江家興，喬吉吉，陳希，廖偉

（1 中國(guó)移動(dòng)通信集團(tuán)福建有限公司，福州 350001；2 中國(guó)移動(dòng)通信集團(tuán)公司，北京 100032；3 中國(guó)移動(dòng)通信集團(tuán)福建有限公司福州分公司，福州 350001）

隨著信息技術(shù)的發(fā)展，以電子文檔形式保存的商業(yè)機(jī)密數(shù)據(jù)已經(jīng)成為企業(yè)的重要資產(chǎn)，但是由于其易被復(fù)制、修改和傳播等特點(diǎn)，可能引發(fā)非常嚴(yán)重的信息泄密問(wèn)題，帶來(lái)巨大的損失。

為防范商業(yè)機(jī)密數(shù)據(jù)的泄漏，很多企業(yè)已經(jīng)對(duì)員工使用、傳播機(jī)密數(shù)據(jù)做了嚴(yán)格的規(guī)定，但是由于缺乏監(jiān)管、防范的有效技術(shù)手段，仍存在不少的商業(yè)機(jī)密數(shù)據(jù)外泄事例。本文評(píng)估了企業(yè)機(jī)密數(shù)據(jù)在端點(diǎn)、網(wǎng)絡(luò)、存儲(chǔ)過(guò)程中的風(fēng)險(xiǎn)，并結(jié)合多種防泄密技術(shù)手段，提出了管理和技術(shù)相結(jié)合的立體化防泄密體系。通過(guò)立體化數(shù)據(jù)防泄密體系的構(gòu)筑，能夠有效保護(hù)和監(jiān)控企業(yè)機(jī)密做到“事前預(yù)防、事中保護(hù)、事后審計(jì)”，為企業(yè)提供有效的信息安全保障。

1 數(shù)據(jù)防泄密的需求及泄密途徑、風(fēng)險(xiǎn)分析

1.1 數(shù)據(jù)防泄密的背景及需求

根據(jù)2011年《了解21世紀(jì)IT環(huán)境的安全復(fù)雜性》的全球調(diào)研報(bào)告，全球有77%的受訪企業(yè)在2010年遭遇過(guò)機(jī)密數(shù)據(jù)泄密，該調(diào)查結(jié)果認(rèn)為絕大多數(shù)泄密事件是由內(nèi)部人員、或者由內(nèi)外勾結(jié)造成的。IDC的報(bào)告也得出了類似的結(jié)論：70%的安全損失是由內(nèi)部造成的。由于內(nèi)部人員熟悉文件的存放，還可以接觸到密級(jí)高、范圍廣的文件，危害程度更高?？梢?jiàn)，從數(shù)據(jù)保密角度講要內(nèi)外兼防、甚至要防內(nèi)重于防外。

核心機(jī)密數(shù)據(jù)是企業(yè)的命脈，企業(yè)在商業(yè)活動(dòng)中使用的諸如市場(chǎng)經(jīng)營(yíng)策略、業(yè)務(wù)技術(shù)策略、財(cái)務(wù)分析報(bào)表、客戶信息、研發(fā)文檔等商業(yè)機(jī)密信息，這些信息如果被競(jìng)爭(zhēng)對(duì)手獲取，將給企業(yè)的業(yè)務(wù)發(fā)展帶來(lái)危害，帶來(lái)巨大的信息資產(chǎn)損失，同時(shí)給企業(yè)的聲譽(yù)造成不良影響。通過(guò)建立完善的防泄密系統(tǒng)，保護(hù)企業(yè)商業(yè)核心機(jī)密，已經(jīng)成為當(dāng)前眾多企業(yè)的普遍共識(shí)。

1.2 數(shù)據(jù)泄密途徑分析

數(shù)據(jù)泄密是指企業(yè)的機(jī)密數(shù)據(jù)未經(jīng)公司授權(quán)許可，從組織內(nèi)部傳輸?shù)浇M織外部，或者從有權(quán)訪問(wèn)的人傳輸?shù)綗o(wú)權(quán)訪問(wèn)的人，并且可以查看它們包含的內(nèi)容。

（1）物理途徑：把機(jī)密文件拷貝到存儲(chǔ)介質(zhì)、打印機(jī)密文件、沒(méi)有對(duì)報(bào)廢設(shè)備進(jìn)行有效的數(shù)據(jù)擦除處理等；

