企业数据防泄漏架构分析

范睿

摘 要：近年来数据泄露事件高发不止，数据防泄漏呈现出企业认知安全洼地的态势。论文对一般性企业的数据现状、面临的风险进行了探讨，并以系统的数据防泄漏技术体系作为目标，结合广义的网络安全理念，通过设定多维度的控制节点，最终形成了一套“全数据流向”过滤的立体分层数据安全防泄露架构。

关键词：数据防泄漏；数据安全；数据脱敏

Abstract： The things of data leakage occasionally happen in recent years. Most enterprise consciousness of data security still remains at a lower level. In this paper， the data circumstance and risks are proposed as a key factor. Data leakage is not a single point issue， it is stretched across several fields of network security. As a goal of this thesis， how to build up a multiple dimensions control point of data security？ How to make a comprehensive data loss prevention model？ After passing the powerful description of the thesis， an "omnidirectional data flow" data security filter architecture will emerge over the water.

Key words： data leakage prevention； data security； data masking

1 引言

近年来，随着企业信息化建设的发展，电子信息库、电子邮件、电子文件已经成为了企业日常事务中的主要溝通方式。在信息系统不断建设和完善的道路上，信息系统核心的数据安全问题已经成为了企业在信息化建设变革中需要关注和解决的重点和难题。通过有效的数据安全体系架构设计和实施全面的技术保护手段，可有效地保证企业核心数据的安全，减少泄露事件的发生。

2 重大数据安全事件

2015年著名酒店（包含喜达屋、洲际、万豪等）出现大量顾客账户信息泄露，汇丰银行秘密银行账户文件被泄露；2016年国内第一在线票务网站大麦网600万用户账号密码泄露；棱镜门事件、Yahoo邮箱账号泄露、网易邮箱数据泄露等。

公众系统数据安全、金融政府核心数据安全已经成为信息化社会进程中必须解决的难题。相对于知名公众系统和政府金融机构，很多常规企业管理者对数据安全的关注依然停留在传统的数据保护技术上，依然尝试依靠单一技术解决所有的数据安全问题。

3 企业数据安全特点

企业信息化水平不断提高，业务数字化程度日益加深，几乎所有机构都卷入到数据处理的浪潮。2012年初的达沃斯世界经济论坛上，一份题为《大数据，大影响》（Big Data，Big Impact）的报告称，数据已经成为一种新的经济资产类别，就像货币或黄金一样。

数据资产作为信息资产的主要组成部分，具有共享性、增值性、时效性、低安全性。由于数据资产复制成本低，导致企业拥有和控制数据资产的安全性很差，这正是导致数据资产风险的一个重要因素[1]。

为了更加细致地了解企业数据的特点，从数据的不同维度出发进行了几项归纳。

（1）按照数据类型可将企业内部数据分为结构化数据和非结构化数据，在绝大多数企业内都存在此两类数据。

（2）按照使用场景可分为集中式使用和分散式使用，对于偏向于研究型的企业或部门，大部分采用集中式使用；对于通用事务或管理类企业或部门，则大部分采用分散式使用。

（3）按照数据敏感级别可将企业数据分为绝密级、机密级、秘密级和公开级。这是我国国家保密法进行的密级分类说明[2]，但绝大部分企业并未完全按照此说明进行数据分类和标注。

（4）按照数据使用介质可分为移动设备、终端PC、服务器。企业内部大量使用的为终端PC，Byod也逐步应用在了企业内部的数据处理上。

（5）按照数据传输方式可分为Web加密或非加密传输、邮件传输、即时通讯传输。

（6）按照数据的状态、可分为静止的数据、移动的数据和使用中的数据。

（7）按照数据生命周期可分为数据申请、数据创建、数据校验、数据存储分发、数据使用、数据归档、数据删除几个阶段，在企业内部的数据安全架构中，处于较难执行的一个部分[3]。

4 企业数据防泄漏途径分析

对于大部分企业来讲，内网安全的防范重点，主要集中在防病毒、防火墙、分区访问控制这几个领域。但如图1所示，其企业内网安全所涉及的领域远不止这几个方面。绝大部分企业用户认为在企业内网是安全的，企业内网之间的文件访问是安全可靠的。但从数据安全的角度出发，我们发现即便在一个已经具备防病毒、防火墙、分区访问控制的企业内网里，数据的安全依然处于几乎裸奔的状态。数据可以被任意地被拷贝、读取、发送和更改，数据库可以进行任意的操作，可任意查询导出关键表。可见，企业数据泄露的途径和方式有多种。

