您现在的位置:首页>热点新闻

热点新闻

数据安全网关,为数据安全保驾护航

数据泄漏背景

 


随着信息时代向数据时代的过渡,移动互联网、虚拟化、云计算及大数据技术被广泛应用。在互联网向互联网+快速发展的环境背景下,使得网络中原始数据不断积累成海量,数据信息的交互也越发频繁。因此,具有行业特性的敏感数据面临了巨大的安全隐患,数据的泄漏除了会给企业、金融机构、政府等带来直接的经济损失以外,还会造成民众恐慌、信誉度降低、客户流失、社会形象受损等其他负面影响。回顾过去十年,企业信息泄漏事件发生的越来越频繁,并且在数据时代的背景下,企业也逐步意识到数据安全的重要性。在未来也会有更多的企业会采取网络技术手段来保护自身的核心数据。

 

 

什么数据才是敏感数据?

 


在不同的行业里,生产、使用或传输的数据都具备其自身行业的特性,不同行业对数据的敏感性定义也不尽相同。除了行业规范中已明确敏感数据之外,还应该包括企业自定义的敏感数据。定义分类如下表格所示:

种类

敏感数据

个人信息

身份证号码、银行卡号、信用卡号、联系信息、健康信息等

知识产权

图纸代码、工程技术规格、战略计划、设计文档、产品报价单、项目资料、服务方案等

公司机密

公司季报、并购战略、会议纪要、薪资数据、财务报表、重要邮件等

反动言论

非法性言论、反动言论、欺诈性言论

自定义

自定义敏感数据

 

数据是如何发生泄漏的?

 


数据泄漏的途径在方向上主要分为三大类,分别是黑客主动攻击盗取敏感数据、黑客非法截获敏感数据和内部外泄敏感数据。

  • 黑客主动攻击,主要是黑客在互联网中利用企业的网络边界的防护漏洞,发起网络攻击获取企业内部敏感数据的访问权限,在通过网络传输获取数据。或是植入病毒木马破坏敏感数据。

  • 黑客非法截获,一般是企业内部的技术人员,通过更改网络拓扑,截获网络传输的数据流,通过信息还原获取数据。

  • 内部主动外泄,一般是内部的业务工作人员在工作中,有意或无意的操作导致发生数据泄漏的情况,这些操作包括将敏感数据拷贝到多媒体移动存储设备、打印、拍照、通过网络进行数据传输等。

 

数据泄漏的途径在媒介上主要分为两大类,分别是网络传输媒介和移动多媒体媒介,即数据传输或存储的信息载体。

  • 网络传输:网络传输按照网络应用协议划分,主要分为HTTP协议、FTP协议、STMP协议和P2P协议。具体到网络应用的主要途径是网络邮箱、微博、论坛、即时通讯、网盘、云盘、文库等。

  • 移动多媒体:移动多媒体主要为个人的移动终端设备,包括笔记本电脑、手机、U盘、移动硬盘、打印机等。

 

数据泄漏防护的发展

 


在数据泄漏防护方面,从最初阶段的主机安全产品反病毒软件,到中期阶段的网络安全产品防火墙,再到现阶段基于网络应用安全的网络行为管理和下一代防火墙,都无法很出色的完成敏感数据保护的任务。最初的数据防泄漏主要依赖于强管控技术,即DSM文件隔离的囚笼式管控和DSA文件加密的枷锁式管控,这种防护方式在实际的业务数据生产、使用、流转中带来了巨大不便利,因此在使用一段时候后,没有严格的组织结构和规章制度限制的情况下,往往会放弃管理,使得敏感数据暴露在高度泄漏风险中。

DLPData LossPrevention),其核心能力是不再单纯的采用粗暴的囚笼式和枷锁式的管控,而是基于网络数据流和文档文件的内容进行识别,再通过关键字、正则表达式、文档指纹、确切数据源(数据库指纹)、向量机学习等技术手段进行防护策略的匹配,并根据匹配结果采取相应的防护措施。DLP并不是单一的产品,而是由解决不同层面问题的数据防护产品构成的完整解决方案。从而在技术手段上行为数据的完整防护体系。

 

Netoray DSG 数据安全网关

 


