信息安全与数据泄漏防护DLP产品选型
1.信息安全现状概述
随着计算机、互联网以及企业信息化建设的深入,信息的交流和共享已经成为各企业自身发展必要的手段。而网络的开放性,在享受其高速发展所带来的大量的信息流通和前所未有的工作效率的同时,还伴随网络所产生的严重的信息安全问题。
常规安全防御手段往往局限于网关级别、网络边界(防火墙、IDS、漏洞扫描、入侵检测)等方面的防御、重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控,来自网络外部的安全威胁大大减小。相反,来自网络内部的计算机终端的安全威胁却是众多安全管理人员所面临的棘手的问题,实际情况是网络的大部分安全风险均来自于内部。
值得欣喜的是,网络安全得到越来越多人的重视,已经有许多企业在网络边界部署了防火墙,网络中安装了杀病毒软件,部署了入侵检测、身份认证、漏洞扫描等系统来防止外界威胁。然而,这些安全措施并没有对内网,尤其是没有对各个计算机终端进行有效监控,从而无法避免内部IT资源滥用、内部网络信息泄露、内部员工的故意攻击等问题,更不能对各种因内部因素产生的网络安全问题进行有效的预防、监控和审计。据国际权威机构CSI/FBI提供的统计数据,在众多的攻击行为和事件中,最主要的、最多的安全事件是信息泄漏事件;攻击者主要来自企业内部,而不是来自外部的黑客等攻击者;安全事件造成的经济损失最大的,也是最主要的是内部人员有意或无意的信息泄漏事件造成的经济损失。
国际安全界对近年来的攻击事件、攻击人群和主要企业和机构的经济损失的研究表明:
1. 在众多的攻击行为和事件中,最主要的、也是最多的安全事件是信息泄漏事件;
2. 攻击者主要来自内部,而不是来自外部的黑客等攻击者;
3. 安全事件造成的经济损失最大的,也是最主要的是内部人员有意或无意的信息泄漏事件造成的经济损失;
4.因黑客攻击造成的损失往往并不严重,是有限的,是可恢复和弥补的;信息泄漏事件造成的经济损失和带来的影响是不可挽回的,甚至是灾难性的;
5. 从关注程度来看,黑客攻击明显地被新闻媒体关注、炒作、宣传得过于玄乎,而信息泄漏事件往往不被人们所关注,没有引起企业主管领导、技术人员足够的重视和关注;
6. 从防范措施来看,针对外部黑客攻击的防范措施、解决方案、技术和产品已经有很多,甚至很成熟,而针对内部员工的失泄密行为,目前还缺少完善的解决方案。
2.信息安全隐患分析
随着计算机与网络系统的普及应用,内部泄密和内部攻击破坏已经成为威胁网络安全应用的最大隐患,人们经常听说或经历过各种各样的失泄密事件,机密文件、敏感信息、重要数据、设计图纸、配方、软件源代码等通过不同的途径、方法和手段流失到竞争对手和无关人员手中。内部人员可以轻松地从自己使用的计算机中复制机密信息,或者先从内部服务器下载机密信息,然后通过移动存储设备或者网络发送到组织外部,却可以不留下任何痕迹。内部人员可以在一个没有内网安全产品支撑的网络中,轻松地对服务器进行攻击,而不留下任何痕迹。如此等等,都给企业的健康发展埋下了隐患。内部泄密和内部攻击破坏已经成为威胁网络安全应用的最大隐患。在众多的内部网络安全威胁中,最主要和最应关注的有:
首先,内部人员或设备的主动或者被动泄密,泄密问题一直是内部网络的一个头疼问题,尤其是对于涉及国家机密或者事关企业生存和发展的核心秘密,如国防军队/军工单位和政府行政办公的有关信息、设计行业的设计方案信息、数据提供企业和商业企业的关键数据及公司战略竞争信息等等,都不可避免的需要在内部计算机和网络中产生、传输、存储、修改和应用,涉及到的人员、设备也比较多,因此泄密的危险性也比较大。泄密的途径,也主要有两个,一是人员,二是机器设备;从主观态度上来看,一种是无心的过失泄密,另一种则是蓄意的主动泄密行为。无论是什么形式的泄密行为,都将会给企业带来不可忍受的损失,有的甚至侵害到国家的安全、利益。
