构筑立体化数据防泄密体系

江家兴，乔吉吉，陈希，廖伟

（1 中国移动通信集团福建有限公司，福州 350001；2 中国移动通信集团公司，北京 100032；3 中国移动通信集团福建有限公司福州分公司，福州 350001）

随着信息技术的发展，以电子文档形式保存的商业机密数据已经成为企业的重要资产，但是由于其易被复制、修改和传播等特点，可能引发非常严重的信息泄密问题，带来巨大的损失。

为防范商业机密数据的泄漏，很多企业已经对员工使用、传播机密数据做了严格的规定，但是由于缺乏监管、防范的有效技术手段，仍存在不少的商业机密数据外泄事例。本文评估了企业机密数据在端点、网络、存储过程中的风险，并结合多种防泄密技术手段，提出了管理和技术相结合的立体化防泄密体系。通过立体化数据防泄密体系的构筑，能够有效保护和监控企业机密做到“事前预防、事中保护、事后审计”，为企业提供有效的信息安全保障。

1 数据防泄密的需求及泄密途径、风险分析

1.1 数据防泄密的背景及需求

根据2011年《了解21世纪IT环境的安全复杂性》的全球调研报告，全球有77%的受访企业在2010年遭遇过机密数据泄密，该调查结果认为绝大多数泄密事件是由内部人员、或者由内外勾结造成的。IDC的报告也得出了类似的结论：70%的安全损失是由内部造成的。由于内部人员熟悉文件的存放，还可以接触到密级高、范围广的文件，危害程度更高。可见，从数据保密角度讲要内外兼防、甚至要防内重于防外。

核心机密数据是企业的命脉，企业在商业活动中使用的诸如市场经营策略、业务技术策略、财务分析报表、客户信息、研发文档等商业机密信息，这些信息如果被竞争对手获取，将给企业的业务发展带来危害，带来巨大的信息资产损失，同时给企业的声誉造成不良影响。通过建立完善的防泄密系统，保护企业商业核心机密，已经成为当前众多企业的普遍共识。

1.2 数据泄密途径分析

数据泄密是指企业的机密数据未经公司授权许可，从组织内部传输到组织外部，或者从有权访问的人传输到无权访问的人，并且可以查看它们包含的内容。

（1）物理途径：把机密文件拷贝到存储介质、打印机密文件、没有对报废设备进行有效的数据擦除处理等；

（2）网络途径：发布文件到互联网、黑客非法获取计算机的访问权限并获取文件、随意将文件设成共享，导致非相关人员获取资料等；

（3）应用程序途径：计算机病毒自动发送电子文档；通过即时通信工具、邮件系统等发送电子文档等。

因此，一个全方位数据防泄密系统，需要周密考虑对这些可能泄密途径、环节的防范。

1.3 数据泄密风险分析

（1）滥用风险。存在大量的业务数据和文档散落在终端电脑上；这些数据作为企业重要资产未受到保护；且这些文档类型多种多样，保密级别界定困难，数据传播范围界定困难；规范上的不健全及流程上的不完善，也造成了滥用的风险；

（2）无意识的泄密风险。由于机密数据的广泛分布，员工的保密意识普遍比较薄弱，可能的泄密风险也增加；

（3）有意识的泄密风险。受利益的驱动，利用技术和管理上的漏洞，有意识的进行机密数据的泄密；在泄密保护及监控手段薄弱的情况下，泄密成本低。

1.4 电信运营商数据防泄密的重要性

电信运营商由于业务管理特点，信息安全一直是企业关注的重点。中国移动于2009年在全集团实施“五条禁令”，明确信息安全与生产经营同等重要，关系到企业的稳定发展。电信运营商企业的核心数据泄密将会给公司带来负面的影响：对客户相关信息的泄漏将引起客户的投诉，更严重的将引起客户的法律起诉；业务发展计划和促销计划的泄漏，将直接影响公司的经济收入；业务应用系统账号信息和配置泄漏，导致未授权人员窃取企业机密信息；经营分析材料和公司的重要文件、会议纪要的泄漏，将直接影响公司竞争力和社会公信力。

