終端數(shù)據(jù)防泄漏系統(tǒng)在企業(yè)中的應(yīng)用實踐

張晶姝

摘要：隨著大數(shù)據(jù)、云計算機(jī)等信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，辦公管理、生產(chǎn)運(yùn)行、工藝技術(shù)、安全環(huán)保、財務(wù)銷售等生產(chǎn)經(jīng)營數(shù)據(jù)成為企業(yè)數(shù)據(jù)整合、分析和利用的重要資產(chǎn)，同時也是企業(yè)兩化融合后邁向數(shù)字化企業(yè)、智能化工廠的重要資源。作為能源關(guān)鍵基礎(chǔ)設(shè)施的石油企業(yè)，防止重要數(shù)據(jù)資產(chǎn)、敏感信息通過終端、網(wǎng)絡(luò)泄漏成為企業(yè)擔(dān)負(fù)的責(zé)任和依法必須完成的重要工作。本文介紹了終端數(shù)據(jù)防泄漏系統(tǒng)在企業(yè)中的應(yīng)用實踐，總結(jié)了一些經(jīng)驗與大家分享。

關(guān)鍵詞：數(shù)據(jù)防泄漏系統(tǒng)；終端數(shù)據(jù)防泄漏；數(shù)據(jù)安全；數(shù)據(jù)防泄漏技術(shù)

中圖分類號：TP309.2 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2018）05-0191-02

通過企業(yè)互聯(lián)網(wǎng)出口內(nèi)容審計系統(tǒng)監(jiān)測的數(shù)據(jù)顯示，敏感信息外發(fā)事件時有發(fā)生。員工對敏感信息的定義掌握不清，只懂公開，不懂保密，對敏感數(shù)據(jù)的重要性、嚴(yán)肅性認(rèn)識不足，網(wǎng)絡(luò)安全和保密意識淡薄，仍然存在著“無密可保”的錯誤觀念。員工通過企業(yè)內(nèi)部主頁、郵箱、即時通信軟件、網(wǎng)盤云盤、智能手機(jī)無意識的外發(fā)成了敏感信息外泄的重要渠道，而大型跨地域企業(yè)由于網(wǎng)絡(luò)結(jié)構(gòu)、帶寬、吞吐量、敏感信息不同等多種因素的限制，網(wǎng)絡(luò)數(shù)據(jù)防泄漏系統(tǒng)對敏感數(shù)據(jù)的攔截存在一定的限制，因此各地區(qū)公司建設(shè)符合本單位攔截需求的終端數(shù)據(jù)防泄漏系統(tǒng)能夠更有效的實現(xiàn)敏感數(shù)據(jù)的防泄漏。

1 國家法律和制度對企業(yè)網(wǎng)絡(luò)安全管理方面的要求

2016年11月，國家發(fā)布首部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律《網(wǎng)絡(luò)安全法》，為企業(yè)網(wǎng)絡(luò)安全管理工作提供了法律依據(jù)和標(biāo)準(zhǔn)。法律將能源等行業(yè)領(lǐng)域以及一旦遭受破壞、數(shù)據(jù)泄漏可能危害國家安全、國計民生、公共利益的重要行業(yè)定義為關(guān)鍵基礎(chǔ)設(shè)施，同時也定義了網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者為網(wǎng)絡(luò)運(yùn)營者，而網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

2 終端數(shù)據(jù)防泄漏系統(tǒng)的實施經(jīng)驗

2.1 系統(tǒng)選型要素兼容性問題

企業(yè)的終端計算機(jī)一般部署了三大類系統(tǒng)和軟件，一是包含防病毒軟件、終端安全、系統(tǒng)加固的桌面安全管理系統(tǒng)；二是包含ERP、OA辦公管理、生產(chǎn)運(yùn)行系統(tǒng)、財務(wù)系統(tǒng)、經(jīng)營決策等業(yè)務(wù)應(yīng)用系統(tǒng)；三是日常辦公查詢交流的office辦公軟件、QQ等即時通信軟件、WEB郵件、客戶端郵件、IE應(yīng)用等。由于終端數(shù)據(jù)防泄漏需要部署在桌面計算機(jī)上，因此兼容性問題是終端數(shù)據(jù)防泄漏系統(tǒng)選型的重要問題，應(yīng)考慮與桌面安全防護(hù)軟件、信息化應(yīng)用系統(tǒng)、辦公輔助應(yīng)用軟件的兼容性，做好兼容性測試會很大程度上減少系統(tǒng)上線后的運(yùn)維和故障處理工作量。

2.2 終端數(shù)據(jù)防泄漏系統(tǒng)項目管理

結(jié)合PMP項目管理的理念，將終端數(shù)據(jù)防泄漏系統(tǒng)作為一個信息化專業(yè)的網(wǎng)絡(luò)安全項目來管理，包括產(chǎn)品的調(diào)研、系統(tǒng)功能的全面測試、立項、談判、部署過程的進(jìn)度控制、系統(tǒng)上線后的兼容性測試、策略調(diào)整、項目驗收各個階段要做全方位的把控，并與實施廠商簽訂網(wǎng)絡(luò)安全和保密協(xié)議，確保項目實施過程和后續(xù)運(yùn)維及故障處理全過程的安全可控。

