白國靖

【摘要】 企業(yè)級數(shù)據(jù)是一個企業(yè)核心競爭力的重要體現(xiàn)，數(shù)據(jù)的安全性應該受到足夠重視，利用終端準入控制和數(shù)據(jù)防泄密技術(shù)可進一步提高企業(yè)安全管控能力。

【關(guān)鍵字】 準入控制 防泄漏 數(shù)據(jù)安全

隨著企業(yè)數(shù)據(jù)中心的快速發(fā)展，除了企業(yè)內(nèi)部員工對企業(yè)資源進行訪問外，越來越多的第三方廠商也參與到企業(yè)日常的系統(tǒng)維護和開發(fā)過程中，這給企業(yè)數(shù)據(jù)安全產(chǎn)生了極大的威脅。因此，為進提高企業(yè)數(shù)據(jù)的安全管控能力，在完善管理制度的基礎(chǔ)上，需建立統(tǒng)一的終端準入控制系統(tǒng)和數(shù)據(jù)防泄密體系，進而提高終端的安全管控水平。

一、終端準入控制技術(shù)

終端準入系統(tǒng)部署終端準入控制系統(tǒng)，防止不符合安全策略的終端接入數(shù)據(jù)中心訪問資源，對所有訪問數(shù)據(jù)中心的終端進行資產(chǎn)管理和控制。目前，業(yè)界常用的準入控制技術(shù)包括：802.1x準入控制、DHCP準入控制、ARP spoofing型準入控制、DNS重定向型準入控制。

1、基于802.1x的準入控制。802.1x技術(shù)準入控制需要管理員在網(wǎng)絡設備上開啟8021.1x功能，用戶接入時只有允許的報文可以（如認證報文、DHCP報文）通過，通過認證和安全檢查后，設備端口才會完全打開并允許用戶上網(wǎng)，同時基于用戶的安全策略也會從radius服務器上下發(fā)給設備執(zhí)行。802.1x技術(shù)可以再接入層交換機上進行準入控制，也可以與無線設備、路由器的以太網(wǎng)模塊進行配合，對局域網(wǎng)、無線用戶、廣域網(wǎng)用戶等進行準入控制。當802.1x準入技術(shù)要求交換機必須支持802.1x。當端口下掛Hub或普通交換機的情況下，則無法實現(xiàn)對非法人和終端的VLAN隔離。

2、DHCP 控制準入方式。即在終端通過DHCP 請求分配地址時，進行準入控制。其優(yōu)點是：可以用于任何適用于DHCP 分配IP 地址的網(wǎng)絡，易于安裝和配置。其缺點是：終端通過自行配置靜態(tài)IP 地址，可以繞過準入控制體系。

3、ARP spoofing 準入控制方式。在每個局域網(wǎng)上安裝一個ARP spoofing代理，對終端發(fā)起ARP請求代替路由網(wǎng)關(guān)回復ARP spoofing，從而使其他終端的網(wǎng)絡流量必須經(jīng)過代理。在這個ARP spoofing代理上進行準入控制。其優(yōu)點是：ARP適用于任何IP網(wǎng)絡，并且不需要改動網(wǎng)絡和主機配置。易于安裝和配置。其缺點是：類似DHCP 控制，終端可以通過配置靜態(tài)ARP表，來繞過準入控制體系。此外，終端安全軟件和網(wǎng)絡設備可能會將ARP spoofing 當成惡意軟件處理。

4、DNS 重定向準入控制方式。在DNS 重定向機制中，將終端的所有DNS 解析請求（不管其請求解析的是什么域名注冊），全部指定到一個固定的服務器IP 地址。其優(yōu)點是：類似DHCP 管理和ARP spoofing，適用于任何適用DNS協(xié)議的網(wǎng)絡，易于安裝和部署，支持WEB portal 頁面，可以通過DNS 重定向，將終端的HTML 請求重定向到WEB 認證和安全檢查頁面。其缺點是：類似DHCP 控制和ARP spoofing，終端可以通過不使用DNS協(xié)議來繞開準入控制限制（例如：使用靜態(tài)HOSTS文件）。

二、數(shù)據(jù)防泄漏系統(tǒng)

目前業(yè)內(nèi)主流的數(shù)據(jù)防泄漏系統(tǒng)主要基于加密及環(huán)境控制技術(shù)和基于內(nèi)容識別技術(shù)，這兩類DLP系統(tǒng)均為C/S（客戶端/服務器）模式，可以針對不同的業(yè)務需求進行選擇。

1、于加密及環(huán)境控制技術(shù)的數(shù)據(jù)防泄漏系統(tǒng)。在需要管控的環(huán)境中部署一臺PC Server用來安裝DLP服務端軟件，實現(xiàn)對數(shù)據(jù)操作權(quán)限分發(fā)、郵件域名、數(shù)據(jù)外發(fā)通道（如QQ、U盤、FTP等）限制、數(shù)據(jù)外發(fā)審批等策略的集中配置和個性化配置。在需要管控的用戶終端上安裝DLP客戶端軟件，通過此客戶端軟件將用戶終端劃分成工作分區(qū)和非工作分區(qū)。通過服務器端事先配置好的策略，終端只能將業(yè)務系統(tǒng)后下載后的數(shù)據(jù)存儲在工作分區(qū)中，而在非工作區(qū)中對工作區(qū)中數(shù)據(jù)無法進行任何操作，而工作區(qū)中的數(shù)據(jù)也無法存儲到非工作區(qū)，從而對終端上的個人數(shù)據(jù)與業(yè)務數(shù)據(jù)進行隔離保護。

2、基于內(nèi)容識別技術(shù)的數(shù)據(jù)防泄漏系統(tǒng)。在需要管控的環(huán)境中部署一臺PC Server安裝DLP服務器端和數(shù)據(jù)庫系統(tǒng)，用來做策略管理，主要實現(xiàn)對文件保密級別分類、關(guān)鍵字匹配規(guī)則、敏感數(shù)據(jù)操作權(quán)限、敏感數(shù)據(jù)訪問和操作時告警、提醒、阻止等策略的配置。在需要管控的終端上安裝軟件，實現(xiàn)對終端上所有的數(shù)據(jù)操作及訪問行為（如移動介質(zhì)拷貝、IM等外發(fā)行為）進行檢測及發(fā)現(xiàn)，并可疑的敏感信息泄漏行為進行提醒、告警、阻斷保護。企業(yè)可根據(jù)數(shù)據(jù)風險的差異，應用場景的不同而選擇合適的解決方案。

三、總結(jié)

在部署終端準入控制系統(tǒng)和數(shù)據(jù)防泄密系統(tǒng)后，可實現(xiàn)以下防護效果：（1）將終端準入控制與數(shù)據(jù)防泄密系統(tǒng)有效結(jié)合，通過對終端和數(shù)據(jù)的有效管理和控制，提高信息安全管理等級。（2）對數(shù)據(jù)的傳輸通道如FTP、QQ、郵件、U盤等進行有效管控。（3）數(shù)據(jù)在流轉(zhuǎn)的過程（存儲、傳輸、交換、外發(fā)）中得到了全方位的加密與審批保護，使數(shù)據(jù)的生存環(huán)境得到有效控制。（4）日志審計。對數(shù)據(jù)的外發(fā)、復制等操作進行細粒度的日志審計。

參 考 文 獻

[1] 董月博. 終端準入控制系統(tǒng)的研究與實現(xiàn)[D]. 天津：天津大學. 學位論文. 2007.

[2] 趙杰. 終端準入控制技術(shù)探討[J]. 信息安全與通信保密.2012（1）.