一、序言
近年来各地政府持续大力推进政务信息共享交换的建设,政府与政府之间数据交换,政府与企业之间的数据开放正在成为各组织机关开展高效行动的一项日益重要的能力,新冠疫情暴发期间,各地健康宝数据共享就是这项能力的有效证明。然而,在跨域数据共享过程中,敏感数据的机密性受到极大挑战,如何防范敏感数据泄露,保护关键数据资产成为各组织机关重要课题。
二、跨域数据共享面临的安全风险
随着等级保护制度的实施,通信基础设施安全已经能够得到保障,跨域数据共享安全焦点逐渐转向业务深水区。由于各组织的职责不同,同一类数据在不同单位的安全要求级别存在较大差异,某些权属部门采集的数据范围大、处理权限高,而某些相关部门所需的数据范围小,处理权限低,由此形成了高安全域和低安全域差别。
根据美国安全桔皮书中的BLP(Bell-Lapudula)访问控制模型的定义,当数据由高安全域流向低安全域,即高密低流,则会导致数据机密性风险。在实际敏感数据防护监管体系中,跨域数据共享可能面临数据自身的机密性风险和防护监管难题,主要包括:1、敏感数据暴露由于技术、管理、人员等多种因素的影响,跨域数据共享最可能面临的风险是高安全域向低安全域开放其无权访问的数据,即低安全域明明只需要数据A,但是在高安全域中,A、B数据是同一类数据的不同属性,高安全域在数据共享时未加以处理和区分,从而导致数据B泄露到了低安全域。
2、主体责任不清
在数据共享过程中,原始的数据拥有者需承担数据的真实性、准确性、机密性责任,并需为数据安全持续进行组织、人员、技术、资金投入。但是当数据获得者通过数据共享拥有了一份新的数据拷贝,就成为了新的数据拥有者,随着数据共享的范围增加,数据安全的主体责任就可能随着共享范围的增加,被新的数据拥有者所忽略。
3、防护强度降级
根据《DSMM数据安全成熟度模型》的定义,组织的数据安全能力成熟度分为五个级别,代表了组织从随机、无序、无法复制的能力,到可度量、可预测、不断改进和优化的不同级别能力模型。不同组织的成熟度级别不同,对数据安全防护的强度就存在差异,根据木桶原理,数据的整体安全防护能力取决于防护能力最差的那块短板。
4、追踪溯源困难
指望目前的安全防护措施能够百分之百的防止敏感数据泄露是不现实的,一旦发生数据泄露事件,则需组织具备能力,回溯泄露源头,追踪泄露路径,实施调查取证。在数据共享之后,所有安全域内的数据访问日志的完整性受到挑战,任意安全域内的日志遭到破坏,都会给追踪溯源造成不利影响。
三、跨域数据泄露防护技术措施分析
跨域数据共享的出入口是敏感数据统一管控、集中管控的关键环节,在数据共享出入口做好敏感数据泄露防护措施,可以大大提升防护效率,减少对正常业务的干扰。通常数据共享出入口包括连接互联网的网关设备或连接其他网络的数据交换平台、单向传输设备,如网闸、单导等。数据交换平台或单导服务器支持嵌入复杂的逻辑功能,可以直接增加数据泄露防护措施,而网关、网闸等设备功能单一,只能串接独立的数据网关设备提供数据泄露防护措施。数据共享出入口处的数据可能是文件或者是网络流量,针对这两种类型数据,需要部署的数据泄露防护措施包括:
1.智能数据分类分级如今敏感数据识别仍以人工标识、关键字、正则表达式或者文件指纹等方法为主,这些方法能够保证敏感数据识别的精确性,但是对于网络内的海量文件和网络流量,则显得效率过低,漏报率过高。只有利用机器学习等人工智能技术,综合有监督和无监督的学习过程,通过大量数据训练模型,覆盖所有结构化和非结构化的数据,才能控制数据共享出入口的所有文件和流量。
2.跨域数据加密解密数据共享后可读范围的控制是数据主体责任的关键要素,只有数据拥有者才可控制数据的传播范围。最适合控制敏感数据传播的技术莫过于数据加解密技术,数据拥有者向授权的数据获得者发放密钥,当敏感数据从数据共享出入口离开时用密钥加密,此时只有获得了密钥的数据获得者才能解密数据。需要注意的是,由于网络流量无法存储,所以加解密技术只在网络流量数据落地后适用。
