■ 中国石油大庆油田 王春伟
随着“互联网+”渗透到日常生活的各个领域,掌握国家经济命脉的央企在充分享受信息技术这把“达摩克利斯之剑”带来的红利同时,也面临数据泄露风险,特别是利用云计算、大数据构建的数据高度集中的信息基础设施,其脆弱性带来的风险不容忽视。习总书记在2014年就提出了“没有网络安全就没有国家安全”的指导思想。为适应日益严峻的网络安全形势,国家先后出台了《国家网络空间安全战略》、《网络安全法》等政策、法规,督促全社会,特别是央企加强网络安全建设,保护企业核心数据资产、健全管理机制、提高安全意识,采取有效措施降低敏感信息泄漏概率,提高企业核心竞争力。
一、央企数据泄露防护面临的主要问题
鉴于大部分央企的数据保护现状,数据泄露防护面临的主要问题可以归纳为管理缺陷和技术缺陷两个层面。
1.管理缺陷
从管理层面来说,企业数据泄露防护难度大的原因主要表现在以下三个方面:
第一,职能部门数据保护权责交叉,资源协调难度大。数据保护工作涉及生产、保密、信息等多个部门,覆盖数据全生命周期,包括数据生产、存储、分享、传输等。如何充分发挥保密部门的监管权力,调动业务部门的积极性,最大化利用信息部门的人员、资金、技术等资源,是央企推行数据安全防护工作,遏制敏感数据外发首要解决的问题。
第二,管理制度宣传覆盖面不足,贯彻落实不够深入。目前,大多央企已出台数据保护管理制度,但是由于体量庞大、组织复杂,将制度宣贯到每位员工的周期较长、困难较大。而且,央企对敏感数据泄露的处理主要依据企业内部制度,执行弹性较大,以警示和教育为主,使推进更为严格的数据保护工作面临较大阻力。
第三,员工数据保密意识薄弱,存在无意识泄密风险。央企部分员工尤其是下属分支机构的基层员工在工作中对查看或编辑的文件的敏感程度认识不足,常常为方便工作将涉密数据上传到网盘或者邮箱中,无意间造成数据泄露,这也成为当前央企敏感数据外泄的最主要方式。
2.技术缺陷
从技术层面来说,企业数据泄露防护工作存在以下三个方面的不足:
第一,部分央企未采取有效的数据泄露防护手段。数据泄露形势愈演愈烈,防火墙、反病毒软件、入侵检测等传统信息安全防护手段已难以独立应对,企业数据安全防护工作面临巨大挑战。在这种形势下,部分央企仍未采用更有针对性的基于内容的数据泄露防护技术,建立数据泄露防护体系来保障敏感数据安全。
第二,国外产品存在风险隐患。由于国内数据泄露防护产业起步较晚,一些央企在开展数据泄露防护工作初期,采用了国外的安全产品,这些产品可能存在漏洞和后门,易造成敏感数据二次泄漏的风险,“棱镜门”事件及“赛门铁克后门”事件正是这一风险的典型代表。
第三,国产化产品技术水平有待加强。2014年前后,国内网络安全厂商开始借鉴行业主流产品,结合国内数据保护特点,研发数据泄露防护产品,取得了一定成果。但是,产品的技术思想略显陈旧,无法满足企业更深层次的数据泄露安全防护需求。因此,未来有必要引入人工智能、大数据挖掘、机器学习等技术手段,提高策略设计精准度,提升事件分析效率,促进数据泄露防护技术朝着多样化、智能化的方向发展。
二、解决央企数据泄露情况的基本思路
为从根本上解决央企数据泄露问题,要根据国资委、国家保密局相关文件要求,按照“突出重点、分步实施、管技结合”的原则,在“治标”的同时还要“治本”,要从管理、标准、技术、意识等层面分别施策,做到数据泄露防护工作“有制度、有监管、有防护、有意识、有考核、有奖惩”。根据实际工作中的成功经验,以下解决思路可供参考。
1. 要走“顶层推动”路线
必须征得企业领导层对数据泄露防护工作的重视,清理工作界面,形成上至企业领导层、下至企业基层单位的常态化监管及汇报考核机制,颁布与数据泄露防护相关的管理制度,将防护工作纳入年度绩效考核,建立奖惩制度,对发生数据泄露的单位或个人保持零容忍态度。