2 业界防泄密介绍

为了解决企业面临的机密数据的泄密问题，现阶段国内外应用较广泛的手段有：数据权限管理技术、数据加密技术、数据防泄密技术、行政管理手段等。

2.1 数据权限管理技术

数据权限管理技术一般通过集中的权限管理中心，对每一个文档的访问权限进行控制。用户访问文件时，需通过权限管理中心服务器验证与授权后方可正常使用文档。数据权限管理技术的主要优点是集中管理和授权，可以决定数据的访问和使用方式。但此类系统大多需要特殊的阅读器，只能对特定格式文件进行控制，不能防范被授权用户的主动泄密。数据权限管理系统在一定程度上可以控制数据文件的传播和使用，但是仍然存在着很大的不足。

2.2 数据加密技术

数据加密技术的思路就是将受保护的机密文件进行加密存放。它的主要优点是能够阻止没有密码的人非法获取信息，即使丢失数据也没关系。数据加密常见的方式有基于应用程序插件的主动加密、基于API拦截的主动加密、基于文件系统驱动技术的主动加密等。但是无论哪种加密方式，对于密钥的管理复杂性较高。同时它同样存在着只能对特定格式文件进行控制、不能防范被授权用户的主动泄密和文档作者的主动泄密等不足。

2.3 行政管理手段

行政管理手段的主要优点是能够从管理制度上对用户使用机密数据进行限制。行政管理控制的有效性主要依赖于个人的自觉性和自主性，以及个人的职业道德水平，缺乏一些有效的技术手段对这些应用数据的流转、外送和存储，进行有效地跟踪审计，甚至是实时阻止和保护。完全依赖行政管理手段，不可避免的会由于安全意识不足或者个人利益驱使，发生核心机密数据的外泄情况。

2.4 数据防泄密技术

数据防泄密技术通过使用多种内容感知技术，发现敏感或机密数据,其工作原理主要由数据发现、数据监控、数据防止与审计3个模块来实现。数据防泄密技术的优点是能够实时审计、阻止机密数据的外泄，是一种过程控制策略。但是还存在因未主动加密，导致诸如硬盘物理拆卸拷贝造成的数据泄密等问题。

综上所述，由于目前没有一种防泄密技术可全面满足企业机密数据精细化控制、防护的策略，需综合运用管理手段与各种防护技术，实现数据防泄密体系化的构筑，才能满足企业防泄密的需求。

3 立体化数据防泄密体系的构筑

3.1 立体化数据防泄密体系的框架

立体化数据防泄密体系的思路是围绕“你是谁”、“谁能用”、“谁乱用”为控制点，利用行政管理手段进行流程规范管控，同步实施严格的终端准入控制，并综合利用数据加密与权限管理技术、数据防泄密技术对应用数据的流转、外送、存储，进行有效的跟踪、审计、实时阻止与保护，达到企业机密数据防泄密的要求，整体框架如图1所示。

图1 立体化防泄密体系

3.1.1 行政管理手段

通过行政管理手段梳理企业机密数据，明确机密数据的等级，规范机密数据的审批流程、加密规则、授权要求、使用责任及义务；同时通过制定完善的考核办法为各种防泄密技术的实施提供管理保障。

3.1.2 统一身份认证与终端准入控制

建立企业统一的身份认证体系，确保企业员工在使用机密数据的过程中身份的唯一性，解决“你是谁”的问题。

实施严格的终端准入控制策略，对终端进行身份认证及合规检查，非认证、非合规终端无法接入企业网络；解决了终端的“谁能用”问题，并控制“谁乱用”现象。

3.1.3 数据加密与权限管理系统

部署数据加密与权限管理系统，实现对需要加密的文档进行加密授权管理，加密文档能够授予只读、修改、打印、离线等权限，满足了企业机密数据精细化权限控制的要求，解决了数据“谁能用”的问题。

3.1.4 数据防泄密系统

数据防泄密系统，以下称之为DLP系统，通过发现敏感或机密数据，在跟踪其用户的使用行为，记录或阻止敏感信息泄漏，通过自动识别、自动监控、自动稽核保护的方式实现对机密数据的安全保护，解决了数据“谁乱用”的问题。

