下安全防護需求：

（1）對非密辦公網的全部信息流量進行監控，對非密辦公網中出現的涉密信息進行識別和告警；

（2）對非密辦公網與互聯網之間的跨網流量傳輸進行內容審查、識別和敏感信息阻斷；

（3）對檢測到的敏感信息流量提供有效的安全處置措施，避免敏感信息被非授權訪問和二次擴散傳播。

2 非密辦公網敏感信息監控系統設計

敏感信息監控系統主要分為數據特征離線生成工具、集中管理平臺和敏感信息監控網關三個組成部分。其中，數據特征離線生成工具負責在涉密辦公網中離線生成敏感數據特征庫，并將特征庫導入集中管理平臺；集中管理平臺負責制定相應的規則策略，并將規則策略下發至敏感信息監控網關；敏感信息監控網關依據集中管理平臺下發的規則策略執行數據檢測識別工作，發現并阻斷敏感數據，同時將安全事件結果反饋給集中管理平臺。

2.1 數據特征離線生成工具

由于涉密單位的國家秘密事項信息和涉密文件樣本均存儲在涉密辦公網中，因此，前期需要在涉密辦公網中借助數據特征離線生成工具，利用文件關鍵詞提取、文件指紋生成、機器智能學習等多種基于內容的感知與分析技術生成敏感數據特征庫。敏感數據特征庫由關鍵詞字典、涉密文件指紋和機器學習模型共三類特征組成。

（1）生成關鍵詞字典

提取國家秘密事項信息的關鍵詞，生成敏感關鍵詞字典。為避免由于將國家秘密事項關鍵詞字典導入非密辦公網造成二次泄密，借助密碼算法[1]對關鍵詞字典進行加密處理，保護關鍵詞字典數據安全。

（2）生成文件指紋

對于無法直接提取敏感關鍵詞的復雜涉密文件，通過指紋生成技術，對結構化數據和非結構化數據計算哈希值，生成文件指紋[2]，作為基于數據指紋技術進行敏感數據檢測的依據。

文件指紋的生成過程主要利用密碼算法實現，具不可逆特性[3]，因此可以有效防止在非密辦公網中通過文件指紋逆向反推出涉密文件原文的可能性，降低失泄密隱患。

（3）生成機器學習模型

以上討論的指紋技術和關鍵詞匹配技術原則上均基于已知的涉密文件，但對未知數據對象則無法實現處理，比如一份新生成的財務報告和系統中原有的涉密財務報告都不一樣，但確實也是一份涉密的財務報告。針對此種情形，采用機器學習技術[4]，通過對大量現有涉密文檔進行分析，最后抽取出同類文檔的共同特征，通過機器學習算法形成一個分類模型[5]，作為推斷未知數據是否涉密的判定依據。在下一個被處理對象到達的時候，按照同樣的方式進行特征抽取和模型對比，就可以判斷出被處理對象是否屬于涉密文件。

2.2.7 休息與睡眠 要保證患者在手術前得到充分休息，手術前晚家屬陪伴，減輕焦慮。完成手術前治療后，可給患者適量鎮靜劑，如艾司唑侖片，但用藥應在手術前用藥4 h以上，減少藥物協同作用，防止出現呼吸抑制狀況。

2.2 集中管理平臺

集中管理平臺負責制定規則策略，并將規則策略下發至敏感信息監控網關；同時對系統進行整體配置管理和安全事件收集，并對數據安全防護情況進行分析和展現，包括事件處理流程跟蹤、事件詳情查看等。

（1）制定規則策略

集中管理平臺依據敏感數據特征合理設置規則策略，作為敏感數據檢測的判斷依據。

基于關鍵詞的規則策略：通過關鍵詞對被處理數據進行對比分析，快速查找匹配的字符串。關鍵詞規則策略可通過正則表達式和“與”、“或”、“非”判斷進行邏輯組合，實現精確對比和模糊對比，并可通過對關鍵詞設置權重實現權重累加對比。

基于文件指紋的規則策略：對于沒有明確字符串匹配的數據，通過數字指紋技術快速得到被處理對象和指紋庫中文件的相似度，當達到系統預定義的相似度閾值時，就會觸發規則策略處理。

基于機器學習的規則策略：對于新的、并未出現在特征庫中的未知數據，依靠機器學習模型進行數據特征提取和模型分析，通過機器學習模型對未知數據進行分類判定。

通過集中管理平臺對系統發現的敏感數據進行定位、分析和評估，進行安全事件處理流程跟蹤、事件查看等，并對安全事件進行匯總統計和綜合展現。

2.3 敏感信息監控網關

敏感信息監控網關負責接收集中管理平臺下發的規則策略，并對經過敏感信息監控網關的數據流量進行解析和檢測。敏感信息監控網關一方面采用旁路部署模式，通過鏡像方式對通過網絡核心交換設備的數據流量進行監聽，及時發現網內涉密敏感信息；另一方面采用主路部署模式部署在非密辦公網的網絡邊界，對跨越網絡邊界的數據流量進行檢測，對敏感信息流量進行識別和阻斷。同時，敏感信息監控網關向集中管理平臺報送審計日志，供集中管理平臺進行安全事件綜合分析。

（1）網絡協議解析

非密辦公網的數據信息主要通過網內部署的業務應用系統進行數據傳輸，數據內容通常在應用層進行協議封裝。目前，非密辦公網的大部分應用系統使用通用的應用層協議，敏感信息監控網關會在應用層對數據流量進行解析和識別，達到檢測敏感信息的目的。