（2）網(wǎng)絡(luò)途徑：發(fā)布文件到互聯(lián)網(wǎng)、黑客非法獲取計(jì)算機(jī)的訪問(wèn)權(quán)限并獲取文件、隨意將文件設(shè)成共享，導(dǎo)致非相關(guān)人員獲取資料等；

（3）應(yīng)用程序途徑：計(jì)算機(jī)病毒自動(dòng)發(fā)送電子文檔；通過(guò)即時(shí)通信工具、郵件系統(tǒng)等發(fā)送電子文檔等。

因此，一個(gè)全方位數(shù)據(jù)防泄密系統(tǒng)，需要周密考慮對(duì)這些可能泄密途徑、環(huán)節(jié)的防范。

1.3 數(shù)據(jù)泄密風(fēng)險(xiǎn)分析

（1）濫用風(fēng)險(xiǎn)。存在大量的業(yè)務(wù)數(shù)據(jù)和文檔散落在終端電腦上；這些數(shù)據(jù)作為企業(yè)重要資產(chǎn)未受到保護(hù)；且這些文檔類型多種多樣，保密級(jí)別界定困難，數(shù)據(jù)傳播范圍界定困難；規(guī)范上的不健全及流程上的不完善，也造成了濫用的風(fēng)險(xiǎn)；

（2）無(wú)意識(shí)的泄密風(fēng)險(xiǎn)。由于機(jī)密數(shù)據(jù)的廣泛分布，員工的保密意識(shí)普遍比較薄弱，可能的泄密風(fēng)險(xiǎn)也增加；

（3）有意識(shí)的泄密風(fēng)險(xiǎn)。受利益的驅(qū)動(dòng)，利用技術(shù)和管理上的漏洞，有意識(shí)的進(jìn)行機(jī)密數(shù)據(jù)的泄密；在泄密保護(hù)及監(jiān)控手段薄弱的情況下，泄密成本低。

1.4 電信運(yùn)營(yíng)商數(shù)據(jù)防泄密的重要性

電信運(yùn)營(yíng)商由于業(yè)務(wù)管理特點(diǎn)，信息安全一直是企業(yè)關(guān)注的重點(diǎn)。中國(guó)移動(dòng)于2009年在全集團(tuán)實(shí)施“五條禁令”，明確信息安全與生產(chǎn)經(jīng)營(yíng)同等重要，關(guān)系到企業(yè)的穩(wěn)定發(fā)展。電信運(yùn)營(yíng)商企業(yè)的核心數(shù)據(jù)泄密將會(huì)給公司帶來(lái)負(fù)面的影響：對(duì)客戶相關(guān)信息的泄漏將引起客戶的投訴，更嚴(yán)重的將引起客戶的法律起訴；業(yè)務(wù)發(fā)展計(jì)劃和促銷(xiāo)計(jì)劃的泄漏，將直接影響公司的經(jīng)濟(jì)收入；業(yè)務(wù)應(yīng)用系統(tǒng)賬號(hào)信息和配置泄漏，導(dǎo)致未授權(quán)人員竊取企業(yè)機(jī)密信息；經(jīng)營(yíng)分析材料和公司的重要文件、會(huì)議紀(jì)要的泄漏，將直接影響公司競(jìng)爭(zhēng)力和社會(huì)公信力。

2 業(yè)界防泄密介紹

為了解決企業(yè)面臨的機(jī)密數(shù)據(jù)的泄密問(wèn)題，現(xiàn)階段國(guó)內(nèi)外應(yīng)用較廣泛的手段有：數(shù)據(jù)權(quán)限管理技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)據(jù)防泄密技術(shù)、行政管理手段等。

2.1 數(shù)據(jù)權(quán)限管理技術(shù)

數(shù)據(jù)權(quán)限管理技術(shù)一般通過(guò)集中的權(quán)限管理中心，對(duì)每一個(gè)文檔的訪問(wèn)權(quán)限進(jìn)行控制。用戶訪問(wèn)文件時(shí)，需通過(guò)權(quán)限管理中心服務(wù)器驗(yàn)證與授權(quán)后方可正常使用文檔。數(shù)據(jù)權(quán)限管理技術(shù)的主要優(yōu)點(diǎn)是集中管理和授權(quán)，可以決定數(shù)據(jù)的訪問(wèn)和使用方式。但此類系統(tǒng)大多需要特殊的閱讀器，只能對(duì)特定格式文件進(jìn)行控制，不能防范被授權(quán)用戶的主動(dòng)泄密。數(shù)據(jù)權(quán)限管理系統(tǒng)在一定程度上可以控制數(shù)據(jù)文件的傳播和使用，但是仍然存在著很大的不足。

