數(shù)據(jù)分級及防數(shù)據(jù)泄漏規(guī)劃與實現(xiàn)

歐陽菲菲 鎮(zhèn)江市高等專科學校電氣與電競學院

1 引言

隨著信息化建設的不斷深入，保障各種敏感業(yè)務數(shù)據(jù)在生成、傳輸、存儲以及銷毀的整個生命周期中防止泄露，已成為企業(yè)信息化建設中的迫切需求。哪些數(shù)據(jù)要進行防護，如何防護，應該選用何種技術、平臺以滿足公司發(fā)展需要？本文基于數(shù)據(jù)分級及防泄漏技術的特點和實現(xiàn)原理，提出了規(guī)劃方案及關鍵技術實現(xiàn)。

2 F公司的現(xiàn)狀

F公司哈爾濱分公司為一個設計與制造型企業(yè)，為了系統(tǒng)和數(shù)據(jù)的安全性，結合自身對數(shù)據(jù)保護的要求和發(fā)展的迫切需要，需要對數(shù)據(jù)進行安全保護以及防數(shù)據(jù)泄漏工作。

3 數(shù)據(jù)安全及防數(shù)據(jù)泄漏方案規(guī)劃設計

3.1 終端安全

F公司使用虛擬化服務器及桌面，McAfee終端解決方案能夠讓用戶繼續(xù)使用現(xiàn)有的McAfee VSE保護功能，并針對虛擬化環(huán)境來對其進一步優(yōu)化。McAfee MOVE旨在在虛擬化環(huán)境中按訪問掃描和更新，顯著降低部署中對基礎設施的影響。

3.2 應用安全

針對Web應用安全，通過MWG Web網(wǎng)關，基于公司的安全等級需求，制定安全策略，實現(xiàn)規(guī)范內(nèi)部終端對網(wǎng)絡合理使用。在DMZ區(qū)部署MEG郵件網(wǎng)關，通過端口轉發(fā)，保證郵件先經(jīng)過MEG掃描，做好病毒掃描和垃圾郵件防護。在防火墻和DMZ區(qū)串接McAfee IPS,進行應用層檢測，保證網(wǎng)絡應用和鏈路安全。

3.3 數(shù)據(jù)安全

數(shù)據(jù)泄露造成的根源來自外部黑客攻擊和內(nèi)部數(shù)據(jù)泄漏，據(jù)FBI的統(tǒng)計，70%的數(shù)據(jù)泄漏由于內(nèi)部人員造成，而這些內(nèi)部人員大都是有權限訪問這些數(shù)據(jù)，然后竊取濫用這些數(shù)據(jù)[1]。

4 數(shù)據(jù)防護的關鍵策略

針對產(chǎn)品特性，我們將數(shù)據(jù)保護實施分為HDLP(HOST DLP)和 NDLP(network DLP)。

4.1 策略設定

標記規(guī)則：對所需保護的文件打上相應的標記；

內(nèi)容規(guī)則：根據(jù)文檔內(nèi)部特征進行識別；

保護規(guī)則：對打上標記的文件進行保護；

第三方軟件集成：TITUS

4.2 策略分配

針對于NDLP,需要對設備初始化、加固，對所有NDLP設備進行集中管理。

策略設置，針對所提供的關鍵字、表達式、文件類型、指紋進行相關的策略設定與McAfee Email Gateway及Web Gateway做策略聯(lián)動：

5 關鍵技術應用

5.1 TITUS數(shù)據(jù)分級

TITUS解決方案使企業(yè)進行分級，并確定和保護非結構化數(shù)據(jù)滿足法規(guī)所遵從的要求。在桌面、移動設備和SharePoint進行分級和保護敏感信息的文檔等增強數(shù)據(jù)防護。

5.2 McAfee HDLP

McAfee HDLP軟件通過部署由分級規(guī)則、標記規(guī)則、保護規(guī)則、設備規(guī)則以及用戶和組分配組成的各類策略，保護企業(yè)敏感信息的安全。McAfee HDLP策略受到監(jiān)視，并在必要時監(jiān)視或阻止用標識為敏感信息的內(nèi)容定義的操作。

5.3 McAfee NDLP

McAfee NDLP通過指紋識別技術、主動掃描技術，配合TITUS的文檔分級標記以及HDLP的關鍵字內(nèi)容過濾，與企業(yè)的郵件網(wǎng)關、互聯(lián)網(wǎng)網(wǎng)關以及IPS聯(lián)動，保護企業(yè)的敏感信息以及知識產(chǎn)權流出公司網(wǎng)絡。

5.4 指紋識別技術

“指紋識別”是指依據(jù)文檔的內(nèi)容、終端信息、安全級別等等所產(chǎn)生的具有唯一性、保密性和安全性的標識以及算法。“指紋算法”被嵌入到目標文件以后，對于終端用戶具有不可見性，用戶端無法直接獲取“指紋信息”，終端用戶也無法直接對其進行修改或偽造，文件若是被修改后，“指紋”信息依舊保持其具有的完整性。

6 結論

基于McAfee的數(shù)據(jù)安全防護體系，保證了公司業(yè)務系統(tǒng)、各類終端、數(shù)據(jù)庫和網(wǎng)絡等數(shù)據(jù)在各環(huán)節(jié)中的安全，進而大幅降低有意、無意的數(shù)據(jù)泄漏行為。公司數(shù)據(jù)安全防護與防泄漏平臺可避免組織內(nèi)外數(shù)據(jù)在未經(jīng)授權的情況下傳輸，從而保護企業(yè)遠離風險。防數(shù)據(jù)泄漏軟件使用高級發(fā)現(xiàn)技術、文本模式識別和預定義字典識別出敏感內(nèi)容，而且合并設備管理及加密，從而提供多層控制。與TITUS等第三方保護軟件集成來擴展數(shù)據(jù)的安全性?？膳渲迷谄髽I(yè)網(wǎng)絡內(nèi)部、外部或內(nèi)外部應用的策略和規(guī)則，從而全面保護企業(yè)數(shù)據(jù)安全。

[1]喻欣:基于內(nèi)容的移動存儲設備信息防泄漏技術研究，2009.6