4.1 邮件传输泄露

邮件是数据泄露的主要途径，邮件传输泄露通常指用户通过企业邮箱或个人邮箱从企业内部网络发送带敏感信息的邮件到企业外部。

邮件传输泄露分两种情况。一是用户无意操作导致数据泄露：（1）用户邮箱在用户的掌控之内，但无意间导致数据泄露；（2）用户邮箱被木马或黑客攻破，被黑客拿到企业内部通讯敏感邮件和数据；（3）用户被社会工程。二是用户有意操作导致数据泄露：员工存在恶意行为。endprint

4.2 Web上传（网盘）/FTP外发泄露

通过网盘或FTP进行数据的上传，也是数据泄露的主要途径之一。通过Web泄露数据通常具有四个特点：（1）通过Web邮箱上传附件；（2）通过网盘加密上传企业敏感数据；（3）通过FTP异地存储企业敏感数据；（4）被恶意挂马或访问恶意站点，导致数据被Web站点窃取。

4.3 U盘拷贝泄露

通过企业台式电脑或笔记本电脑连接个人U盘保存企业敏感数据。

4.4 IM即时通讯外发泄露

通过QQ、MSN、微信等即时通讯软件进行敏感数据传输。

4.5 CIFS/NFS网络共享泄露

通过Windows共享服务器或NFS共享挂载的方式，将企业敏感数据拿到个人电脑中，并进行保存或外发。

4.6 打印数据泄露

通过网络打印的方式，将企业敏感数据打印为纸质文件，以便携带。

4.7 红外、蓝牙传输泄露

通过红外或蓝牙设备进行数据传输。

4.8 CD/DVD光盘刻录泄露

通过刻录设备对敏感数据进行刻录CD/DVD，以便携带。

4.9 截屏拷贝泄露

通过截屏保存为图片文件，对敏感数据进行另存发送，以逃避检查。

4.10 存储设备、笔记本电脑丢失泄露

装有企业敏感数据的移动硬盘或笔记本电脑丢失，导致数据外泄。

4.11 黑客攻击，木马后门窃取泄露

对企业关键岗位员工的笔记本电脑或台式电脑或企业后台核心服务器进行攻击和挂马，一旦成功，即可在内网进行大量的数据窃取工作。

4.12 数据库数据泄露

对数据具有核心管理权限的人员或账号被恶意使用，并提取敏感数据。

4.13 手机拍照泄露

对具有拍摄功能的设备未进行管控，导致敏感信息被摄录保存。

4.14 勒索软件加密、破坏或泄露数据

通过恶意附件和恶意Web站点挂马等方式，迫使企业核心岗位人员被勒索病毒感染，从而导致核心數据被识别和泄露，近期流行的CryptoLocker Wannacrypt和Petya导致大量用户敏感数据被加密和泄露[4]。

4.15 离职审查破坏或泄露

离职管理流程和技术流程未进行高度统一，导致存在权力真空期，离职员工可利用此漏洞进行非授权操作，导致数据被破坏或泄露。

4.16 社会工程学泄露

社会工程学泄露就是通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密。社会工程即有技巧地操纵人们在生活中的某些方面采取某种行动。其利用的工具包含如开锁器、摄像机、录音设备、GPS跟踪器和各类攻击工具[5]。

5 通用数据泄露防护技术

针对各种数据防泄漏技术，我们进行了调研和总结，各自均存在防护盲区。

5.1 国外数据防泄漏技术

国外数据防泄漏技术的重点关注在数据内容的识别，提供基于文件内容识别敏感数据，数据保护策略颗粒度细，具备数据分级的功能（绝密、机密、内部等），对文件不做任何修改，数据不存在破坏的可能性，其数据的泄露识别覆盖从终端、网络、存储的各个层面，具有数据传输泄露的可视化视图、完整的审计和证据保存的功能。

5.2 国内数据防泄漏技术

国内数据防泄漏的特点主要体现在透明加解密，即通过对文件的加密实现内部用户使用透明，外部用户加密保护的功能。其技术特点主要为自动对敏感文件加密，数据一旦加密，就可视为是安全的，无需担心使用、传输、保存的各个环节，无需考虑用户对文件使用、传播的方式，只需考虑要保护的文件对象。部分国内数据防泄漏技术，还集合了数据生命周期中的数据打开控制和数据报废的功能，实现进一步的文件访问权限，防止被非授权的人员访问。