2.2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)的思路就是將受保護(hù)的機(jī)密文件進(jìn)行加密存放。它的主要優(yōu)點(diǎn)是能夠阻止沒(méi)有密碼的人非法獲取信息，即使丟失數(shù)據(jù)也沒(méi)關(guān)系。數(shù)據(jù)加密常見(jiàn)的方式有基于應(yīng)用程序插件的主動(dòng)加密、基于API攔截的主動(dòng)加密、基于文件系統(tǒng)驅(qū)動(dòng)技術(shù)的主動(dòng)加密等。但是無(wú)論哪種加密方式，對(duì)于密鑰的管理復(fù)雜性較高。同時(shí)它同樣存在著只能對(duì)特定格式文件進(jìn)行控制、不能防范被授權(quán)用戶的主動(dòng)泄密和文檔作者的主動(dòng)泄密等不足。

2.3 行政管理手段

行政管理手段的主要優(yōu)點(diǎn)是能夠從管理制度上對(duì)用戶使用機(jī)密數(shù)據(jù)進(jìn)行限制。行政管理控制的有效性主要依賴于個(gè)人的自覺(jué)性和自主性，以及個(gè)人的職業(yè)道德水平，缺乏一些有效的技術(shù)手段對(duì)這些應(yīng)用數(shù)據(jù)的流轉(zhuǎn)、外送和存儲(chǔ)，進(jìn)行有效地跟蹤審計(jì)，甚至是實(shí)時(shí)阻止和保護(hù)。完全依賴行政管理手段，不可避免的會(huì)由于安全意識(shí)不足或者個(gè)人利益驅(qū)使，發(fā)生核心機(jī)密數(shù)據(jù)的外泄情況。

2.4 數(shù)據(jù)防泄密技術(shù)

數(shù)據(jù)防泄密技術(shù)通過(guò)使用多種內(nèi)容感知技術(shù)，發(fā)現(xiàn)敏感或機(jī)密數(shù)據(jù),其工作原理主要由數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)監(jiān)控、數(shù)據(jù)防止與審計(jì)3個(gè)模塊來(lái)實(shí)現(xiàn)。數(shù)據(jù)防泄密技術(shù)的優(yōu)點(diǎn)是能夠?qū)崟r(shí)審計(jì)、阻止機(jī)密數(shù)據(jù)的外泄，是一種過(guò)程控制策略。但是還存在因未主動(dòng)加密，導(dǎo)致諸如硬盤(pán)物理拆卸拷貝造成的數(shù)據(jù)泄密等問(wèn)題。

綜上所述，由于目前沒(méi)有一種防泄密技術(shù)可全面滿足企業(yè)機(jī)密數(shù)據(jù)精細(xì)化控制、防護(hù)的策略，需綜合運(yùn)用管理手段與各種防護(hù)技術(shù)，實(shí)現(xiàn)數(shù)據(jù)防泄密體系化的構(gòu)筑，才能滿足企業(yè)防泄密的需求。

3 立體化數(shù)據(jù)防泄密體系的構(gòu)筑

3.1 立體化數(shù)據(jù)防泄密體系的框架

立體化數(shù)據(jù)防泄密體系的思路是圍繞“你是誰(shuí)”、“誰(shuí)能用”、“誰(shuí)亂用”為控制點(diǎn)，利用行政管理手段進(jìn)行流程規(guī)范管控，同步實(shí)施嚴(yán)格的終端準(zhǔn)入控制，并綜合利用數(shù)據(jù)加密與權(quán)限管理技術(shù)、數(shù)據(jù)防泄密技術(shù)對(duì)應(yīng)用數(shù)據(jù)的流轉(zhuǎn)、外送、存儲(chǔ)，進(jìn)行有效的跟蹤、審計(jì)、實(shí)時(shí)阻止與保護(hù)，達(dá)到企業(yè)機(jī)密數(shù)據(jù)防泄密的要求，整體框架如圖1所示。

圖1 立體化防泄密體系

3.1.1 行政管理手段

通過(guò)行政管理手段梳理企業(yè)機(jī)密數(shù)據(jù)，明確機(jī)密數(shù)據(jù)的等級(jí)，規(guī)范機(jī)密數(shù)據(jù)的審批流程、加密規(guī)則、授權(quán)要求、使用責(zé)任及義務(wù)；同時(shí)通過(guò)制定完善的考核辦法為各種防泄密技術(shù)的實(shí)施提供管理保障。

