大部分信息化水平較高的企業(yè)經過多年的信息安全防護體系建設，在系統(tǒng)安全、終端安全、物理安全等方面已經卓有成效，目前已經分別在不同控制域完成了部分防泄密手段的安全控制。

為了更好的實現數據安全防護，滿足業(yè)務發(fā)展和監(jiān)管合規(guī)要求，必須解決當前數據內容防護層面臨的以下問題：

1.敏感數據的內容識別問題

（1）數據量大，數據關系復雜，難以進行梳理。

（2）無法判斷出哪些是敏感數據。

（3）缺乏對數據內容的分類和敏感級別分級。

（4）保護措施無法和敏感數據重要級別掛鉤，保護效能和效率較低。

2.敏感數據的存儲流轉問題

圖1 敏感數據管控體系的架構

（1）對于重要敏感的數據存放位置無從知曉，保護難以下手。

（2）數據可能存放在電腦、手機、筆記本、業(yè)務系統(tǒng)、數據庫、存儲中。

（3）無法明確某類敏感數據在企業(yè)的整體分布情況。

（4）缺乏對不同數據在不同位置的風險評估視圖。

上述問題導致企業(yè)面對急速增長的數據安全問題無法做到主動發(fā)現、動態(tài)監(jiān)控及管控措施，甚至因問題資產引發(fā)的安全事件在爆發(fā)后相當長的一段時間后才被知曉，管控措施較為消極。

設計思路

本方案通過對敏感數據管控現狀深入調研和梳理，結合PDCA的信息安全管理思想，提出敏感數據管控體系的架構，如圖1所示。

1.建立敏感數據管控策略體系和責任矩陣：以安全策略的規(guī)劃和建設為核心，用安全策略指導并驅動各項安全工作，使各項安全工作的目標清晰化、責任具體化、執(zhí)行規(guī)范化、稽核有理化。

2.建立敏感數據管控技術體系并將安全策略落地：通過敏感數據管控子系統(tǒng)的形式體現，分為事前預防、事中控制、事后追溯和審計三個階段。

3.審核安全管控策略的有效性和遵從性：建立基于平臺的IT技術和管理流程的安全檢查機制和統(tǒng)一標準。

4.持續(xù)改進敏感數據管控的策略體系和技術體系：實現信息安全重要指標在線統(tǒng)計、匯總分析等，為管理層提供可視化的安全決策信息和多維度合規(guī)分析和展示。

關鍵功能實現

1.敏感數據識別管理

敏感數據管控子系統(tǒng)設計兩種方式識別敏感數據。一是利用爬蟲技術分析數據庫、文件夾、文件中的數據，分析其中的敏感數據匹配度，以得到敏感數據資產。二是利用應用日志流量分析技術，通過在應用前臺的網絡必達通路上部署嗅探設備，分析應用前臺的應用流量日志，進而識別敏感數據。

（1）基于爬蟲技術的敏感數據識別

本方案采用數據資產爬蟲工具對數據庫、主機載體承載的數據資產實現自動采集，如圖2所示。

圖2 數據資產爬蟲工具工作機制示意圖

圖3 基于應用日志流量采集識別過程

（2）基于應用日志流量采集識別

本方案作為對數據庫后臺敏感數據采集的補充，針對前臺應用采用流量嗅探的方式主動抓取Web應用流量，通過對HTTP協(xié)議的解析，還原業(yè)務訪問流量，從中分析敏感數據生成和訪問情況，如圖3所示。

2.敏感數據模糊化處理

針對應用前臺數據，客戶信息在前臺進行展現時，按照模糊化規(guī)則對敏感信息數據的展現進行模糊化處理，確保低權限帳號無法直接查看模糊化前的原始信息。

針對測試后臺數據，在通過接口方式向外部提供客戶名稱、證件號碼時應結合對端機構情況進行一定的模糊化處理。

就每個模糊化規(guī)則的設定來說，其主要過程包含敏感數據要素分解、關鍵位置標注以及模糊規(guī)則定義等內容。

3.敏感數據訪問監(jiān)控

正常訪問監(jiān)控主要包括前臺敏感數據訪問異常監(jiān)控、后臺敏感數據訪問異常監(jiān)控、后臺關鍵維護指令異常的監(jiān)控、金庫控制異常監(jiān)控。