3.行为审计分析数据在业务网络内部正常流转时泄露可能性非常低,只有当数据从共享出入口离开网络时,数据泄露可能性才陡然升高,因此在数据共享出入口记录数据流出日志,保留数据发送者、发送时间、目标接收人、敏感数据类别等关键信息,进行用户行为审计,识别异常行为是组织必须采取的检测措施。
4.动态数据脱敏在数据共享过程中,某些数据在共享前后要保持其部分可识别性和唯一性,此时可采用数据脱敏技术进行敏感数据保护。在数据共享出入口处,数据处于流动状态,因此适合动态数据脱敏技术,在数据传递的过程中进行脱敏。脱敏的方法支持截断、屏蔽、掩码、哈希和标识转换等常见方法。另外,由于网络流量需校验数据完整性,所以动态数据脱敏技术只能在网络流量数据落地后适用。
四、解决方法(安企神DLP)
企业数据纷繁复杂,无法面面俱到进行人工审查,带来了安全管理的潜在隐患。安企神安企神DLP信息保护帮助企业对数据资产进行归类、标签、保护、增强数据的可控度。通过配置数据敏感策略,可对数据进行智能分析并归类,通过标注标签,对敏感数据文档进行加密、加水印等操作。作为企业关键数据的贴身保镖,安企神安企神DLP不仅仅可以对企业内的数据进行安全可靠的静态保护,还可以进一步对数据离开企业环境的过程进行全链条的有效防护,例如禁止敏感数据的编辑转发、复制截屏打印、文档追踪等操作。无论是云端、本地还是储存设备的敏感数据都能实时监测分享的路径及访问的记录,发现异常访问即时撤销访问权限,避免数据泄露。
远程监控电脑屏幕用什么软件?这些软件值得一试
如今,随着网络办公和团队合作的日益普及,实时监控电脑屏幕已成为确保工作效率和信息安全的有效途径。以下是一些在远程监控电脑屏幕方面表现出色的软件,能够满足不同场景的规定。1、TeamViewerTeamviewer是世界著名的远程桌面控制软件,页面简易,操作简便,联接平稳。此系统支持多种操作系统,从而实现远程访问、远程支...
U盘管理软件有哪些?探索U盘管理软件的多样世界
在数字时代,U盘作为便携式存储设备,在日常工作和学习中发挥着重要作用。然而,如何有效地管理U盘并确保其安全性和便利性已成为许多用户关注的焦点。今天,让我们一起探索那些优秀的U盘管理软件,它们将给您的数字生活带来前所未有的便利。1、PKu盘卫士 PKU盘是一款专业的U盘安全检测软件,可以实时监控U盘的安全状态,并评估电脑...
电脑实时监控软件哪款好?为您精选几款高效工具
在当今数字化飞速发展的时代,电脑已经成为我们生活和工作中不可或缺的工具。为了确保公司的信息安全,提高工作效率,选择合适的电脑实时监控软件至关重要。本文将为您推荐几款高效实用的电脑实时监控软件,帮助你更好地掌握员工工作动态,提升团队效率。一、安企神软件软件特点:综合监控功能:安企神软件凭借其综合监控管理功能脱颖而出,可以...
局域网监控软件可以监控外网吗?一文解析
如今,随着数字办公的日益普及,局域网监控软件已经成为企业网络管理不可或缺的一部分。然而,局域网监控软件能否监控外网一直困扰着许多企业网络工程师。本文将深入探讨这一问题,分析局域网监控软件在外网监控中能力与局限性。一、局域网监控软件的主要功能局域网监控软件是一种基于桌面管理软件和监控系统的综合监控工具。它通常具有以下基本...
安企神网络安全准入系统
安企神软件网络安全准入系统是一种高效、灵活、易于管理的网络密钥管理解决方案,旨在为公司网络环境提供全面的安全保障。通过身份认证、健康体检和安全设置评定,此系统保证只有授权的设备与用户才能浏览公司的内部网络资源,进而最大限度地降低安全隐患。一、网络安全准入系统主要功能1、用户身份认证安企神网络准入系统选用严格的身份认证机...