文/余亮 董晓露

前言

随着2020年7月3日《中华人民共和国数据安全法(草案)》的提出,保护数据资产,防止敏感信息泄漏已是企业依法必须完成的工作。目前,计算机和互联网已成为日常办公、通信交流和协作互动的必备工具和途径。如何在工作效率得到提升的同时保障企业内部数据存储和流转安全?希望本文能带给你些许启发。

一、背景

起初,企业一般通过内网和互联网的物理隔离来限制数据泄漏;但近年来,在国内外数据泄露事件中,由黑客窃取造成内部敏感信息泄漏的占比极少,绝大多数都是由于内部员工有意或无意的泄密行为导致。因此,数据防泄漏(DLP)逐渐变成企业内网安全的建设重点。要实现企业级数据安全,必须清楚企业数据的位置分布、运转流程,对数据资产分类分级,根据实际应用场景确定数据保护需求,通过管理制度和技术手段,建立完备的数据安全防护体系。

二、何为DLP以及DLP通用技术

DLP即“Data Leakage(Loss)Prevention 数据泄露防护”,最早兴起于国外,以基于内容识别的检测审计为主,关注内部人员无意识的数据泄密行为(切合Loss丢失之意)。DLP主要有以下两类通用技术:

  • 01 数据识别技术

为了能对文档数据进行防护,首先要对文档进行敏感信息的识别定位,根据法律合规要求以及企业内部策略,将数据进行分级分类;且无论数据的存储、复制或传输位置在哪里,都必须准确地检测出所有类型的敏感数据。主要采用正则表达式检测、关键字检测、文档属性检测等检测技术对文档中的敏感信息内容进行内容搜索和匹配。

  • 02 数据加密技术

数据加密则直接作用于数据本身,使得数据在各种情况下都能得到加密防护,即使文档泄露,只要加密算法这层保护壳不被破译,数据仍是安全的。

前期,数据识别和数据加密往往是两个分支,数据识别主要应用于企业,数据加密则大多服务于政府军工。但是随着大数据、零信任、云计算的发展,单纯的数据识别和数据加密都无法适应企业的各类场景。于是,越来越多的企业将数据识别和数据加密进行整合,通过数据识别进行数据发现,结合分级分类策略,再使用数据加密对敏感数据进行强制加密,最终形成具备智能发现、智能加密、智能管控、智能审计功能的一整套数据防泄露防护方案。

目前,DLP从应用范围上可细分为邮件DLP、网络DLP和终端DLP。其中,邮件DLP在企业广泛应用,基本部署在企业邮件出口,对企业外发邮件进行内容识别、合规监控审计。其次是网络DLP,主要部署在企业外联出口及企业内部,通过镜像网络流量的方式,进行网络数据的内容识别、合规监控审计,网络DLP依赖网络流量,对于大型企业较难全覆盖。终端DLP,顾名思义,是管理企业终端上的敏感数据。通过在终端部署客户端,先收集数据进行机器学习,结合数据管理部门的管理要求,形成适合企业的分级分类策略;再通过客户端,将分级分类策略和文档加密等结合,应用到终端数据的日常流转和存储中。

但实际工作中会发现,很多大型企业基本实施了邮件DLP和特定范围的网络DLP,却未全面部署终端DLP,究其原因,主要是终端DLP面向员工,管理对象为企业终端,而终端存在操作系统众多、终端类型复杂、文档使用场景又多样等情况,在落地应用时,易出现终端兼容适配困难、对日常办公影响较大而被用户抵触、运维成本太高等问题,导致大型企业望而却步,多持谨慎观望态度。因此,本文主要以包括各类文本、图片、报表、音视频信息等非结构化的电子文档数据为研究对象,探讨大型企业建设终端数据防泄漏(DLP)的方案。

三、终端数据安全技术方案

市面上终端数据防泄漏方案基本如下图所示,主要由文档扫描与分类分级、文档加密与权限管理、文档流转、审计分析四大块组成。

但是由于每一个大型企业,数据安全的管理思路都存在一定的差异,如在希望数据集中管理还是分支机构自行管理、跨部门的数据访问权限和数据外带的访问权限如何配置、终端离线时的数据权限又当如何管控等具体需求上都五花八门,这就导致市面上不存在一款通用的终端DLP产品,厂商需要结合每个企业的需求,量身定制,开发各类定制化功能,从而也一定程度上限制了终端DLP的发展。

笔者认为,对于存在分支机构的大型企业来说,终端DLP产品,最关键的就是部署架构的决策,部署架构一般分为集中式和分布式两种。

集中式部署,即将服务器都集中在一处进行部署管理,一个服务器集群支持所有终端业务需求。对于小型企业,集中部署结构简单,统一管理,运维成本相对较低。但对于大型企业,尤其是终端DLP这类终端与服务器实时交互的系统,集中部署的复杂度就会急剧攀升,需从资源存储、备份管理、性能瓶颈、系统高可用、应急处置等多方面做统筹规划。例如要求有健全的大数据存储方案,即对数据库提出了高要求,且数据库维护成本也不容小觑;当访问并发量大时,又很考验应用的稳定性和可用性,一旦出现问题影响面大。

分布式部署,即在各分支机构分别部署一套可独立运行的集群服务器。优点有对每个站点的服务器要求相对较低;某站点若出现问题影响面较小。但缺点也很显著,一是业务数据和审计数据分散存储,审计功能不够完善。二是各管控中心各自运维管理,尤其是服务器升级复杂,涉及多个环境,运维成本大大增加;三是各节点间数据同步需要占用较多的资源,容易出现数据不一致性的问题,跨节点的加密文档授权使用和操作日志审计实现难度较大。

因此,大型企业需根据实际使用场景,量体裁衣,决定其部署架构。

部署架构确定后,通过在终端上部署客户端,以终端上的文档为中心展开安全防护,包含文档生成、修改、复制、授权、流转、外发等全过程。围绕文档全生命周期,对终端数据进行发现、采集,通过深度内容分析和事务安全关联分析来识别和保护覆盖采集、传输、存储、处理、交换、销毁等阶段的数据,辅以全程日志和操作行为审计,通过发现用户异常行为,与其他安全产品作联动处置,确保数据安全全方位可控。

小结

最后,不得不提一个无法逃避的事实:无论DLP方案如何锲而不舍地防护所有与敏感数据交互的系统,也无法保证百分百数据安全,文档丢失或窃取行为仍会发生。但所幸企业自身可以通过不断完善保护数据本身的防护策略,实现最大程度的安全可控。那么如何制定行而有效的防护策略、兼顾安全性和可用性的难题,就有待企业安全管理人员在实践中不断摸索、更新、平衡了。

声明:本文来自DCSEC,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。