數(shù)據(jù)防泄漏解決方案

——一種簡(jiǎn)單、劃算的方法防止從企業(yè)網(wǎng)絡(luò)泄漏敏感信息

1.背景介紹

　　隨著電子信息化和網(wǎng)絡(luò)的發(fā)展，從企業(yè)到個(gè)人、從公共到私人的信息都在電子化和網(wǎng)絡(luò)化，企業(yè)數(shù)據(jù)和個(gè)人信息泄漏已經(jīng)成為社會(huì)當(dāng)今普遍的問(wèn)題。對(duì)于企業(yè)重要數(shù)據(jù)的泄漏，可能會(huì)直接或間接的給企業(yè)帶來(lái)重大的經(jīng)濟(jì)損失。另外據(jù)統(tǒng)計(jì)90%的企業(yè)都是具有員工個(gè)人的重要信息(身份證號(hào)、社保號(hào)碼、銀行卡號(hào)和手機(jī)號(hào)碼等)，并且近幾年，也常發(fā)生于從企業(yè)內(nèi)部泄漏大量個(gè)人敏感信息，隨著國(guó)家將立法對(duì)個(gè)人敏感信息泄漏進(jìn)行保護(hù)，那么企業(yè)對(duì)員工的個(gè)人信息泄漏防護(hù)也是重點(diǎn)。

2.數(shù)據(jù)防泄漏技術(shù)特點(diǎn)

　　數(shù)據(jù)防泄漏技術(shù)已經(jīng)被許多IT企業(yè)所關(guān)注和使用，并且?guī)椭灸軌驅(qū)χ匾兔舾袛?shù)據(jù)進(jìn)行保護(hù)和管理。但對(duì)于企業(yè)來(lái)說(shuō)，一個(gè)完整的數(shù)據(jù)防泄漏技術(shù)方案是復(fù)雜并且昂貴的，技術(shù)方案上都涉及到文檔的加密、內(nèi)部人員權(quán)限管理、文檔外發(fā)管理、桌面安全控制和管理、網(wǎng)絡(luò)準(zhǔn)入控制、終端設(shè)備管控、移動(dòng)存儲(chǔ)管控和全面的操作審計(jì)內(nèi)容等等，都會(huì)給企業(yè)帶來(lái)復(fù)雜的IT維護(hù)和高額資金投入，而對(duì)于一個(gè)IT投入成本受限的公司來(lái)說(shuō)是沒(méi)有能力使用的技術(shù)方案。另外，對(duì)于數(shù)據(jù)泄漏的防護(hù)上，取決于整體防護(hù)強(qiáng)度中薄弱的一環(huán)，而對(duì)于企業(yè)網(wǎng)絡(luò)邊界的防護(hù)通常是薄弱的環(huán)節(jié)之一，主要是當(dāng)今邊界的安全設(shè)備如防火墻、入侵防御、防毒墻等，都不是針對(duì)或有效地對(duì)數(shù)據(jù)泄漏進(jìn)行防護(hù)。

3.網(wǎng)康下一代防火墻的數(shù)據(jù)防泄漏技術(shù)

3.1利用應(yīng)用和用戶識(shí)別技術(shù)控制數(shù)據(jù)泄漏的途徑

　　對(duì)于企業(yè)網(wǎng)絡(luò)邊界的數(shù)據(jù)泄漏防護(hù)上，首先是選擇能夠控制會(huì)造成敏感數(shù)據(jù)泄漏的應(yīng)用。企業(yè)的應(yīng)用畢竟會(huì)從“利”和“弊”兩個(gè)方面來(lái)看待，對(duì)于企業(yè)完全沒(méi)有任何好處的應(yīng)用就可以完全阻斷，而避免它造成數(shù)據(jù)泄漏，比如大部分企業(yè)需要禁止代理翻墻應(yīng)用或P2P下載應(yīng)用，因?yàn)槠鋵?duì)企業(yè)的IT業(yè)務(wù)來(lái)說(shuō)是沒(méi)有任何好處的，并且還會(huì)帶來(lái)很大的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。而對(duì)于企業(yè)有“利”的應(yīng)用，可能也存在對(duì)企業(yè)造成數(shù)據(jù)泄漏風(fēng)險(xiǎn)的動(dòng)作，比如MSN Messenger，可以方便企業(yè)內(nèi)部員工與客戶進(jìn)行即時(shí)溝通，但其傳輸文件的應(yīng)用動(dòng)作會(huì)給企業(yè)帶來(lái)重要數(shù)據(jù)泄漏的可能。網(wǎng)康下一代防火墻的應(yīng)用洞察和識(shí)別能力，企業(yè)IT人員可通過(guò)對(duì)應(yīng)用的合理控制，能夠?yàn)槠髽I(yè)大大減少數(shù)據(jù)泄漏的傳輸途徑。

　　在發(fā)生的一些數(shù)據(jù)泄漏事件中，通常都會(huì)與企業(yè)內(nèi)部的“人”有關(guān)，傳統(tǒng)的邊界設(shè)備通常可見(jiàn)和控制的是“IP”地址，并且不能有效的對(duì)“人”進(jìn)行管理和控制數(shù)據(jù)外發(fā)的行為。網(wǎng)康下一代防火墻具有完善的用戶識(shí)別能力，通過(guò)一體化的安全策略可以基于“人“的維度，控制高風(fēng)險(xiǎn)應(yīng)用的使用、授權(quán)數(shù)據(jù)外發(fā)的行為和記錄數(shù)據(jù)傳輸?shù)氖录坏档土藳](méi)有授權(quán)的”人“會(huì)造成數(shù)據(jù)泄漏的風(fēng)險(xiǎn)，還會(huì)幫助企業(yè)對(duì)造成數(shù)據(jù)泄漏風(fēng)險(xiǎn)的”人“進(jìn)行事后審計(jì)和處理。