3.1.2 統(tǒng)一身份認(rèn)證與終端準(zhǔn)入控制

建立企業(yè)統(tǒng)一的身份認(rèn)證體系，確保企業(yè)員工在使用機(jī)密數(shù)據(jù)的過(guò)程中身份的唯一性，解決“你是誰(shuí)”的問(wèn)題。

實(shí)施嚴(yán)格的終端準(zhǔn)入控制策略，對(duì)終端進(jìn)行身份認(rèn)證及合規(guī)檢查，非認(rèn)證、非合規(guī)終端無(wú)法接入企業(yè)網(wǎng)絡(luò)；解決了終端的“誰(shuí)能用”問(wèn)題，并控制“誰(shuí)亂用”現(xiàn)象。

3.1.3 數(shù)據(jù)加密與權(quán)限管理系統(tǒng)

部署數(shù)據(jù)加密與權(quán)限管理系統(tǒng)，實(shí)現(xiàn)對(duì)需要加密的文檔進(jìn)行加密授權(quán)管理，加密文檔能夠授予只讀、修改、打印、離線等權(quán)限，滿足了企業(yè)機(jī)密數(shù)據(jù)精細(xì)化權(quán)限控制的要求，解決了數(shù)據(jù)“誰(shuí)能用”的問(wèn)題。

3.1.4 數(shù)據(jù)防泄密系統(tǒng)

數(shù)據(jù)防泄密系統(tǒng)，以下稱之為DLP系統(tǒng)，通過(guò)發(fā)現(xiàn)敏感或機(jī)密數(shù)據(jù)，在跟蹤其用戶的使用行為，記錄或阻止敏感信息泄漏，通過(guò)自動(dòng)識(shí)別、自動(dòng)監(jiān)控、自動(dòng)稽核保護(hù)的方式實(shí)現(xiàn)對(duì)機(jī)密數(shù)據(jù)的安全保護(hù)，解決了數(shù)據(jù)“誰(shuí)亂用”的問(wèn)題。

3.2 立體化數(shù)據(jù)防泄密體系的部署

3.2.1 行政管理手段的部署

通過(guò)對(duì)企業(yè)數(shù)據(jù)的梳理，明確定義公司年度工作會(huì)等15類為企業(yè)機(jī)密數(shù)據(jù)，同時(shí)將機(jī)密數(shù)據(jù)分級(jí)，進(jìn)一步制定了分層、分級(jí)的權(quán)限矩陣表。如表1列舉了公司年度工作會(huì)的權(quán)限矩陣表。

所有企業(yè)機(jī)密數(shù)據(jù)在使用、傳播、存儲(chǔ)過(guò)程中，公司規(guī)定必須依據(jù)權(quán)限矩陣表，使用數(shù)據(jù)加密與權(quán)限管理系統(tǒng)進(jìn)行合規(guī)性的加密與授權(quán)，不得私自擴(kuò)大知悉范圍，防止泄密。

表1 機(jī)密授權(quán)矩陣表示例

圖2 統(tǒng)一身份認(rèn)證實(shí)施方案

圖3 終端準(zhǔn)入控制示意圖

圖4 DSM工作流程

此外，公司保密管理部門(mén)定期進(jìn)行重要機(jī)密數(shù)據(jù)的使用審計(jì)，對(duì)未做好機(jī)密數(shù)據(jù)管理的單位與個(gè)人，直接通過(guò)績(jī)效進(jìn)行考核。

3.2.2 統(tǒng)一身份認(rèn)證的部署

身份管理是指企業(yè)管理終端用戶和網(wǎng)絡(luò)實(shí)體整個(gè)安全生命周期的過(guò)程。結(jié)合當(dāng)前業(yè)界統(tǒng)一身份管理技術(shù)和產(chǎn)品的最新發(fā)展和趨勢(shì)，建

設(shè)了以“統(tǒng)一身份管理”和“統(tǒng)一登錄驗(yàn)證”為核心的統(tǒng)一身份認(rèn)證實(shí)施方案，如圖2所示。

通過(guò)統(tǒng)一身份認(rèn)證系統(tǒng)的實(shí)施，不但解決使用機(jī)密數(shù)據(jù)的過(guò)程中身份的唯一性，同時(shí)提高了應(yīng)用程序安全性，降低了企業(yè)管理成本，改善了用戶體驗(yàn)。