因此,我们需要对内部人员的计算机和网络操作行为进行规范,对网络内部的各种设备进行统一管理、授权。
其次,内部人员主动或被动的制造/传播病毒等恶意代码,在网络应用非常深入的单位,总会有一些对网络技术非常感兴趣的人员,这些人也许是有着某种目的,或者纯粹为了好奇,而制造、传播一些有病毒、后门等特征的恶意代码,这些代码如果不进行及时的处理,有可能会引起网络的混乱,使得部分甚至全部的网络资源不可用,从而影响单位的生产、办公。还有些人员或设备,在没有防备的情况下,中了内部或者外部“恶性病毒”的“招”,成为病毒攻击内部网络的“桥”,从主观上来讲,这些设备和人员是被动的,他们不知道已经被利用,然而他们的这些无意识行为也给网络运行造成了不良影响。
第三,非授权使用或者授权滥用
大部分单位都有管理制度来规范网络资源的使用,详细规定了某人或某机器在什么时间、什么地点做什么类型的事情。也就是说,区分了授权和非授权操作。但事实上实际情况往往不是这么简单。众多内网用户,会探测、尝试进入非授权的领域。例如某公司规定程序员在上班期间不许上网,但员工却能想出很多办法,在上班期间也能上网;还比如,某员工无权访问单位的业务数据库,他通过攻击、欺骗等等手段,获得了访问数据库的权限;至于网络资源滥用的实例就不胜枚举了:有权上网的员工,没有利用互联网去开展业务,而是在下载电影、玩游戏等等,非工作需要拷贝、修改公司的关键数据等等。大部分单位都想通过相应的制度来控制这些情况,然而实际效果却并不理想。非授权使用或授权滥用依旧是我们最头疼的。
第四,内部人员或者设备的主动或者被动攻击
从网络诞生的那一天开始,黑客就存在,发展到今天已经到了无孔不入的地步,而且还在进一步蔓延,许多黑客攻击行为已经不需要太多的网络攻击知识,只需简单的攻击程序和设置就可以实现。在内部人员和设备中,也不乏这样的角色,他们本身不具有很高超的攻击水平,而只是应用现成的攻击程序来实现“黑客”目的,主动或者干脆被一些真正的黑客利用被动的去攻击内部网络的一些目标。
黑客技术正在不断的迅速发展与变化,从一个漏洞发现到攻击代码实现,到蠕虫病毒产生,几年前可能是几个月甚至半年多,而现在几周甚至一天就可以完成。在微软发布MS04-011公告时,NGS的David在看到公告的8分钟后写出了攻击代码,Xfocus成员也在6小时内写出了通用的攻击代码。
第五,因安全管理不善,引发的IT资源不可用或者资源损失
这里的管理不善,主要是指没有一套科学的内部网络资源使用管理制度,或者制度执行不力。比如,我们规定在某一些工作计算机上,不能安装运行某些软件,可是还是有人安装了;对内部网络的IP/MAC地址,做了统一的部署,可是还是有人任意的修改;任意的将非本网络的设备接入内部网络;任意添加或删除各种硬件设备、修改网络属性等等,这些行为都应该得到彻底的规范。
第六,客户机自身存在安全缺陷,导致网络内部安全隐患
网络当中的客户机很多,终端的存在安全隐患容易导致网络安全事件。如客户机存在安全漏洞,可能会引发蠕虫病毒等威胁。如果配置不完善,则容易导致信息泄露甚至黑客攻击事件的发生。因此,维护每台客户机自身的系统安全性,也是应该予以考虑的。
3.防泄密产品现状
目前信息安全产品种类繁多,其中针对病毒黑客木马的产品比较成熟,但其技术设计思路多为“头疼医头、脚疼医脚”、“被动防御、亡羊补牢”类型,其效果往往不尽人意,防御的滞后性,被动地处在一个又一个“时间差”的不设防的危险之中,常常处于“失控-升级-失控”的恶性循环中,如杀毒软件、防火墙、入侵检测、木马清除等等均需要频繁升级以应付不断出现的新型病毒黑客木马。
3.1 服务器数据安全防护
针对防内部泄密的服务器数据安全防护基本上停留在登录服务器的身份认证的初级阶段,合法用户登录服务器之后,对服务器的操作主要依靠系统权限的控制,对服务器文件的共享、访问、阅读、编辑、拷贝和另存等操作缺少有效管控手段,对服务器数据库的安全防护更是薄弱环节。
