数据安全防护技术研究

数据安全防护技术研究

龙卓君

（贵州电网有限责任公司毕节供电局551700）

摘要：随着信息化建设迅速发展，改变了企业传统的生产、经营和管理方式，越来越多的业务依赖于计算机和网络来完成。终端设备的大量使用增加了用户侧数据泄漏的风险，同时由于网络通信方式的复杂化和现场操作环境的不可控，使得各类业务数据在传输过程中易造成数据外泄。本文结合桌面终端业务数据防泄漏思路及技术在国内外研究的经验，重点对桌面终端业务数据防泄漏技术实践的关键问题进行论述。

关键词：信息泄露；数据安全防护；

前言：随着信息技术的飞速发展，计算机和网络已成为日常办公、通信交流和协作互动的必备工具和途径。但是，信息系统在提高人们工作效率的同时，也对信息的存储、访问控制及传输关键数据，如何有效防止其丢失和泄漏等一系列问题提出了安全需求。目前大多数企业对局域网的安全解决方案，还停留在采用防火墙、入侵检测、网络防病毒等保护网络、限制信息访问或者监控行为的被动防护手段上，但智能终端设备的大量使用增加了用户侧数据泄漏的风险，同时由于网络通信方式的复杂化和现场操作环境的不可控，使得各类业务数据在传输过程中易造成数据外泄。

一、业务信息数据泄密渠道主要如下：

1、网络化的泄密。网络化造成的泄密成为了目前企业重点关注的问题，常用的防护手段为严格的管理制度加访问控制技术，特殊的环境中采用网络信息加密技术来实现对信息的保护。访问控制技术能一定程度的控制信息的使用和传播范围，但是，当控制的安全性和业务的高效性发生冲突时，信息明文存放的安全隐患就会暴露出来，泄密在所难免。

2、存储介质泄密。便携机器、存储介质的丢失、报废、维修、遭窃等常见的事件，同样会给企；业带来极大的损失，在监管力量无法到达的场合，泄密无法避免。

3、内部员工泄密。包括违反规章制度泄密、无意识泄密、故意泄密等。目前由于内部人员行为所导致的泄密事故占总泄密事故的70%以上，通过管理制度规范、访问控制约束再加上一定的审计手段威慑等防护措施，能很大程度的降低内部泄密风险，但是，对于终端由个人灵活掌控的今天，这种防护手段依然存在很大的缺陷，终端信息一旦脱离企业内部环境，泄密依然存在。

单依靠管理手段来管控数据防泄漏的问题远远不够的，随着信息攻击技术和手段的发展，这种方式已无法有效应对当前各类数据泄漏。加强终端数据防泄漏技术的研究已逼在眉睫。

二、业务信息数据防泄密研究思路：

1、需要统筹数据安全技术建设。目前企业数据在使用、传输、存储过程中最容易出现安全隐患。这些安全威胁不是防火墙、入侵检测和防病毒等传统全手段所能解决的。应该看到信息安全要立足于终端，从源头抓起，才能从根本上解决数据全生命周期管理的安全问题。

2、需进一步解决文档数据外泄的风险。目前企业在使用文档过程中没有对敏感数据进行保护，而且内网资源众多，对个别文档的加密需要分别进行权限的设置，管理难度大，尤其当用户权限发生频繁更换的时候，容易造成漏洞。因此，需要研究文档传播全过程审计技术，解决数据泄漏风险。

三、业务信息数据防泄密体系架构：

为了更好地解决企业信息化建设过程中存在的敏感数据泄露风险，基于数据防泄漏技术的特点和实现原理，提出了数据防泄漏体系架构。整个数据防泄漏的体系结构主要分为访问层、防护层和对象层，对象层包含了可以存放各类业务系统相关敏感数据的终端设备、文件服务器和数据库等；防护层根据所采用的不同技术包括了文件过滤驱动防护、标记和策略防护和虚拟化防护技术。

1、文件过滤驱动防护通过在文件系统中增加文件过滤驱动，配合访问控制和安全策略对敏感数据进行保护。文件过滤驱动主要实现对文件操作的实时监控，拦截对文件操作的请求消息，使消息在到达文件系统驱动层之前能够被提前处理，从而阻断对敏感数据文件的操作行为。

2、使用标记和策略技术的数据防泄漏防护技术采用对敏感数据标记的方式，不同的标记配合不同的数据防泄漏策略，通过制定全面灵活的标记和策略来对敏感数据进行防护。

3、采用虚拟化技术在终端上虚拟多个逻辑隔离的软件运行环境，从而在操作系统原有的内核态与应用态软件进程之间形成一个虚拟层，可有效地实现数据的隔离，以达到防止数据泄漏的目的。

四、业务信息数据防泄密技术手段：

目前，信息安全业内先后提出过多种技术方案，从不同的角度来解决数据防泄漏问题，使用较为广泛的数据防泄漏方案主要包括基于透明加解密的数据防泄漏、基于控制的数据防泄漏、基于关键字过滤的数据防泄漏、基于标记的数据防泄漏以及基于虚拟化的数据防泄漏等。主要关键技术从以下几方面考虑：

1、控制技术。控制技术主要是通过权限的设置，对计算机输入输出进行集中控制和管理，并定期进行检查和事后审计，实现对关键数据传输进行控制，防止未经授权的数据外泄。中具体实现上主要采用软件控制、端口控制等手段对计算机的各种端口和应用实施严格控制和强审计。

2、加密类技术。加密类技术是较为传统的数据防护技术，其主要理念是将数据的二进制存储转换为密文，能够简单有效地解决数据的存储安全问题。加密技术的数据安全防护领域中的应用可以细分为：文件级加密技术、磁盘级加密技术、硬件级加密技术和网络级加密技术。

3、过滤技术。在内网出口，即网关出安装内容过滤设备，可以分析HTTP、POP3、FTP、即时通讯等常见的网络协议，并且对协议的内容进行分析及过滤，比较先进的设备可以识别上百种文件格式，安全管理人员通过设备过滤规则和关键字过滤出关的内容，防止敏感数据的泄漏。

总结：本文结合公司实际情况，提出了解决重点论述企业桌面终端业务数据防泄漏技术实践的技术手段，并能达到如下目标：

（1）实现数据资产的保护。将对企业的数据资产，如：规划数据、财务数据、设计图纸、工程数据等提供全生命周期的有效保护。通过对核心数据的加密保护，保证核心数据非法流出企业外部时无法复制及使用，而在企业内部可以在受控范围内灵活使用。

（2）实现商业机密的保护。企业日常运行中的商业机密，如：重要经营决策、战略发展规划、财务报表、日常管理文件等。这些数据可以在发布、使用过程中得到良好的控制和保护，通过精细化的授权及控制，防止非法查阅及复制等。

（3）实现外发信息的控制。企业员工们更多选择使用IM软件、Email等方式将办公室和机构内信息发布出去。外发文件的使用需要验证使用者身份以及使用范围，需要对外发文件进行加密保护处理，确保文件不因意外情况导致数据泄露，可以确保外发文件的传播扩散的速度和范围，让员工们认识到自己需要为其网络行为负责。

（4）避免法律风险，提升企业的形象。网络违法事件也层出不穷，如网络间谍、网络泄密、网络造谣和非法言论等。如果员工利用机构网络发生，则法律问题和风险将难以避免；如果没有证据，无法找到直接责任人，信息部门则将成为该违法事件的直接责任人。对终端上的数据进行了有效保护，减少信息泄露可能带来的经济和法律纠纷。