莱克斯的Netoray DSG(Data SecurityGateway)数据安全网关(以下简称DSG),定位于数据防泄漏DLP解决方案的网络组件,却又不同于网络DLP。核心功能同样是针对通过网络途径泄漏的行业敏感数据进行防护,不同的是DSG采用免客户端的透明代理模式,同时能够扫描个人终端、文档服务器和数据库,主动发现敏感数据标记其存储位置,从而实现DLP解决方案的单机一体化。除了能够最大程度的避免了通过网络途径发生的敏感数据外泄外,还能够有效的简化主干网络拓扑结构,节约和核心网络组建成本。

 

DSG之数据防泄漏

 


DSG可以串接部署在主干核心网络,也可以与第三方web代理服务器进行数据联动,对于没有实时控制需求的用户也可以进行旁路部署。针对在网络中传输的数据和文件进行内容级别的识别与分析,还原传输数据的真实内容并与防护策略进行实时匹配,根据不同的防护策略配置采取相应的告警、阻断、隔离、模糊化和加密等多种防护响应措施。针对敏感数据的保护方式是DSG产品最为核心的竞争力,采用内部代理,外部透明的数据流处理方式,实现敏感数据通过网络途径泄漏的防护。以国际DLP市场领导者Symantec为例,采用是网络DLP产品与代理服务器联动的处理方式,在建设银行的实际案例中,采用的是Bluecoat的代理服务器,即Symantec的网络DLP产品自身并不具备数据的拦截能力,而是仅仅进行防护策略的匹配处理,在数据传输防护方面完全依赖于代理。虽然DSG产品本身也是依靠代理进行数据流的重组、还原和转发,但是一体机的部署方式对于用户网络及用户使用则完全透明。而国内DLP市场,主要还是以加密的方式进行敏感数据的保护,防止敏感数据外泄主要是依靠安装在PC端的客户端程序,网络DLP仅支持旁路监听的部署方式,主要是用于网络行为审计,其控制主要针对于部分基于IP或是应用的TCP协议。

 

DSG之防护策略模版

 


与敏感数据防泄漏息息相关的就是防护策略的制定,如果说数据防泄漏的功能是DSG产品的核心,那么防护策略的制定就是数据防泄漏的功能核心。同样是以建设银行部署 DLP 产品为例,最难以实施和控制的就是关于敏感数据的定义和防护策略的制定。因此DSG至于解决定义敏感数据难、防护策略制定难的核心问题。在预定义一些符合中国国情和行业特性的数据防护策略模版的同时,还要进行意向用户所处行业及工作业务的深入调研,以便于提供的策略模版能够充分的符合用户所需。从而帮助用户快速、高效、安全的制定数据防护策略。

 

DSG之本地化MTA

 


在数据泄漏防护的响应措施为隔离的功能方面,DSG可以取代传统的MTA服务器将SMTP协议邮件进行本地隔离,然后由安全审核人员进行人工审核处理。而相比于传统MTA服务器更加有价值的是,本地隔离具备高度扩展性,在支持SMTP协议隔离邮件的同时还支持FTP协议文件传输的隔离处理,同时方便用户灵活部署网络拓扑,节约硬件成本开销。其他核心优势相比于Symantec DLP 解决方案要配合 MTA 服务器,以及国内DLP 解决方案中的邮件安全网关,部署时不需要依赖于邮件服务器的网络途径,而只是部署在网络出口处即可,并同样采用本地一体化的解决方案。

 

DSG之虚拟身份关联

 


接入 DSG 系统设备的网络中,审计员工的网络行为所使用的各种网络应用账号或用户名,与员工的真实身份进行绑定关联。一旦出现在DSG 防护网络以外的敏感数据泄漏事件中,可通过虚拟身份进行事件追溯,一定几率上可确认事件责任人。

 

DSG之分布式部署

 


DSG在支持传统串接和旁路部署采集数据的同时,还支持通过ICAP协议联动第三方web代理服务器,与其进行数据联动,主要针对代理转发的数据流进行业务处理,然后向代理反馈处理意见。针对于大型集团及企业用户集群部署DSG的基本需求,并且敏感数据定义、数据防泄漏的目标、数据泄漏防护的策略全部一致。为了避免认为的差异化处理操作过程,DSG对外提供网络云平台的集中管理部署接口。即通过网络云中的网管平台对接入的DSG系统进行统一管理,下发制定防护策略,同时根据需求可自定义事件提取任务。便于用户处理数据防泄漏的管理工作,提高工作效率,降低人为因素造成的防护漏洞问题。