監(jiān)控方式主要采取閾值比對方法，將指定周期內對查詢和導出等敏感數據訪問操作行為的訪問量與閾值比對，發(fā)現超出閾值的訪問情況。

4.敏感數據繞行監(jiān)控

繞行訪問監(jiān)控主要包括前臺敏感數據繞行監(jiān)控、后臺敏感數據繞行監(jiān)控、金庫管理繞行監(jiān)控。

監(jiān)控方式是從4A平臺直接采集對敏感數據所在資產的繞行訪問日志直接進行分析比對。

敏感數據資產生成以后，結合4A平臺對敏感數據資產的訪問進行金庫控制和審計。主賬號登錄4A平臺訪問資源包含敏感數據資產時，自動觸發(fā)金庫。

5.敏感數據審計管理

審計系統(tǒng)對業(yè)務系統(tǒng)的敏感數據訪問日志進行采集，并通過相關字段進行關聯定位自然人身份、泄露源，以便能夠根據泄露內容對泄露事件進行溯源。

6.敏感數據防泄露

（1）網絡敏感數據防泄漏

通過掃描網絡中的所有數據，查看其是否包含敏感數據，并對敏感數據發(fā)現情況進行提示或告警。

通過使用端口鏡像SPAN）或網絡分流器配置，在網絡交換機上使用端口鏡像方法，所有進出端口的網絡數據包都將被復制到另一個與網絡敏感數據防泄漏設備連接的專用交換機端口，并對網絡流量的實時分析處理。

（2）端點敏感數據防泄漏解決方案

圖4 全網敏感數據全生命周期管理系統(tǒng)架構

通過在終端上部署端點敏感數據防泄漏設備，監(jiān)視正被下載到或寫入本地驅動器的數據，同時監(jiān)視和攔截復制到USB、防火墻或SCSI存儲設備或燒錄到CD/DVD的保密數據?？梢赃x擇顯示屏幕彈出消息，通知最終用戶違反了策略并包含一些字段供用戶判斷。

7.管控文件夾

維護人員維護敏感數據文件是通過單點登錄管控文件夾的方式直接操作敏感數據源文件，達到敏感數據專人專管，不能隨意修改、拷貝的目的。

建設效果

敏感數據管控子系統(tǒng)面向數據全生命周期，基于數據所處的不同周期與狀態(tài)，以敏感數據動態(tài)發(fā)現、安全風險實時監(jiān)控和數據閉環(huán)管理為技術手段，構建動態(tài)響應、主動型安全保障體系為目標，建立一套全網敏感數據全生命周期管理系統(tǒng)，如圖4所示。

具體效果如下：

敏感數據發(fā)現：實現基于指紋、關鍵字、詞典、語義、正則表達式等多種方式的敏感數據發(fā)現能力。

數據分類分級：通過抽取文件中的關鍵字，利用聚類算法實現對數據的自動化分類分級。

敏感收據流轉監(jiān)控：利用現有4A平臺，實現對敏感數據訪問過程的全程監(jiān)控，保障敏感數據的可視化管控。

建立敏感數據庫：根據以上發(fā)現的敏感數據信息建立敏感數據指紋庫，并能夠實現對數據變化的管理。

數據全生命周期管理：實現對數據全生命周期的管控，包括數據的產生、存儲、流轉、使用、銷毀等環(huán)節(jié)。

資產與敏感數據關聯及快速響應：建立敏感數據資產載體視圖，實現對敏感數據泄露風險的快速響應。

數據共享：系統(tǒng)具有開放能力，可與其他系統(tǒng)能夠通過接口進行數據連通。