3.2基于應(yīng)用的文件類型和內(nèi)容過(guò)濾技術(shù)

　　隨著網(wǎng)絡(luò)應(yīng)用不斷豐富，大量應(yīng)用會(huì)建立在HTTP等基礎(chǔ)協(xié)議之上，或者端口號(hào)隨機(jī)產(chǎn)生。基于傳統(tǒng)基本協(xié)議的內(nèi)容過(guò)濾方式對(duì)現(xiàn)在的大量應(yīng)用失效性越來(lái)越嚴(yán)重，比如對(duì)于電子郵件應(yīng)用(包括各WEB Mail的正文和附件)、應(yīng)用平臺(tái)應(yīng)用（各種流行的微博）、P2P應(yīng)用、網(wǎng)盤應(yīng)用和論壇發(fā)貼應(yīng)用等等。網(wǎng)康下一代防火墻基于應(yīng)用構(gòu)建文件類型和內(nèi)容的掃描能力，并且支持幾百種常見(jiàn)應(yīng)用的文件類型和內(nèi)容控制，能夠細(xì)粒度到應(yīng)用的動(dòng)作級(jí)進(jìn)行識(shí)別和控制，比如用戶選擇內(nèi)容過(guò)濾是針對(duì)MSN的聊天內(nèi)容還是文件傳輸。其中對(duì)于文件內(nèi)容的掃描，網(wǎng)康提供給用戶自定義正則表達(dá)式的方式，同時(shí)可指定關(guān)鍵信息的命中閥值來(lái)決策阻斷或告警，另外，還提供一些預(yù)訂義的特征方式給用戶選擇掃描，比如身份證號(hào)、銀行卡號(hào)和手機(jī)號(hào)碼等。而對(duì)于文件類型的掃描，支持近百種常見(jiàn)的文件類型(包括各種Office文件、音視頻文件，圖片和壓縮文件等)，文件類型的識(shí)別是采用文件特征匹配方式，修改文件后綴仍可準(zhǔn)確識(shí)別。

4.網(wǎng)康下一代防火墻數(shù)據(jù)防泄漏配置指導(dǎo)

4.1利用安全策略來(lái)控制用戶權(quán)限降低數(shù)據(jù)泄漏風(fēng)險(xiǎn)

　　網(wǎng)康下一代防火墻支持安全策略來(lái)控制內(nèi)部網(wǎng)絡(luò)的用戶使用應(yīng)用的權(quán)限，可以通過(guò)對(duì)應(yīng)用和用戶兩個(gè)維度組合進(jìn)行細(xì)粒度限制，來(lái)降低內(nèi)部數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。比如企業(yè)按照嚴(yán)格安全策略控制研發(fā)人員使用具有傳輸文件功能的應(yīng)用子功能（見(jiàn)下圖）。

圖1：選擇研發(fā)部門的人員組進(jìn)行權(quán)限控制

圖2：選擇具有文件傳輸能力的應(yīng)用

　　正如以上圖示的策略可以完成對(duì)特定人員使用應(yīng)用的權(quán)限控制，能夠很好避免重要用戶通過(guò)網(wǎng)絡(luò)泄漏敏感的企業(yè)數(shù)據(jù)，。

4.2利用文件類型和內(nèi)容的過(guò)濾防止數(shù)據(jù)泄漏

　　網(wǎng)康下一代防火墻支持近300種應(yīng)用下的文件類型和內(nèi)容的過(guò)濾能力， 同時(shí)可支持64種以上主要的文件類型進(jìn)行檢測(cè)，還支持利用正則表達(dá)式的方法來(lái)定義敏感信息樣式，并且還預(yù)定義了包括 “身份證號(hào)碼”、“銀行卡號(hào)”和“信用卡號(hào)”等關(guān)鍵字樣式。比如對(duì)于一個(gè)建筑公司來(lái)說(shuō)工程圖是重要的電子資產(chǎn)，是禁止從網(wǎng)絡(luò)泄漏到外部的，那么可以根據(jù)文件類型過(guò)濾來(lái)防止工程圖泄漏（見(jiàn)下圖）。

 圖3：設(shè)置工程圖文件類型阻斷防止泄漏

　　另外，對(duì)于一般公司都會(huì)有重要的電子文檔，文檔頁(yè)面或內(nèi)容中也常常標(biāo)注為“XX公司”和“機(jī)密”字樣等，那么通過(guò)網(wǎng)康的下一代防火墻的關(guān)鍵字內(nèi)容過(guò)濾，可以阻止這樣的文件被外發(fā)出去。

圖4：敏感關(guān)鍵字設(shè)置

圖5：設(shè)置敏感信息泄漏配置

　　正如圖4中設(shè)定的關(guān)鍵字對(duì)象為文檔內(nèi)帶有”機(jī)密“和”網(wǎng)康科技“字樣的關(guān)鍵字，并在圖5中配置防止敏感數(shù)據(jù)泄漏的數(shù)據(jù)過(guò)濾配置將此關(guān)鍵字關(guān)聯(lián)生效，就可以實(shí)現(xiàn)既簡(jiǎn)單還有效的數(shù)據(jù)防泄漏能力。