终端准入控制与数据防泄漏技术在企业中的应用

白国靖

【摘要】 企业级数据是一个企业核心竞争力的重要体现，数据的安全性应该受到足够重视，利用终端准入控制和数据防泄密技术可进一步提高企业安全管控能力。

【关键字】 准入控制 防泄漏 数据安全

随着企业数据中心的快速发展，除了企业内部员工对企业资源进行访问外，越来越多的第三方厂商也参与到企业日常的系统维护和开发过程中，這给企业数据安全产生了极大的威胁。因此，为进提高企业数据的安全管控能力，在完善管理制度的基础上，需建立统一的终端准入控制系统和数据防泄密体系，进而提高终端的安全管控水平。

一、终端准入控制技术

终端准入系统部署终端准入控制系统，防止不符合安全策略的终端接入数据中心访问资源，对所有访问数据中心的终端进行资产管理和控制。目前，业界常用的准入控制技术包括：802.1x准入控制、DHCP准入控制、ARP spoofing型准入控制、DNS重定向型准入控制。

1、基于802.1x的准入控制。802.1x技术准入控制需要管理员在网络设备上开启8021.1x功能，用户接入时只有允许的报文可以（如认证报文、DHCP报文）通过，通过认证和安全检查后，设备端口才会完全打开并允许用户上网，同时基于用户的安全策略也会从radius服务器上下发给设备执行。802.1x技术可以再接入层交换机上进行准入控制，也可以与无线设备、路由器的以太网模块进行配合，对局域网、无线用户、广域网用户等进行准入控制。当802.1x准入技术要求交换机必须支持802.1x。当端口下挂Hub或普通交换机的情况下，则无法实现对非法人和终端的VLAN隔离。

2、DHCP 控制准入方式。即在终端通过DHCP 请求分配地址时，进行准入控制。其优点是：可以用于任何适用于DHCP 分配IP 地址的网络，易于安装和配置。其缺点是：终端通过自行配置静态IP 地址，可以绕过准入控制体系。

3、ARP spoofing 准入控制方式。在每个局域网上安装一个ARP spoofing代理，对终端发起ARP请求代替路由网关回复ARP spoofing，从而使其他终端的网络流量必须经过代理。在这个ARP spoofing代理上进行准入控制。其优点是：ARP适用于任何IP网络，并且不需要改动网络和主机配置。易于安装和配置。其缺点是：类似DHCP 控制，终端可以通过配置静态ARP表，来绕过准入控制体系。此外，终端安全软件和网络设备可能会将ARP spoofing 当成恶意软件处理。

4、DNS 重定向准入控制方式。在DNS 重定向机制中，将终端的所有DNS 解析请求（不管其请求解析的是什么域名注册），全部指定到一个固定的服务器IP 地址。其优点是：类似DHCP 管理和ARP spoofing，适用于任何适用DNS协议的网络，易于安装和部署，支持WEB portal 页面，可以通过DNS 重定向，将终端的HTML 请求重定向到WEB 认证和安全检查页面。其缺点是：类似DHCP 控制和ARP spoofing，终端可以通过不使用DNS协议来绕开准入控制限制（例如：使用静态HOSTS文件）。

二、数据防泄漏系统

目前业内主流的数据防泄漏系统主要基于加密及环境控制技术和基于内容识别技术，这两类DLP系统均为C/S（客户端/服务器）模式，可以针对不同的业务需求进行选择。

1、于加密及环境控制技术的数据防泄漏系统。在需要管控的环境中部署一台PC Server用来安装DLP服务端软件，实现对数据操作权限分发、邮件域名、数据外发通道（如QQ、U盘、FTP等）限制、数据外发审批等策略的集中配置和个性化配置。在需要管控的用户终端上安装DLP客户端软件，通过此客户端软件将用户终端划分成工作分区和非工作分区。通过服务器端事先配置好的策略，终端只能将业务系统后下载后的数据存储在工作分区中，而在非工作区中对工作区中数据无法进行任何操作，而工作区中的数据也无法存储到非工作区，从而对终端上的个人数据与业务数据进行隔离保护。

2、基于内容识别技术的数据防泄漏系统。在需要管控的环境中部署一台PC Server安装DLP服务器端和数据库系统，用来做策略管理，主要实现对文件保密级别分类、关键字匹配规则、敏感数据操作权限、敏感数据访问和操作时告警、提醒、阻止等策略的配置。在需要管控的终端上安装软件，实现对终端上所有的数据操作及访问行为（如移动介质拷贝、IM等外发行为）进行检测及发现，并可疑的敏感信息泄漏行为进行提醒、告警、阻断保护。企业可根据数据风险的差异，应用场景的不同而选择合适的解决方案。

三、总结

在部署终端准入控制系统和数据防泄密系统后，可实现以下防护效果：（1）将终端准入控制与数据防泄密系统有效结合，通过对终端和数据的有效管理和控制，提高信息安全管理等级。（2）对数据的传输通道如FTP、QQ、邮件、U盘等进行有效管控。（3）数据在流转的过程（存储、传输、交换、外发）中得到了全方位的加密与审批保护，使数据的生存环境得到有效控制。（4）日志审计。对数据的外发、复制等操作进行细粒度的日志审计。

参 考 文 献

[1] 董月博. 终端准入控制系统的研究与实现[D]. 天津：天津大学. 学位论文. 2007.

[2] 赵杰. 终端准入控制技术探讨[J]. 信息安全与通信保密.2012（1）.