2.要遵循“三权分立”原则
要统筹协调“保密”“业务”“信息”三类部门在数据泄露防护工作中的作用。以“业务”牵头,建立“数据泄露防护规则及奖惩标准”的“立法”方;以“保密”牵头,建立“监督、评判数据泄露”的“司法”方;以“信息”牵头,建立“常态化监测数据泄露”的“执法”方。三类部门各司其职,在擅长的领域坚持工作原则,即可保证企业数据泄露防护工作的有效开展和推进。
3.要建立标准规范
要制定覆盖企业敏感数据生命周期的操作规范和敏感程度分类分级标准,以“敏感标识”“数据标签”等方式在数据生产时建立敏感数据特征,对应用数据、存储数据、传输数据、销毁数据提供技术上和操作使用上的规范要求,将有意识、无意识的数据泄露行为边缘化、特例化。
4. 要采用有效技术防范措施
要结合成熟有效、自主可控的技术手段,按照《中央企业商业秘密信息系统安全技术指引》的规范要求,构建技术监管平台,实现对敏感数据产生、使用以及主要泄漏途径的管控,发现并精准拦截泄漏行为及敏感信息,追踪泄漏源头,为管理工作提供基础支撑和可靠抓手,要杜绝采用未经国家相关部门认证的技术及产品,防范二次泄漏发生。
5. 要抓住重点区域和重要途径
多数央企都具有独特的企业文化和特点,相似之处在于央企的分支企业自治程度普遍较高,差别之处在于行业不同,如医疗行业以科室划分部门等;发生数据泄露的情况,有的集中在总部机关,还有的集中在分支或基层单位。做好防护工作要抓住泄漏的重点区域和重要途径,如医疗行业日常工作任务较重,泄漏途径主要通过网络,就应加强网络端的泄漏防护;能源行业分布较广,泄漏途径较多,就应加强网络端、办公终端以及服务器端的泄漏防护。
6.要建设可靠的技术服务队伍
要建设稳定、可靠的技术服务队伍承担日常数据泄露防护监测任务,尽可能选择具有国家相关部门、政府或央企背景的安全服务队伍,稳定的人员团队和可靠的政治觉悟是防止第三方数据泄露的有效保证。
7. 要持续提高人员意识
要分类分批分层次地组织数据泄露防护方面的安全培训,宣贯国家相关法律法规、企业规章制度和标准规范,让各级管理者和员工知悉敏感数据泄露的危害和严重性,了解泄漏行为需要承担的法律责任和违规成本,促进企业人员数据保护意识的形成与提高,从而推进数据泄露防护工作的开展,有效遏制数据泄露行为的再次发生。
三、央企数据泄露防护的整体解决方案
数据的完整生命周期包括产生、存储、传输、应用和销毁等过程,根据多年从事数据泄露防护工作的经验,做好数据泄露防护工作就要从数据存储、网络传输和终端应用三方面部署防护产品,实现对数据泄露的有效监管。方案架构分为管理、应用和工具三层,防护设备部署在应用层,包括监测阻断设备(NDLP)、邮件数据泄露防护设备(MDLP)、针对使用代理服务器的数据泄露防护设备(WDLP)、存储扫描发现设备(SDLP)和终端数据泄露防护设备(HDLP);在管理层对所有的防护产品进行统一管理和配置;策略优化、数据分类分级和终端检测工具等作为辅助工具对整体方案的实施提供支持。数据泄露防护整体解决方案如下图所示:
制定数据泄露防护方案首先要明确,什么样的数据是敏感数据,即数据的分类分级,在明确敏感数据范围后,可以制定敏感数据防护策略,根据制定的策略对部署的防护设备进行配置,匹配策略的敏感数据外发事件上报管理员进行审计。防护工作同管理手段结合,实现对数据外发行为的综合管理。
1.敏感数据识别
由于国家法规和上级单位对数据安全的要求越来越高,我们提倡对数据分级进行保护。对于可以完全对外公开的数据,不需要任何防护措施;对于关系到企业生存发展的重要数据,应严格控制其存储位置、传输和使用方式。数据分类分级采用人工智能理论和机器学习技术,实现基于内容识别的关键数据发现,并根据数据分类自动分配指定密级,区别不同的业务类别和安全级别,使细粒度权限控制成为可能,实现电子定密和海量数据处理,从而根据关键数据的价值高低和风险高低来实施差别保护。
