基于零信任的國產化系統郵件保密檢查平臺的研究與實現

吳少華，卞信東，吳江煌

（廈門美亞億安信息科技有限公司 福建 廈門 361008）

0 引言

國內數字經濟飛速發展，掀起了企業數字化轉型的浪潮。在此過程中數據失泄密的問題日漸凸顯，電子郵件首當其沖成了泄密事件高發的渠道，每封郵件的傳遞均有可能打開潘多拉魔盒。由于郵件失泄密造成的危害往往不可估量，越來越多的企業開始未雨綢繆，定期的郵件保密檢查無疑是不二之選。

同時，自網絡強國戰略和國家大數據戰略實施以來，企業的數據安全建設工作穩步開展，《信息安全技術-網絡安全等級保護基本要求》（簡稱等保2.0）和《數據安全法》等法律法規均對企業的數據安全提出了合規化要求。此外，數據安全建設強調要秉持自主可靠可控的思想，這樣才不會被國外技術“卡脖子”。故而研究數據安全管控方案下的國產化郵件保密檢查平臺對于促進數字經濟的健康發展具有重要意義。

1 研究現狀

保密工作重于泰山，對于郵件保密檢查技術的研究長期以來均是困擾著業界的難點，特別是在當前數字中國建設乘勢而上的新背景下，傳統的檢查手段已經不能完全適應安全保密工作的新需求。

具體來看主要包含以下4大問題：首先，檢查過程中不能保證待檢郵件數據的傳輸和使用安全，無法滿足“文件不落地”等數據合規高級別要求，存在二次泄密的風險。其次，現有的檢查手段發現郵件失泄密隱患的能力還有欠缺，尤其是在圖像密級識別、多重嵌套復雜文件密級識別上無法做到全覆蓋。再者，不能對檢測到的違規行為進行深入的復盤取證，缺乏有效的郵件失泄密追蹤溯源手段。此外，現有的郵件保密檢查方案普遍對國產系統支持不友好，而國產化涉密計算機主要安裝的是國產自主操作系統，如中標麒麟或者中科方德的操作系統，相應保密檢查工具開發滯后的問題亟需解決。綜合來看，此項研究工作依舊任重道遠。

2 用微隔離構建零信任

除了數據安全法規的約束，數據的價值也讓企業重新審視數據的使用問題，《經濟學人》早在2017年就撰文稱數據是未來的石油。正因如此“數據不落地”逐漸成為企業選擇保密檢查產品時的重要考量指標，即數據的流轉需要接受嚴格的策略管控，以確保數據的傳輸、使用、存儲安全。而作為新一代網絡安全防護理念中的翹楚，零信任能夠很好地應對此類挑戰[1]，并且該理念與等級保護思想及等保2.0技術要求高度契合。

簡單來說，零信任是一種安全模型，采用“持續驗證+動態授權”模式構筑起企業的網絡安全基石。基于零信任理念，該設計方案借助微隔離技術創建一種以數據為中心的全新邊界，并通過身份權限管理技術來達到保護數據的目的。微隔離和身份權限管理均是零信任安全架構的核心技術，前者用于保障企業內部服務器相互訪問時的東西向網絡安全，后者則對企業內部所有數字實體進行唯一資源標識身份化處理。毫無疑問，有了零信任的加持，數據隔離和管理均將變得更加輕松高效。當然，需要指出的是本文涉及的零信任更準確的定義為針對郵件保密檢查業務的局部零信任。用微隔離實現的局部零信任網絡拓撲，如圖1所示。

圖1 用微隔離實現的局部零信任網絡拓撲

對于主流的個人郵箱和企業郵箱，檢查平臺可以通過郵箱賬號及授權信息將郵件數據導回到存儲服務器，自建郵件系統的數據由企業提供。可以看到，通過這套機制成功實現了郵件數據所有權和使用權的分離。

3 郵件保密檢查的關鍵技術

郵件保密檢查平臺的整體邏輯架構，如圖2所示。其中，數據分析層相當于核心大腦，郵件信息會在這里完成各類加工處理，平臺依據分析結果進行綜合的研判，業務功能層是通過UI方式最終呈現給用戶的功能集合，公共體系則作為系統運行的基礎組件，旨在確保各模塊穩定運行。

