目前,數據防泄露是信息安全的熱點問題。隨著網絡應用的飛速發展、Internet應用的日益廣泛,信息安全問題變得尤為突出。建立完善的數據泄露防護體系、保護核心資源,已迫在眉睫。鑒于目前內部局域網的現狀,可以針對數據存儲層和數據傳輸層進行加密,結合文檔和數據生命周期,對內部網絡分為終端、端口、磁盤、服務器、局域網四大區域,并針對數據庫、移動存儲設備、筆記本電腦等特例,統一架構,分別防護,實現分域安全。
一、數據泄露的主要威脅
電子文檔多以明文方式存儲在計算機硬盤中,分發出去的文檔無法控制,極大的增加了管理的復雜程度。影響文檔安全的因素很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結起來,按照對電子信息的使用密級程度和傳播方式的不同,我們將信息泄密的途徑簡單歸納為如下幾方面:
1.由電磁波輻射泄漏泄密(傳導輻射、設備輻射等)
這類泄密風險主要是針對國家重要機構、重要科研機構或其他保密級別非常高的企、事業單位或政府、軍工、科研場所等,由于這類機構具備非常嚴密的硬保密措施,只需要通過健全的管理制度和物理屏蔽手段就可以實現有效的信息保護。
2.網絡化造成的泄密(網絡攔截、黑客攻擊、病毒木馬等)
網絡化造成的泄密成為了目前企業重點關注的問題,常用的防護手段為嚴格的管理制度加訪問控制技術,特殊的環境中采用網絡信息加密技術來實現對信息的保護。訪問控制技術能一定程度的控制信息的使用和傳播范圍,但是,當控制的安全性和業務的高效性發生沖突時,信息明文存放的安全隱患就會暴露出來,泄密在所難免。
3.存儲介質泄密(維修、報廢、丟失等)
便攜機器、存儲介質的丟失、報廢、維修、遭竊等常見的事件,同樣會給企業帶來極大的損失,在監管力量無法到達的場合,泄密無法避免。
4.內部工作人員泄密(違反規章制度泄密、無意識泄密、故意泄密等)
目前由于內部人員行為所導致的泄密事故占總泄密事故的70%以上,內部人員的主動泄密是目前各企業普遍關注的問題,通過管理制度規范、訪問控制約束再加上一定的審計手段威懾等防護措施,能很大程度的降低內部泄密風險,但是,對于終端由個人靈活掌控的今天,這種防護手段依然存在很大的缺陷,終端信息一旦脫離企業內部環境,泄密依然存在。
5.外部竊密
國家機密、軍事機密往往被國外間諜覬覦,商業機密具備巨大的商業價值,往往被競爭對手關注。自古以來對機密信息的保護,都不可避免以防止競爭對手竊密作為首要目標。
二、數據泄露防護的實現方式
當前,數據泄露防護以動態加解密技術為核心,分為文檔級動態加解密和磁盤級動態加解密兩種方式。
1. 文檔級動態加解密技術
在不同的操作系中(如WINDOWS、LINUX、UNIX等),應用程序在訪問存儲設備數據時,一般都通過操作系統提供的API 調用文件系統,然后文件系統通過存儲介質的驅動程序訪問具體的存儲介質。在數據從存儲介質到應用程序所經過的每個路徑中,均可對訪問的數據實施加密/解密操作,可以研制出功能非常強大的文檔安全產品。有些文件系統自身就支持文件的動態加解密,如Windows系統中的NTFS文件系統,其本身就提供了EFS(Encryption支持,但作為一種通用的系統,難以做到滿足各種用戶個性化的要求,如自動加密某些類型文件等。由于文件系統提供的動態加密技術難以滿足用戶的個性化需求,第三方的動態加解密產品可以看作是文件系統的一個功能擴展,能夠根據需要進行掛接或卸載,從而能夠滿足用戶的各種需求。 File System)
2.磁盤級動態加解密技術
對于信息安全要求比較高的用戶來說,基于磁盤級的動態加解密技術才能滿足要求。在系統啟動時,動態加解密系統實時解密硬盤的數據,系統讀取什么數據,就直接在內存中解密數據,然后將解密后的數據提交給操作系統即可,對系統性能的影響僅與采用的加解密算法的速度有關,對系統性能的影響也非常有限,這類產品對系統性能總體的影響一般不超過10%(取目前市場上同類產品性能指標的最大值)。
三、數據泄露防護分域控制方案
在數據泄露防護方面,可以從不同角度來保證安全。單一針對某個局部的防護技術可能導致系統安全的盲目性,這種盲目是對系統的某個或某些方面的區域采取了安全措施而對其它方面有所忽視。因而,針對數據安全,我們采用分域控制方案,將整個網絡分為終端、端口、磁盤、內部網絡四種域,進而對各域的安全采取不同的技術措施。
1.終端
終端是指在接入內部網絡的各個操作終端。為了保證安全,可以從四個方面采取措施:
1. 針對研發類、技術類局域網終端,可以采用文檔透明加密系統加以控制。
2. 針對研發設計類之外的局域網終端,可以采用文檔權限管理系統加以控制。
3. 從局域網發往外部網路的文檔,可以采用文檔外發控制系統加以控制。
4. 針對整個局域網內部文檔和數據安全,可以采用文檔安全管理系統加以控制。
2.端口