常见的服务器文件访问控制系统是指文件存放在服务器上,设置访问权限控制,只有被合法授权的用户,才能按照被授予的权限使用电子文档。非法用户无法访问服务器。这类方案存在如下缺陷:
1、一旦获取一个文档,(哪怕文档所有者只希望这个人只能读取文档,而不能复制、转发文档),那么他就对这个文档拥有了所有的权限,即可以任意拷贝、编辑、删除、移动、外发、共享等操作。
2、无法使本地存储的涉密文件和新创建的涉密文件强制转存到服务器上,使本地不留涉密文件。
3.2 终端数据安全防护
针对防内部泄密的对终端数据安全防护的技术手段则要丰富的多,有软件产品,也有硬件产品。目前市场上常见的终端数据安全防护软件产品如主机安全监控审计系统、软件防水墙系统、内网监控审计系统、桌面安全管理系统、文档安全管理系统、终端安全管理系统、文件透明加密系统、磁盘加密系统、邮件监控管理系统、上网行为管理系统、打印监控管理系统、文件访问控制管理系统、文件共享监控管理系统、外来机准入控制系统、防U盘拷贝和防刻录系统等,如图:
这些产品均属于纯软件型产品,这类产品存在以下致命的缺陷:
1)只针对某些点面进行控制,不是系统的全面的数据安全保护解决方案。
2)采用“封堵”设计路线,失去了网络的便利性,限制了电脑功能,容易形成信息孤岛,影响工作效率,产生消极情绪。
3)客户端监控软件常常被杀毒软件等拦截而导致失控或异常,特别是存在反安装而失去控制的风险(如杀进程、删文件、格式化系统重装、Ghost还原系统、安装双系统)。
4)管理维护困难,陷于失控-升级-失控的不良循环的尴尬境地。
4.数据安全防护的硬件解决方案
终端数据安全防护的硬件解决方案,常见的有安全机箱、拆除部件和物理封堵端口、双网物理隔离、安装视频监控系统等。将电脑锁在安全机箱里,使得电脑使用者不能插拔网线,不能插U盘拷贝,不能用光盘刻录,不能插接各种外设,或者拆除光驱,用凝胶封堵或物理损坏USB端口等。由于上网可以有很多方法将文件发出去,所以必须断开互联网,与互联网物理隔离,杜绝一切上网外发的途径。
安装视频监控系统可以作为威慑非法活动。
如因工作需要上网,则去指定场所指定电脑上网;如需拷贝文件,则由管理员打开机箱,插U盘拷贝,拷贝完成后又上锁;如需电脑硬件维护或安装软件,则由管理员开锁操作。 这种解决方案,虽然安全,但方法简单粗暴,给工作带来了极大的不方便,只有在密级较高的场景采用。
5.一个典型的堵漏性的防水墙系统介绍
和传统的防火墙理念完全不同, 防水墙的设计理念,旨在防止内部涉密信息像水一样外泄,并为管理者提供一种有效的企业辅助管理工具;而防火墙的诞生是为了防范外部的病毒、黑客、木马的非法侵入。
防水墙系统功能包括防非法接入、防非法入侵、外来机准入控制、禁止脱网/离线使用本机、备份移动存储拷贝走的文件、当发生报警事件时自动抓图、自定义报警事件、上网行为控制、本机外设端口控制、违规外联控制、移动存储管理、特许U盘管理、硬件(硬盘/网卡/主板)控制、打印控制、系统安全配置、日志审计、远程屏幕监视、网站黑白名单、程序黑名单、共享资源控制、打印控制、外挂硬盘控制、软硬件资源审计、QQ/TM聊天控制、日志黑匣子等。
一个典型的堵漏型的防水墙系统如图:
6.主流产品——透明加密软件介绍
透明加密技术是一种保护单位知识产权的技术方法,能够对文件全过程实施自动加密保护。所谓透明加密,具有强制加密、自动加密、实时加密、动态加密、无感加密、无损加密和隐形加密的特点,在文件编辑和使用过程中,加密和解密是自动进行的,无需用户干预,用户实际上是无知觉的。透明解密不需要明文过渡,在磁盘上不生成明文。加密的文件一旦离开使用环境,无法打开或打开是乱码。透明加密从根源上解决文档安全问题。