圖2 郵件保密檢查平臺的整體邏輯架構

3.1 安全磁盤無痕檢測

在數據合規領域，凡是有固定載體、不會瞬間消失的持久化數據均是落地數據，如存儲在硬盤上的數據。與之相對，使用完畢就會消失的數據就是不落地數據，如存儲在內存中或在網絡中傳輸的數據。傳統的郵件保密檢查方案會將郵件內容全部提取到本地磁盤，檢查結束后再進行刪除。在這種方案中刪除的郵件很容易通過恢復技術進行數據還原，從而造成數據泄露的風險，很明顯這與保密檢查的宗旨不相符，尤其是數據安全備受關注的當下看起來無疑是格格不入的。本文設計了一種安全磁盤[2]，主要的處理模塊如圖3所示，其核心原理是借助虛擬磁盤技術來實現郵件的無痕檢測，有點類似惡意程序經常用到的無文件內存無痕攻擊技術。

圖3 安全磁盤的主要處理模塊

保密檢查期間，技術人員會在負責檢測的計算機內存中設置安全磁盤，然后經過身份驗證和郵件數據服務器建立連接，郵件內容經由自定義網絡協議獲取，加密后被寫入創建的安全磁盤，郵件檢查平臺會自動開始對已寫入安全磁盤的數據進行保密檢查，待完成所有的保密檢查任務后卸載用到的安全磁盤。加密采用的是國密算法，郵件內容由速度快的ZUC序列算法進行加密，相關密鑰隨機生成并通過SM2非對稱算法公鑰加密后保存。這個過程中，安全磁盤的數量并不是固定的，會依據當前計算機的內存容量和待檢測郵件的數量級進行動態創建，并有專門的調度模塊進行分配管理，是為了達到平臺檢測速率和郵件的網絡傳輸速率相均衡。

3.2 深度學習OCR圖像識別

隨著信息量的急速膨脹，電子郵件中的圖片越來越復雜，并且通過移動設備拍攝的圖片占比逐年遞增，這類圖片很容易受到外界環境的干擾。傳統OCR技術在識別時就遇到了不小的瓶頸，效果常常不盡如人意。

通過深度學習進行OCR識別，數據集的關鍵性不言而喻，由于保密檢查這一特殊的應用場景，目前主要還是借助人工合成的方式生成大量包含密級關鍵字的數據集，相應的關鍵字會根據具體的落地項目進行補充擴展，力求達到最佳的識別效果。而在算法處理層面，主要分為以下步驟：1）文本檢測，即定位文字的區域；2）文本識別，對定位好的文字區域進行識別；3）文本矯正，對識別到的文字進行NLP糾錯。

圖像文本檢測中，水平文字的檢測采用CTPN，傾斜文字的檢測則采用Seglink，二者的思路類似，均是先檢測出文本的一部分后再連接成文本區域。在文本識別階段，該模型基于卷積神經網絡（convolutional neural networks，CNN）+LSTM+CTC來構建。其中，CNN負責提取圖像的卷積特征，并經由LSTM進一步提取圖像卷積特征中的序列特征。這里LSTM主要為了解決長序列訓練過程中的梯度消失和梯度爆炸問題，相比普通的RNN，LSTM能夠在更長的序列中有更好的表現。CTC用于解決輸入和輸出序列長度不一、無法對齊的問題，它扮演著模型中的損失函數[3]。CTC訓練對應的最小化目標函數如下，在訓練集S={(x,z)}中，x是經過CNN計算得到的特征，z是OCR字符標簽，為神經網絡，實現了一個映射函數，其公式可表示為

最后，利用語義信息提升OCR識別的準確率[4]，需要預先設定置信度來表征識別錯誤的可能性，置信度低的文字才進行糾錯處理，糾錯方案是基于密級關鍵詞表設計的，該方案對于保密檢查來說效果較好。