5.3 数字权限管理防泄漏技术[6]

DRM以加密和PKI为基础架构，可以对文件做详细的读、写、打印进行控制。可以对发布出去的文件进行控制，对于主（人员、部门），客体（文件、数据）提供详细的控制手段（读、修改、打印、拷贝、时间范围）；数据即使被发布给了第三方（用户、合作伙伴），也可以对其进行访问控制，采用加密方式，不需要担心使用、传输、保存的各个环节。

5.4 数据加密防泄漏

整盘和基于文件的加密，混合了国内和国外的加密技术。

5.5 存在的问题

针对以上所提及的当前数据防泄漏技术，可以看到其各自的技术和管理局限性，鉴于此，提出了一套综合完备的数据防泄漏技术架构。此架构具有广阔的网络安全视野，并从广度上切入，进行整体架构设计，对各个模块的数据防泄漏技术上则提出了治理思路。此架构旨在对所有对数据防泄漏技术感兴趣的个人或单位起到技术指导和参考作用（注：数据分类、数据告警优化方法不在本文的讨论范畴）。

6 企业数据防泄漏技术架构

面对众多的数据泄露路径和当前数据防泄漏技术的局限性，经过多方调研和分析，提出全数据流向控制的数据防泄漏架构模型，基于此模型建立的数据防泄漏架构，可以相对将数据泄露风险降低到最少。

本模型从数据管理制度入手，兼顾数据的全流向控制，并从局域网，用户或服务器终端，用户手机类移动终端三个层面作为切入点，对数据所承载的网络协议、应用协议、移动终端、数据库、操作系统等角度进行了考虑，形成了入向过滤、出向过滤、内部分层管理的多层数据防泄漏保护架构。

6.1 制度的设定

数据防泄漏需要企业制度的支持，通常企业会有信息系统运行制度或信息系统安全管理制度，数据安全的相关规定会包含其中。如图2所示，制度的约定需要从数据密级分类、员工职级的数据使用须知、密级数据流转须知、密级数据解密期限等角度进行约定。确认其企业内部的核心数据，做好数据密级分类是数据防泄漏体系架构中并不可少的部分。endprint

6.2 数据使用渠道

企业数据会在局域网进行流转和传递，企业局域网是数据监控的一个重点。此类监控的重点突出在对网络协议的解码和分析，以及对应用协议的过滤。

针对员工操作数据的情况，对工作电脑的数据传递控制是企业数据监控的另一个重点。此类监控重点突出在用户对工作电脑的数据处理上。例如对文件的打印、复制、网盘的上传，邮件的传递、数据的截屏、U盘的控制、红外蓝牙设备的管控等，对任何从工作电脑发起的对数据的操作均是数据监控的重点。

另一方面，对重点企业业务系统数据或数据库等人员的权限控制。审计运维管理则是数据监控的重要组成部分，针对数据库的脱敏操作是当前数据流转过程中急需关注的一个安全热点。

最后，员工自带Byod设备存在数据泄露的情况，大部分企业并未充分认识到此类方式的数据泄露风险。

6.3 数据的流向

数据流入。对进入企业的数据进行了严格控制，重点在恶意代码、垃圾信息、钓鱼站点、SQL注入、XSS攻击、CSRF攻击、身份认证、U盘及外设管控等[7]，确保进入企业的数据是安全可靠的。此部分不对数据进行机密性判断，但需要进行数据可用性和完整性判断。

数据流。对流出企业的数据结合三大数据传输渠道进行数据机密性判断和过滤。

数据间交互。对企业内部员工之间的数据交互进行分级控制和审计监控。

6.4 全流向数据防泄漏分层架构模型

数据安全是信息整体安全的一部分，对数据进入企业进行了一系列完整性和可用性检查，对数据流出企业进行了一系列机密性检查。在充分考虑了数据安全的CIA三要件的前提下[8]，提出了如图3所示的全流向数据防泄漏分层架构模型。以数据全流向、数据生命周期管理、企业数据管理制度三个角度作为参考点。