2.3 制定符合企業(yè)需求的系統(tǒng)管控策略

終端數(shù)據(jù)防泄漏系統(tǒng)的策略一般分為3種，阻止策略、警告策略和不提醒直接記錄。根據(jù)企業(yè)對敏感信息關(guān)鍵點和層級的不同，分類別分HTTP、郵件、即時通信軟件、打印拷貝輸出等通道進(jìn)行管控策略的制定（見圖1）。由于涉及敏感信息，因此要求廠商的產(chǎn)品在系統(tǒng)平臺不能提取敏感信息的全部內(nèi)容，僅可以顯示敏感信息前后少量字節(jié)范圍的信息以作為企業(yè)內(nèi)部檢查和考核依據(jù)。

2.4 與準(zhǔn)入系統(tǒng)的配合應(yīng)用

終端數(shù)據(jù)防泄漏產(chǎn)品通過配合準(zhǔn)入系統(tǒng)的使用，制定相應(yīng)的管理員策略，要求終端用戶部署了桌面安全管理系統(tǒng)和準(zhǔn)入系統(tǒng)方可入網(wǎng)，保證終端用戶安裝部署數(shù)據(jù)防泄漏模塊達(dá)到100%，從而做到審計無遺漏。

2.5 系統(tǒng)實施及運(yùn)維人員管理要求

由于終端防泄漏系統(tǒng)策略的制定和敏感信息要分審計員和策略管理員角色，以防止集中提取的敏感信息成為數(shù)據(jù)外泄的又一渠道。同時對管理員的背景、資質(zhì)等都要進(jìn)行審查，要求管理員要持網(wǎng)絡(luò)安全管理專業(yè)認(rèn)證資質(zhì)上崗，并定期進(jìn)行審核。

3 終端數(shù)據(jù)防泄漏系統(tǒng)的問題及提升

3.1 終端數(shù)據(jù)防泄漏產(chǎn)品的識別準(zhǔn)確性有待提高

目前終端數(shù)據(jù)防泄漏技術(shù)（DLP）主要是通過關(guān)鍵字、正則表達(dá)式和數(shù)據(jù)指紋等對存儲、傳輸和使用過程中的數(shù)據(jù)進(jìn)行內(nèi)容匹配發(fā)現(xiàn)違規(guī)數(shù)據(jù)泄漏，因此就會產(chǎn)生兩個詞語中前詞的后字和后詞的前字中了關(guān)鍵字的情況發(fā)生，并不能智能的識別出違規(guī)文件，對廠商在技術(shù)和檢測機(jī)制的研發(fā)上也提出了新的需求以滿足企業(yè)的需要，同時提高管理員的檢查、管理效率。

3.2 終端數(shù)據(jù)防泄漏產(chǎn)品需要擴(kuò)大檢測范圍

各個企業(yè)都在加快投入大數(shù)據(jù)、云計算機(jī)、物聯(lián)網(wǎng)、移動應(yīng)用的建設(shè)，而新技術(shù)的應(yīng)用成為了敏感信息監(jiān)管的空白區(qū)。企業(yè)應(yīng)該遵循同步建設(shè)、同步規(guī)劃網(wǎng)絡(luò)安全的基本原則出發(fā)，擴(kuò)大系統(tǒng)對新系統(tǒng)、新技術(shù)的檢測能力，保障網(wǎng)絡(luò)安全管理不留死角。

4 結(jié)語

本文結(jié)合企業(yè)部署數(shù)據(jù)防泄漏系統(tǒng)的應(yīng)用情況從實施管理、策略制定等多維度總結(jié)了終端數(shù)據(jù)防泄漏系統(tǒng)的實施經(jīng)驗，可作為建設(shè)部署數(shù)據(jù)防泄漏系統(tǒng)的參考。

參考文獻(xiàn)

[1]楊合慶.中華人民共和國網(wǎng)絡(luò)安全法解讀[M].中國法制出版社，2017.

[2]信息安全技術(shù).政府聯(lián)網(wǎng)終端安全管理基本要求[M].工業(yè)和信息化部，2016.

[3]范睿.企業(yè)數(shù)據(jù)防泄漏架構(gòu)分析[J].網(wǎng)絡(luò)空間安全，2017，8（z4）：77-82.

[4]白國靖.終端準(zhǔn)入控制與數(shù)據(jù)防泄漏技術(shù)在企業(yè)中的應(yīng)用[J].中國新通信，2015，（20）：121.

[5]潘明惠.網(wǎng)絡(luò)信息安全工程原理與應(yīng)用[M].清華大學(xué)出版社，2011.