局域網和外部網絡之間的網絡端口,局域網各個終端的移動設備接入端口,以及各個終端的信息發送端口,可以采用兩種方式加以控制:
1) 端口控制
對移動儲存設備、軟盤驅動器、光盤驅動器、本地打印機、數碼圖形儀、調制解調器、串行通訊口、并行通訊口、1394、紅外通訊口、wifi無線網卡、無線藍牙等進行啟用和禁用/禁止手機同步等。
應用端口控制技術,可以使所有從端口輸出的文檔和數據自動加密,防止明文出口。
2) 移動設備接入控制
通過對外部移動設備接入訪問控制,防止非法接入。
3.磁盤
所有的文檔和數據都必須保存在存儲介質上。存儲介質主要包括PC機硬盤、工作站硬盤、筆記本電腦硬盤,移動存儲設備(主要是U盤和移動硬盤)。對這些存儲設備的磁盤和扇區進行控制,主要可以采用磁盤全盤加密技術和磁盤分區加密(虛擬磁盤加密)技術。
1) 磁盤全盤加密
磁盤全盤加密技術(FDE)是目前已經非常成熟的一項技術,能對磁盤上所有數據(進行動態加解密。包括操作系統、應用程序和數據文件都可以被加密。通常這個加密解決方案在系統啟動時就進行加密驗證,一個沒有授權的用戶,如果不提供正確的密碼,就不可能繞過數據加密機制獲取系統中的任何信息。
2) 磁盤分區加密
磁盤分區加密,顧名思義,就是對磁盤的某一個分區(扇區)進行加密。目前比較流行的虛擬磁盤加密就是對分區進行磁盤級加密的技術。這種技術在國內比較多,一般用于個人級的免費產品。
相應的產品有文檔保險柜DocSec。
4.服務器
同樣是應用文檔級加密的數據泄露防護體系,針對服務器防護已有專門的產品。通常,用戶的服務器有資源服務器(文檔服務器等)和應用服務器(PDM、OA、ERP等服務器),對這些服務器,可以采用網關級產品來進行保護。部署實施文檔級安全網關之后,所有上傳到服務器上的文檔和數據都自動解密為明文,所有從服務器上下載的文檔和數據都自動加密為密文。
目前市面上唯一的一款專業文檔安全網關系統(DNetSec),由北京億賽通開發研制。
5.內部網絡
內部網絡主要由各個終端和連接各個終端的網絡組成。通過對各個終端硬盤和終端端口的加密管控,足以對內部網絡進行全面控制,形成有效的內部網絡防護體系。這種解決方案,其實是把磁盤全盤加密技術與網絡端口防護技術相結合,形成整體一致的防護系統。相應的產品有磁盤全盤加密防護系統(TerminalSec)。
四、數據泄露防護分域控制方案特例
基于動態加解密技術的數據泄露防護體系用途非常廣泛,并可以針對各個網絡域定制開發出相對應的產品。以下是數據泄露防護分域控制方案針對網絡域的幾種典型例子。
1.移動存儲設備
目前應用得最多的的移動存儲設備是U盤和移動硬盤。針對這兩種移動存儲設備,目前通常采用的是磁盤分區加密技術,對磁盤分區或者扇區進行加密控制,所有從內部網絡流轉到移動存儲設備的文檔和數據都會自動加密保護。市面上有成熟的產品如安全U盤(UDiskSec)和安全移動硬盤(EDiskSec)可以選擇。
2.數據庫
使用數據庫安全保密中間件對數據庫進行加密是最簡便直接的方法。主要是通過三種加密方式來實現:1.系統中加密,在系統中無法辨認數據庫文件中的數據關系,將數據先在內存中進行加密,然后文件系統把每次加密后的內存數據寫入到數據庫文件中去,讀入時再逆方面進行解密,2.DBMS內核層(服務器端)加密:在DBMS內核層實現加密需要對數據庫管理系統本身進行操作。這種加密是指數據在物理存取之前完成加解密工作。3.DBMS外層(客戶端)加密:在DBMS外層實現加密的好處是不會加重數據庫服務器的負載,并且可實現網上的傳輸,加密比較實際的做法是將數據庫加密系統做成DBMS的一個外層工具,根據加密要求自動完成對數據庫數據的加解密處理。
針對以上三種數據加密方式的不足,目前已經有全新的數據庫加密保護技術。通過磁盤全盤加密技術和端口防護技術,對數據庫的載體(磁盤)進行全盤加密和數據流轉途徑(端口)進行控制,從而實現數據庫加密保護。這種方式還能解決數據庫加密方案最常見的問題——無法對數據庫管理員進行管控。通過端口防護,即使數據庫管理員能得到明文,但是因為端口已經被管控,所以數據依然不被外泄。
目前市場上成熟的產品有北京億賽通公司的數據庫加密防護系統(DataBaseSec)。
3.筆記本電腦
硬盤生產廠商例如希捷、西部數據和富士通等都支持全盤加密技術,將全盤加密技術直接集成到硬盤的相關芯片當中,并且與可信計算機組(TCG)發布的加密標準相兼容。在軟件系統方面,賽門鐵克推出的Endpoint Encryption 6.0全盤版,以及McAfee的Total Protection for Data、PGP全盤加密和北京億賽通公司的DiskSec,都是不錯的選擇。
五、總結
信息系統安全需要從多方面加以考慮,需要研究整個內部網絡的安全策略,并在安全策略的指導下進行整體的安全建設。本文所介紹的是一個典型的分域安全控制方案,針對不同的網絡區域采用不同的技術手段進行實現加密防護。