2.敏感数据防护策略制定
和传统信息安全防护不同,数据泄露防护主要是通过制定相应的策略,对数据内容进行识别来达到管控敏感数据外发的目的,这意味着策略的制定水平直接影响事件抓取和后续事件审计的效率。通过运用机器学习等技术手段,可以协助管理员制定高质量的策略,提高检测命中的准确率,同时用检测结果继续优化检测策略,形成策略定制、策略应用、策略优化的完整闭环,提升检测效率和准确度。
3.针对存储数据的安全防护方案
对于企业来说,定期对数据存储服务器上的数据进行梳理,及时发现重要数据资产分布,可以有效管控敏感数据,防止发生外泄。防护方案通过在数据中心部署敏感数据扫描发现设备,发现文件服务器、数据库、协作平台、web站点上泄漏或停留的敏感数据,实现对敏感数据的精确定位,然后重新定位、复制或隔离敏感数据。
4.针对网络数据泄露的防护方案
对于网络外发行为,可在网络出口处部署数据泄露监测设备,对外发的数据进行实时监测,分析流经网络的数据以便检测违反网络安全策略的敏感数据,及时阻止敏感数据外泄。除了采用传统的旁路监测阻断的部署方式,最新技术已经证明,将防护设备串接在目标链路中能够更加及时有效地对敏感数据外发行为进行监管,并且此方法不影响用户原有的组网结构,对用户上网体验几乎没有影响。
对于部署了邮件代理服务器、依赖邮件进行信息交互的单位和企业,可以针对性的部署邮件数据泄露防护产品,通过与邮件代理服务器联动,获取邮件中的文本信息并进行策略匹配,若邮件命中防护策略则可以选择对邮件进行阻止发送、重新定向或内容修改等操作。
对于部署代理服务器访问互联网的用户,可以不改变网络架构,通过防护设备与代理服务器联动的方式监测数据,对网络传输数据进行内容解析并进行策略匹配,实现敏感数据泄露事件的发现和阻断。
5.针对个人终端的数据泄露防护方案
个人终端也是敏感数据外发的高危环节,在办公过程中使用U盘、打印机、刻录机等外设进行数据拷贝或打印,或对涉密文档进行屏幕内容截取、外发时,极有可能造成机密信息的无意外泄。为解决以上问题,可以通过在终端安装数据泄露防护软件的方式,对外设端口的使用情况加以限制,除此之外,该软件还有限制截屏功能,通过对即时通信软件的文本输入框和桌面截屏功能加以限制,有效减少数据通信过程中的无意泄密。为方便用户管理个人终端中的数据,确保终端存储数据满足企业保密管理规定,终端数据泄露防护软件提供个人终端的全盘扫描,通过携带策略对个人终端进行扫描,发现敏感数据存储情况,及时处理没有保存权限的企业机密数据,减少数据外泄可能。
6.针对外泄事件全面的溯源方案
企业缺乏有效手段应对技术高超、过程复杂的APT攻击造成的数据泄露事件。通过基于全流量的数据溯源和分析技术,对2-7层的元数据分析建模,构建泄漏行为特征库,提供数据外泄事件的全周期回放,实现数据外泄全周期管理,包括事前的重要资产分析评估预防、事中的检测验证控制、事后的回溯分析处置,为企业数据泄露治理提供充分依据。
7.建立外泄事件响应机制
企业对于数据外泄事件的响应往往会延后很长一段时间,无形中扩大了数据泄露事件造成的影响和损失。通过部署防护设备,可以及时发现敏感数据外泄和违规存储事件及其关键信息,企业只需建立管理制度,积极对敏感数据外泄事件进行响应,及时阻止重要数据泄露,对涉密事件当事人按规定进行处理,将数据泄露带来的影响降至最低,提高员工保密意识,管控结合的解决企业数据泄露问题。
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。