此模型中可见企业数据管理制度是贯穿始终的部分，任何企业如果脱离数据管理制度，均无法保证其数据的可用性、完整性和机密性。

模型的左边为数据流入检查，在数据进入企业阶段，首先从数据的连接开始，对网络七层进行了全面的过滤，避免恶意的攻击链接或木马站点对企业内部用户或对外服务的业务系统造成的影响，然后通过邮件安全过滤确保安全的邮件附件进入企业，对外设进入的数据则通过U盘等外设管控实现对移动传递数据的安全性导入，通过Web协议防护设备进行对基于Web攻击的流量进行过滤，确保各类后台数据库的安全和数据库的完整性和有效性。

模型的右边则为数据的流出检查，对需要外发的数据或人员，首先经过企业管理制度的约定，对人员职级和数据进行分类分级授权，对员工可进行操作的数据进行筛查和授权，并通过对局域网、主机端和移动端的安全控制进行数据过滤，同时对重要信息系统的数据操作和导出采用运维审计系统进行授权和审计，并通过脱敏系统进行敏感数据的脱敏操作。经过一系列机密性检查后，进行数据合并和外发操作。

通过一系列的控制，保障企业的数据安全接收和外发。

管理控制。运维审计系统控制：通过运维审计系统的认证，授权，审计功能对操作核心数据的人员进行有效管理，采用最小权限的原则，保障核心数据库和应用系统数据的安全。

网络型控制包括识别和阻断。

识别。通过SPAN模式，对局域网的核心交换进行网络流量镜像，并将镜像数据传递给局域网数据泄露分析器，对流经局域网的数据进行网络协议解码和识别敏感数据。

阻断。（1）部署Web协议代理器：企业员工访问对外站点经过Web协议代理器的过滤识别，对恶意站点，勒索病毒进行预防，同时识别出WEB传输协议中传输的敏感数据，并进行阻断和控制。（2）部署邮件过滤网关：企业员工对接收和外发邮件须经过网关过滤，杜绝邮件病毒的产生，同时对邮件外发中的敏感数据进行阻断和控制。

主机型控制。针对终端用户采用Agent模式，对敏感数据进行透明加解密，确保安装了Ggent之间的终端可透明识别敏感数据，对外发数据进行加密或设定使用期限，对离线用户保持策略控制。对U盘、外设、打印设备由agent进行注册控制，确保授权使用外设并记录证据。

移动端控制。对安卓或苹果等手机或平板类设备，通过EMM APP进行控制，通过EMM的沙箱，地理围栏，应用APP控制，拍照录音控制，蓝牙控制，文档自动销毁，工作桌面等技术对数据传输进行控制，严格控制工作数据存放到工作桌面[9]。

结构化数据控制。数据库脱敏系统，针对企业核心数据库的核心数据导出的操作，需要进行适当的数据保护措施，如采用数据库动态查询或查询特定表、视图或库的操作，可采用动态脱敏技术，如需要进行全库导出或数据库虚拟化操作，则采用静态脱敏技术进行敏感数据清洗。

7 结束语

本文结合当前数据防泄漏技术特点和对廣义网络安全的研究，提出了全面的数据防泄漏架构模型。此模型中的各个部件均可找到对应的技术实现方式，具有现实可行性和全面性。机密性、完整性、可用性是网络安全的三大要件。本模型从数据的流向和数据的安全角度出发对网络安全三要件进行了对应，可作为企业建立数据防泄漏模型的参考。

参考文献

[1] Dedman， Bill； Brunker， Mike； Cole， Matthew （May 26， 2014）. "Who Is Edward Snowden， the Man Who Spilled the NSA's Secrets？". NBC News. Retrieved April 11， 2015.

[2] http：//www.gov.cn/zwgk/2014-02/03/content_2579949.htm. [Z]

[3] 赵飞.基于全生命周期的主数据管理：MDM详解与实践[M].北京：清华大学出版社， 2015：3-5，104-128.

[4] Https：//en.wikipedia.org/wiki/Ransomware.[Z].

[5] Christopher Hadnagy.社会工程安全体系中的人性漏洞[M].北京：人民邮电出版社，2013：6-7，198-219.

[6] 冯明，等.数字版权管理技术原理与应用[M].北京：人民邮电出版社，2009：25-39.

[7] 诸葛建伟.网络攻防技术与实践[M]. 北京：电子工业出版社，2011：367-391.

[8] 范梦雪，罗群.信息安全风险分析方法及应用[D].2006，2-7.

[9] 胡彬.网络安全技术与应用[J].2017年01期.endprint