透明加密技术由来已久,自2000年开始出现,已有近二十年的发展历程,发展到现在历经了三代技术,分别是基于API HOOK的第一代技术、基于文件过滤驱动(单缓存)的第二代技术、基于文件过滤驱动(多缓存)的第三代技术。第一代技术实现的透明加密技术,存在诸多弊端,如有时候HOOK不成功、容易被反HOOK、通过同样HOOK获取到明文、极易被报毒,在稳定性、兼容性和安全性上,离商业应用存在一定差距,很快被第二代技术取代。
采用第二代技术实现的透明加密技术,构成了当前文件加密保护的主流市场,但是这个技术有几个致命的问题,就是文件操作效率低下、容易损坏文件、极易造成系统蓝屏、和病毒防护软件不兼容,这主要是因为暴力刷缓存的操作引起。为了解决第二代技术的缺陷,自然想到采用多缓存的实现技术,称之为第三代技术。目前第三代技术大多停留在理论性讨论阶段,不过近来已有开发者声称完成了具体的实现。
尽管第三代透明加密技术从理论上能够克服第二代透明加密技术的缺陷,但无论是哪一种透明加密技术,都有一个共同的致命缺陷:都必须设置白名单程序规则,用以区别合法程序和非法程序,排除某些特定文件如配置文件等。
透明加密技术都是以进程作为控制对象,需要区别合法程序和非法程序,对于合法程序允许访问密文,并能自动解密,保存时能够自动加密保存,对于非法程序拒绝访问密文,或者文件打开后显示乱码,从而实现文件访问的安全性。而要区别哪些是合法程序哪些是非法程序,则需要设置白名单程序规则。白名单程序规则还包括每一个程序必须排除的不能被加密的特殊文件,如配置文件、许可证文件等不能被加密。
透明加密技术只能解决企业数据泄漏防护的一部分问题,不能满足全部需求,要结合应用层的各类防护,如某些编辑软件自身具有上网外发和云盘功能,需要加以控制,还要控制录屏、拷屏和截屏、文件水印、复制粘贴、文件另存为、外发、外拷、打印、刻录等,运用多种技术组合成为一个相对比较完整的方案。
另外,必须收集全部的常用软件,尽可能多的收集各行各业的专用性软件,在开发环境里安装测试分析,制定出准确无误的白名单程序规则,这是一项工程浩大且需要不断更新维护的艰巨任务。尽管透明加密技术存在这样那样的瑕疵,但与其他数据泄漏防护技术相比,仍不失为是目前为止最好的技术。
7.强制集中存储服务器的DLP方案
采用“疏导”而不是“封堵”的技术路线,区别于封堵型DLP产品,保证工作的最大自由度而又使数据始终处于安全保护中——是一种既方便又安全的解决方案。实现了程序无关性,文件类型无关性,无需关心用户电脑上安装了哪些应用软件,无需为设置白名单程序规则而苦恼,使得产品具有理想的兼容性和普遍适用性,最大限度地减少了售后服务工作量。
7.1独特的双模式切换设计
采用独有的双模式(双桌面)切换技术,即从安全工作模式与普通工作模式之间实时切换,既保证最大限度的工作自由,又保护信息不泄密,实现数字知识产权保护与自由上网兼得的效果。
(1)双桌面是指安全桌面与系统桌面,安全桌面与系统桌面的桌面显示完全一样,其所有操作习惯不变,系统设置和应用不变。
(2)安全桌面与系统桌面隔离,包括存储隔离、通讯隔离、进程隔离、访问隔离、操作隔离、端口隔离、外设隔离、网络隔离,同时又可以特例访问涉密信息系统。
(3)通过安全桌面去访问涉密信息系统,可以使“文件不落地、本地不留痕;文件出不去,出去即密文”,如因工作需要数据落地,则未经许可,不能以任何方式弄走安全桌面中的数据,达到数据二次分发控制的目的。安全桌面是被自动加密的,对使用者而言,加密是毫无知觉的。
7.2强制集中存储服务器的工作流程
(1)登录服务器身份认证
在客户机上输入服务器IP、登录用户和登录密码,提交服务器进行身份验证(此后本机硬盘上的涉密数据将全部转移至服务器即网络虚拟磁盘U:,本地磁盘上不能再创建或保存涉密数据)。
(2)进入安全工作模式