表2 泄密途徑及管控方式示例

3.2.3 終端準(zhǔn)入控制的部署

實(shí)施嚴(yán)格的終端準(zhǔn)入控制策略, 終端必須加入公司的AD域且安裝終端監(jiān)控客戶端軟件。由終端監(jiān)控客戶端軟件進(jìn)行身份認(rèn)證和安全合規(guī)性檢查，才能接入辦公網(wǎng)絡(luò)。安全合規(guī)性檢查包括終端的基本防護(hù)策略、是否安裝數(shù)據(jù)加密與權(quán)限管理系統(tǒng)與DLP系統(tǒng)等。

合規(guī)性檢查合格，則允許進(jìn)入企業(yè)核心網(wǎng)絡(luò)；否則進(jìn)入修復(fù)區(qū)，如圖3所示。

規(guī)范統(tǒng)一的終端準(zhǔn)入管理，整體提高接入終端的安全防護(hù)等級(jí)，有效防范蠕蟲(chóng)病毒可能引發(fā)的防泄密風(fēng)險(xiǎn)，阻止了非認(rèn)證、非合規(guī)終端的接入。

3.2.4 數(shù)據(jù)加密與權(quán)限管理的部署

數(shù)據(jù)加密與權(quán)限管理系統(tǒng)通過(guò)部署DSM系統(tǒng)實(shí)現(xiàn)了對(duì)需要加密的文檔進(jìn)行加密授權(quán)管理，實(shí)現(xiàn)了對(duì)企業(yè)機(jī)密數(shù)據(jù)的分層分級(jí)授權(quán)，同時(shí)確保了企業(yè)機(jī)密數(shù)據(jù)離開(kāi)企業(yè)內(nèi)部環(huán)境后的不可讀性，防范機(jī)密數(shù)據(jù)因丟竊、盜取等原因造成的數(shù)據(jù)泄密,如圖4所示。

表3 DLP系統(tǒng)策略參數(shù)部署示例

3.2.5 數(shù)據(jù)防泄密技術(shù)的部署

根據(jù)數(shù)據(jù)源走向分析，總結(jié)出了本地硬盤(pán)、移動(dòng)介質(zhì)、截屏拷貝、電子郵件等14種泄密途徑?；谛姑芡緩?，制定出了明確的管控方式。表2列舉了其中3種泄密途徑及管控方式。

基于管控方式與防泄密策略，在DLP系統(tǒng)上部署了12種策略參數(shù)。表3列舉了其中檢測(cè)向外傳送的數(shù)據(jù)中是否包含15位或18位身份證號(hào)碼的客戶信息與是否包含客戶賬單兩種策略參數(shù)的設(shè)置。

經(jīng)驗(yàn)證，通過(guò)泄露途徑的管控與策略參數(shù)的部署，能夠有效的檢測(cè)機(jī)密數(shù)據(jù)的存儲(chǔ)及流轉(zhuǎn)，由DLP系統(tǒng)完成告警、記錄、審計(jì)和阻止。

3.3 立體化數(shù)據(jù)防泄密體系的應(yīng)用效果

根據(jù)研究成果和項(xiàng)目實(shí)施，2010年起開(kāi)始在某電信運(yùn)營(yíng)公司部署并快速應(yīng)用。經(jīng)實(shí)踐證明，通過(guò)數(shù)據(jù)防泄密管理體系的構(gòu)筑，將數(shù)據(jù)防泄密從以前的“事后查找取證”轉(zhuǎn)變?yōu)楝F(xiàn)在的“事前預(yù)防審核”，有效降低了可能對(duì)企業(yè)經(jīng)營(yíng)造成危害的各項(xiàng)信息風(fēng)險(xiǎn)。

4 下一步研究方向

（1）進(jìn)一步加強(qiáng)DLP系統(tǒng)和DSM系統(tǒng)兩種技術(shù)的自動(dòng)結(jié)合，以實(shí)現(xiàn)敏感信息的完整生命周期管理；

（2）研究在互聯(lián)網(wǎng)出口和無(wú)線WLAN環(huán)境下的密文破解和如何進(jìn)行更有效的實(shí)時(shí)攔截防護(hù)。

[1] Check Point軟件技術(shù)有限公司與波耐蒙研究所. 了解21世紀(jì)IT環(huán)境的安全復(fù)雜性[Z]. 2011.

[2] 李碩. 電子文檔防泄密軟件的設(shè)計(jì)與實(shí)現(xiàn)[D]. 上海：上海交通大學(xué)，2008.

[3] 劉功堅(jiān). 基于文檔保護(hù)的數(shù)字權(quán)限管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].濟(jì)南：山東大學(xué)碩士學(xué)位論文，2008.