3.3 郵件頭線索信息挖掘

一般情況下，普通用戶在收發郵件時很少會去關注郵件消息頭，郵件客戶端展示出來的只是其中的冰山一角。諸如Received、Return-Path、DKIM、DMARC、Content-Type、Message-ID等消息字段包含有大量的信息，這些信息更值得深入挖掘。

在本文設計的方案中，為了優化郵件保密檢查的速率，技術人員會對垃圾郵件進行過濾，為了確保取證結果的真實可信，還需要對郵件的真偽進行判別，此類問題均可以進一步轉換成基于郵件頭的郵件分類問題。由于分析的是海量級別的郵件數據，考慮用機器學習來處理[5]，這里用到的是樸素貝葉斯分類，相應的分類器表達式可表示為

式中：y為類變量；X=(x1，x2，x3，…，xn)是依賴特征向量，也就是郵件頭中的各消息字段項特征。需要用到類變量y的所有可能值計算概率，選擇其中概率最大者作為分類的標簽。

而對于郵件的失泄密溯源，消息頭的Received字段至關重要，它詳細記錄了郵件的傳輸歷史和郵件傳輸經過的節點信息，即每臺接收到郵件的服務器IP和機器信息。能夠方便識別郵件來源、判斷郵件轉發路徑等，從而在檢測結果研判階段更好地進行取證復盤。

3.4 國產操作系統兼容適配

“推進保密科技創新，發展自主安全可控產業”一直均是保密工作的要求，核心技術受制于人，會從根本上動搖安全保密的防護基礎。在開發郵件保密檢查平臺的過程中，國產化系統上的軟硬件兼容和適配是核心的關鍵技術問題[6]，花了大量的時間進行調試處理。由于技術指標的考慮，如速度、效率、硬件調用、并行計算、圖形計算、加密算法等，項目最終確定采用C/C++進行開發，Windows下的一些C/C++算法庫在遷移時經過了一些簡單重寫，至于Java開發的部分則通過jar包方式完成調用，界面部分選擇跨平臺友好的QT。規劃時要盡量考慮通用的方案，才不至于實施后倍感舉步維艱。處理器上需要適配龍芯，而像數據庫這些需要適配達夢數據庫等，很多時候均是摸著石頭過河，網上可參考的資料寥寥無幾。另外，鑒于國產系統環境的開發目前限制還比較多，設計人員在第三方類庫上盡可能選擇開源項目，有源碼在手會更容易排錯，如果動態庫不可用，那就只能選擇靜態編譯的方法，對于那些提示系統GCC版本太低而又無法升級的情況，也可以打造相應的國產中間件進行支持。

簡單來講，軟件國產化工作應該強調硬件和軟件的協同發展，這有利于在開發者和用戶之間形成持續的正向反饋，促進國產處理器軟件生態的發展。同時要注重培養國內的開源社區，腳踏實地慢慢形成國產化軟件開發的環境和氛圍。

4 效果評價

按照前文論述的設計方案，進行了相關的編碼實現，并在測試環境中完成了局部零信任網絡的部署。由于采用了微隔離技術及安全磁盤無痕檢測技術，郵件的數據安全得到了極大保障。相關人員會對失泄密場景中的郵件進行各類數學統計，如以郵件收發頻率、直接關聯收發關系、郵件IP分布等，并以可視化圖表進行展示。在排除掉篡改郵件后，各類郵件數據的處理結果會匯入數據分類模型來做進一步判斷，這些挖掘的信息為失泄密郵件快速溯源和流轉脈絡梳理提供了強有力的支撐，具體的分析結果可以方便導出為DOC和RTF格式報告。另外，該郵件保密檢查平臺在性能和效率上也有著不俗表現。綜合來看，此方案在探索踐行保密分級保護制度及數據安全法規上走在業界的前列。

5 結語

本文提出的基于局部零信任的郵件保密檢查方案能在保證高質量失泄密檢測的同時兼顧好數據合規這一新的需求，為企業日常的保密工作提供了強大的技術手段支撐。在下一步的工作中，將致力于拓展可適配的國產操作系統版本，并且加大對郵件文本意圖分析技術的研究投入，將其作為多模密級關鍵字匹配的補充，以期挖掘更加隱秘的郵件失泄密情形。