只要是涉密工作就必须登录到服务器,经过身份验证后,由服务器为客户机分配网络虚拟磁盘U、V、W。U为私有加密磁盘,V为小组共享磁盘,W为全局共享磁盘。采用独特的定向存储专利技术,使得客户机只能在网络虚拟磁盘U里工作,数据无法从U:里以各种方式转移出文件(即不能本地拷贝、内容拷贝粘帖、移动U盘拷贝、共享拷贝、文件另存、邮件外发、上网外发、QQ外发、微信外发、FTP外发、文件打印、双机对联、外来机接入)。
(3)退出到普通工作模式
点退出可从服务器安全工作模式切换到本机普通工作模式。一旦退出网络虚拟磁盘U,将强制关闭文件,清除内存,关闭磁盘U:V:W:,并恢复终端电脑至初始状态。
7.3功能特点
1、集中管控
一个能够将文件服务器和各种信息系统集成在一起,纳入安全桌面里进行集中管控的平台。用于有效保护一个企业及个人的数字知识资产不流失、不扩散、不泄密。数据强制集中存储在(云)服务器,或强制分布式存储在安全桌面里,数据只进不出,文件未经许可无法出去。
2、内外隔离
在客户机上创建一个安全桌面。安全桌面与系统桌面全面隔离,在安全桌面里访问的各种涉密信息系统,受到全面的立体式的安全防护。
3、内外兼防
安全桌面是一个立体防护的逻辑隔离的封闭式的安全工作空间,“防内又防外”——既防外部黑客木马窃密,又防内部人员无意泄密或有意窃密;既能防范病毒破坏,又能防范勒索软件入侵。
4、全程防护
安全桌面里对文件全生命周期进行保护。从文件创建、编辑、保存、传输、流转、拷贝、外发、归档、销毁的每一个环节都进行防护,达到“文件不落地、本地不留痕;文件出不去,出去即密文”的安全防护效果。
5、安全云办公
安全桌面系统可以集成各种信息系统如文件服务器、云盘、OA、ERP、CRM、HR等,在云办公领域具有广阔应用前景。随着云计算技术的进一步发展,不受时空限制的随时随地的云办公必将取代传统的办公模式。
8.安全云桌面的DLP方案
8.1.概述
将数据服务器+远程桌面主机+云终端三者构成一个安全闭环,实现对涉密文档进行集中存储、统一管理、文档备份、存储介质使用控制、防内部失泄密、防外部窃密、防非法内联、防非法外联、防病毒黑客木马、文件访问分级授权、系统管理分级授权、涉密操作日志审计。
在这个闭环内,数据流通和文件流转无碍,既有操作习惯和工作流程不变,未经许可,涉密文件无法以各种方式非法拷贝或转移出去(即对非法的本地拷贝、U盘拷贝、共享拷贝、文件另存、上网外发、文件打印、复制粘帖、鼠标拖放、屏幕拷贝、窗口截图、双机对联、外来机接入等行为进行控制)。一旦退出云桌面工作模式,终端不留痕迹。如图:
8.2.系统构成
任意终端(PC/笔记本/平板/瘦终端/云终端智能手机)+远程桌面主机+数据(文件)服务器,终端、主机和服务器均为标准产品,可自由选购各家产品。所谓通用终端,不仅指瘦终端机,还可以是零终端机(云终端)、平板、智能手机、移动笔记本、PC等。如图:
8.3.系统功能
SCDS系统功能模块包括共享服务器控制模块、Web服务器控制模块、主机控制模块、终端控制模块,实现了对终端、主机和服务器的安全控制,形成了安全闭环。
8.3.1终端控制模块
控制目标:远程桌面里的东西不能被非法拷出来。终端登录远程桌面进行正常工作,远程桌面与本地桌面隔离,远程桌面里的文件和数据不能以任何方式导出到本地。终端控制模块包括:禁止剪切板重定向、禁止终端磁盘重定向、禁止智能卡重定向、禁止COM端口重定向、禁止LPT端口重定向、禁止打印重定向、禁止音频端口重定向、禁止即插即用设备重定向。
8.3.2主机控制模块
控制目标:主机里的东西不能被弄出来。主机里的东西不能被弄出来。终端登录远程桌面进行正常工作,远程桌面与本地桌
8.4.系统特点:
(1)节约IT投入
(2)高安全性
(3)便于集中统一管理
(4)不改变原有网络结构
(5)不改变原来操作习惯
(6)适合新建局域网IT
(7)适合已建局域网IT升级扩容
(8)适合各种办公的工作场景
(9)适合各种源码开发工作环境
(10)适合各种图形设计工作环境