3.2 立体化数据防泄密体系的部署

3.2.1 行政管理手段的部署

通过对企业数据的梳理，明确定义公司年度工作会等15类为企业机密数据，同时将机密数据分级，进一步制定了分层、分级的权限矩阵表。如表1列举了公司年度工作会的权限矩阵表。

所有企业机密数据在使用、传播、存储过程中，公司规定必须依据权限矩阵表，使用数据加密与权限管理系统进行合规性的加密与授权，不得私自扩大知悉范围，防止泄密。

表1 机密授权矩阵表示例

图2 统一身份认证实施方案

图3 终端准入控制示意图

图4 DSM工作流程

此外，公司保密管理部门定期进行重要机密数据的使用审计，对未做好机密数据管理的单位与个人，直接通过绩效进行考核。

3.2.2 统一身份认证的部署

身份管理是指企业管理终端用户和网络实体整个安全生命周期的过程。结合当前业界统一身份管理技术和产品的最新发展和趋势，建

设了以“统一身份管理”和“统一登录验证”为核心的统一身份认证实施方案，如图2所示。

通过统一身份认证系统的实施，不但解决使用机密数据的过程中身份的唯一性，同时提高了应用程序安全性，降低了企业管理成本，改善了用户体验。

表2 泄密途径及管控方式示例

3.2.3 终端准入控制的部署

实施严格的终端准入控制策略, 终端必须加入公司的AD域且安装终端监控客户端软件。由终端监控客户端软件进行身份认证和安全合规性检查，才能接入办公网络。安全合规性检查包括终端的基本防护策略、是否安装数据加密与权限管理系统与DLP系统等。

合规性检查合格，则允许进入企业核心网络；否则进入修复区，如图3所示。

规范统一的终端准入管理，整体提高接入终端的安全防护等级，有效防范蠕虫病毒可能引发的防泄密风险，阻止了非认证、非合规终端的接入。

3.2.4 数据加密与权限管理的部署

数据加密与权限管理系统通过部署DSM系统实现了对需要加密的文档进行加密授权管理，实现了对企业机密数据的分层分级授权，同时确保了企业机密数据离开企业内部环境后的不可读性，防范机密数据因丢窃、盗取等原因造成的数据泄密,如图4所示。

表3 DLP系统策略参数部署示例

3.2.5 数据防泄密技术的部署

根据数据源走向分析，总结出了本地硬盘、移动介质、截屏拷贝、电子邮件等14种泄密途径。基于泄密途径，制定出了明确的管控方式。表2列举了其中3种泄密途径及管控方式。

基于管控方式与防泄密策略，在DLP系统上部署了12种策略参数。表3列举了其中检测向外传送的数据中是否包含15位或18位身份证号码的客户信息与是否包含客户账单两种策略参数的设置。

经验证，通过泄露途径的管控与策略参数的部署，能够有效的检测机密数据的存储及流转，由DLP系统完成告警、记录、审计和阻止。

3.3 立体化数据防泄密体系的应用效果

根据研究成果和项目实施，2010年起开始在某电信运营公司部署并快速应用。经实践证明，通过数据防泄密管理体系的构筑，将数据防泄密从以前的“事后查找取证”转变为现在的“事前预防审核”，有效降低了可能对企业经营造成危害的各项信息风险。

4 下一步研究方向

（1）进一步加强DLP系统和DSM系统两种技术的自动结合，以实现敏感信息的完整生命周期管理；

（2）研究在互联网出口和无线WLAN环境下的密文破解和如何进行更有效的实时拦截防护。

[1] Check Point软件技术有限公司与波耐蒙研究所. 了解21世纪IT环境的安全复杂性[Z]. 2011.

[2] 李硕. 电子文档防泄密软件的设计与实现[D]. 上海：上海交通大学，2008.

[3] 刘功坚. 基于文档保护的数字权限管理系统设计与实现[D].济南：山东大学硕士学位论文，2008.