對于加密協議（如HTTPS 協議），敏感信息監控系統會首先將ⅠE、火狐瀏覽器中安裝的根證書導入至敏感信息監控網關，敏感信息監控網關在主路模式下利用根證書解析用戶端發送過來的數據，在完成數據內容解析后再模擬用戶端將數據轉發至對應服務器。

對于私有協議，目前敏感信息監控系統能夠處理傳輸層使用TCP協議的明文私有協議[6]，主要方式是將私有協議使用的網絡端口添加至敏感信息監控網關，敏感信息監控網關就能夠對私有協議內容進行分析。

（2）文件格式識別

非密辦公網中涉及主要的文件類型包括doc、docx、xls、xlsx、ppt、pptx、pdf、zip、rar、7z、txt、jpg、bmp、png、gif，敏感信息監控網關能夠對以上多種類型文件進行內容檢測。

對于圖片格式文件，通過光學字符識別分析[7]，提取圖片、紅頭文件掃描件、傳真頁、票據，表單等的文字敏感信息識別圖片格式文件的敏感信息。

當文件為多重壓縮的嵌套結構時，能夠對多重壓縮文檔中的文件內容和類型進行識別[8]。

（3）敏感信息阻斷

敏感信息監控網關將根據合規性檢測規則和機器學習統計模型對傳輸的數據進行檢測，當通過檢測規則或機器學習模型發現敏感信息存在跨網傳輸的情況時，監控網關會在網絡邊界對敏感數據流量進行定位和阻斷，確保敏感信息無法進一步傳遞，同時形成審計告警記錄并留存相關的文件或數據包備查。當網關完成敏感信息阻斷處置時，將發出提示信息告知用戶當前數據傳輸行為已被禁止。

4 非密辦公網敏感信息監控系統建設實施

在敏感信息監控系統具體建設實施的過程中，首先，在非密辦公網的安全產品區建設集中管理平臺，向敏感信息監控網關下發防護策略，并收集網關設備產生的安全事件日志；然后，在核心交換機旁路部署一個敏感信息監控網關，實現敏感信息全流量監控，同時在核心交換機到邊界防火墻的鏈路上以主路模式部署另一個敏感信息監控網關，實現非密辦公網與互聯網之間跨網傳輸信息的敏感內容檢測。

圖2 非密辦公網敏感信息監控系統建設實施示意圖

對于敏感信息監控網關的部署模式，如果直接采取主路部署模式，可能會由于策略設置不當造成誤報告警，出現阻斷正常數據流量的情況。針對此種情況，考慮到不影響業務使用的現實要求，對于系統的建設實施將分階段進行。在部署初期，通過集中管理平臺將規則策略下發到敏感信息監控系統網關設備后，暫時將網關設備全部采用旁路部署模式接入非密辦公網，僅對傳輸數據包進行抓取和分析，不做阻攔。每周對產生的違規告警記錄中留存的數據包和文件進行分析，根據分析情況不斷修訂完善規則策略。此過程需要伴隨系統使用過程不斷調整，實現最終將檢測誤報率降至合理預期范圍。

在部署試運行一段時間后，完成對非密辦公網傳輸數據所使用的主要協議、文件類型、以及用戶習慣的全面收集，在完成規則策略的階段性驗證和修訂、能夠做到最大限度避免誤報或漏報情況下，再將敏感信息監控網關串聯接入非密辦公網與互聯網之間的網絡邊界出口，根據最終的檢測規則對非密辦公網與互聯網之間的跨網數據傳輸進行監控和阻斷。

5 應用效果和后續建議

敏感信息監控系統建設完成后，一方面能夠對非密辦公網的全部數據流量進行監控，對非密辦公網中的涉密敏感信息進行識別和告警，同時能夠對非密辦公網的數據外發行為進行監控，及時阻斷敏感信息跨網傳輸，降低敏感數據泄漏風險，從而確保非密辦公網不發生失泄密事件，最終達到保護敏感信息安全的目的。

從建設實施的具體效果來看，對敏感信息監控系統后續工作提出以下完善建議。

（1）敏感信息監控系統在建設部署之前，需要先對本單位的涉密敏感信息涉及的關鍵詞和文件樣本等開展大量預先整理和歸納工作，才能為后續的敏感數據特征庫建立、文件指紋生成、機器智能學習等提供高效準確的原始信息，確保敏感信息監控系統真正發揮作用。以上工作需要涉密單位的相關科研業務部門給予大力配合，如果前期提供的原始文件樣本數據不夠準確，或者敏感文件關鍵詞或敏感信息內容過于簡略，將造成檢測規則不精確，降低準確性，增加誤報率，影響實際使用效果。

（2）敏感信息監控系統雖然能夠為敏感數據檢測提供一定的技術支撐，但是對于敏感信息監控網關檢測發現的敏感數據，需要具體業務部門和保密管理部門的人員進一步核實確認，該部分工作需要涉密單位相關部門與網絡運維部門協同配合，才能真正達到既不泄漏敏感信息、也不影響合法數據傳輸的目的。

（3）由于敏感信息監控系統的集中管控平臺中存儲了敏感數據特征庫等信息，該部分信息的數據安全也較為關鍵，應加強對系統存儲的敏感數據特征庫等信息的有效管控，避免因管理員和用戶非授權訪問而衍生出新的安全保密風險。

6 結束語

文本針對涉密環境下的非密辦公網中敏感數據檢測及監控措施較為薄弱的安全防護現狀，開展敏感信息監控系統設計，通過安全防護手段有效檢測并實時監控非密辦公網中可能存在的敏感涉密信息，并采取技術手段對非密辦公網與互聯網之間的跨網敏感信息傳輸行為進行有效識別和阻斷，從而確保非密辦公網數據安全，避免非密辦公網在運行過程中發生失泄密事件。