利用加密、签名、鉴别和认证等机制对传输中的敏感数据进行安全管理,监控数据传输时的安全策略实施情况,防止传输过程中可能引发的敏感数据泄漏和数据传输双方对身份的抵赖。
数据传输依托于网络链路,所以数据传输的可靠性依赖于网络链路的稳定性和可用性。在关键的业务网络架构中考虑数据传输可靠性和网络的可用性建设需求,对关键的网络传输链路、网络设备节点实行冗余建设。
网络冗余技术实现两条完全相同互为备份的网络,一条坏了可以快速切换至另一条,从而不影响系统通讯,提高了系统的稳定性。常见的有热备冗余链路,即一条网络链路是主链路,另一条网络实时监视主链路网络状态,主链路出现故障则在毫秒级的时间里切至从链路。
数据加密是保障数据存储安全的主流方法之一。当前,可以使用的国家商用密码局制定的应用标准包括SSF33、SM1、SM2、SM3、SM4、SM7、SM9等加密标准,对数据进行加密处理后再存储。使用的技术包括基于属性的加密、同态加密等。
可采用加密机产品对两个网络之间的链路进行商用密码算法加密,从而保障链路上传输数据的安全性;由加密机的真随机数发生器产生密钥,并加密存储在加密机安全芯片内部,确保信息安全可靠。
加密机产品是以隧道技术,密码技术,AAA技术作为三大核心技术,以代理技术,访问控制技术作为两大支撑技术的网络安全产品。它的目的很简单,就是确保只有被允许的主体在受控制的链路上,访问被允许的客体;也就是接入、传输、应用三个环节均受控,任何主体、客体、第三方都难以越界,难以破坏。因此,加密机产品在提供高安全的链路加密服务的同时,尽可能的确保用户系统全方位安全易用。
为确保核心数据的安全性,在跨网进行数据交换时,可以采用网络隔离技术的访问控制产品,对处于网络边界,连接两个或多个安全等级不同的网络的重点数据提供高安全物理隔离保护。两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。 被隔离网络之间的数据传递方式采用完全的私有方式,不具备任何通用性。
网络隔离设备两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。
安全隔离与信息交换系统的安全引擎对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本系统、协议格式等实施深度检测和过滤,并支持对特定应用协议标签的检测控制;针对文件名、命令、域名等内用进行严格控制,创建黑名单和白名单任务策略,拦截各种非法数据报文,保证数据的安全性;除此之外,针对数据库和文件数据,通过访问用户身份识别,保证数据不被非法访问和传递。
政府信息系统和公共数据的互联共享、各行业领域大数据共享和整合使用是大数据应用的必然趋势,是推动大数据流动性、产业链完善的主要动力,也是大数据核心价值得以体现的关键环节。为保护重要数据和应用系统的安全,目前各级政府部门普遍采用了多个网络并行的方式。但是随着信息化建设的不断深入,不同网络之间或者不同安全域之间的信息共享越来越受到重视。如何使处于不同网络、不同安全域之间的应用系统实现信息交换与共享,已成为信息化建设的重要发展方向。
数据安全交换系统这种跨网络、跨安全域的数据集成交换平台,将安全保障与数据交换功能有机整合在一起,保障用户在安全的前提下,实现不同网络与不同安全域之间的数据交换,同时无缝兼容用户各类型应用系统,避免用户大幅度改造其应用系统。
数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。为了能够安全可控地使用数据,需要多种技术手段作为保障,数据可控性是数据安全的重要保障。访问控制用于控制用户可否进入系统以及进入系统的用户能够读写的数据集。
建立不同数据源、不同安全域之间采集数据加载安全策略、加载方式和访问控制机制。可以采用传统网络安全体系中区域边界防护技术,如防火墙的访问控制功能,实现跨网络区域数据采集时的安全控制。
为了加强对核心数据的防护,需利用数据库防火墙进行攻击防护,对于数据库常见的攻击(如SQL注入、XSS攻击等),及时发现和阻断,避免由攻击和内外部违规带来数据安全风险。
数据库防火墙可针对各种常用数据库操作行为进行控制,对违规行为可进行命令级阻断。实现对各类主流数据库的监控,包括商业数据库(如Oracle、SQL Server、Informix、DB2、Sybase、Teradata、Cache)、开源数据库(MySQL、PostgreSQL)和国产数据库(人大金仓、达梦、南大通用、神通等),对这些数据库的不同的服务编码方式(UTF8、UTF16、GB2312等)和各种访问客户端,可进行细粒度控制。对于数据库的各种攻击行为,如XSS、SQL注入、溢出攻击、远程命令执行等,均可进行检测和防护。
用户在目标资源上的所有操作命令以及命令输出均可由数据库防火墙来进行记录。如果发现违规操作,可在第一时间阻断,以免造成严重的后果。同时,数据库防火墙可实时监视网络系统的运行状态,记录网络事件,发现安全隐患,并对网络活动的相关信息进行存储、分析和审计回放。
审计是对访问控制的必要补充,是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间、以及如何使用(执行何种操作)进行记录与监控。审计和监控是实现系统安全的最后一道防线,处于系统的最高层。审计与监控能够再现原有的进程和问题,这对于责任追查和数据恢复非常有必要。
边界防护主要是针对黑客攻击对数据带来的威胁,在网络层面采取一定的技术手段来抵御外部威胁。可以在网络出口边界处部署抗DDoS系统、入侵防御系统等来增加网络安全性,将黑客攻击行为拒之门外。
病毒、恶意代码的会借助网络传播,在企业内部蔓延开来,增加对企业的数据安全威胁。本着“纵深防御”的思想,恶意代码防范措施不仅要落实在主机层,同样在网络层面也要具备抵御病毒的能力。通过在网络中部署防病毒网关,从外围提供一道安全屏障。
另外,垃圾邮件、钓鱼邮件是企业邮箱遭到网络攻击最主要的两种形式。钓鱼邮件经常伪装的发件人身份有以下几个主要类型:
1)冒充系统管理员,以系统升级、身份验证等为由,通过钓鱼网站等方式骗取企业员工的内网帐号密码或邮箱帐号密码。
2)冒充特定组织,如协会、机构、会议组织者或政府主管部门等身份发送邮件,骗取帐号密码或钱财。
3)冒充客户或冒充自己,即攻击者会冒充企业客户或合作方对企业实施诈骗,或者是攻击者冒充某企业员工对该企业的客户或合作方实施诈骗。当然也有可能是冒充某个企业的管理者对企业员工实施诈骗。
以上情形都对数据安全或个人隐私安全带来威胁,可以通过在网络出口处部署反垃圾邮件网关产品,来抵御垃圾邮件。同时,也需要对企业内部员工进行安全意识教育,养成良好的邮件阅读习惯,不要轻易点开邮件中的链接。
DLP以数据为焦点、风险为驱动,依据数据特点与应用场景,在DLP平台上按需灵活采用敏感内容识别、加密、隔离等不同技术手段,防止敏感数据泄露、扩散。
网络DLP可从敏感信息内容、敏感信息的拥有者、对敏感信息的操作行为三个角度对数据进行分析,通过清晰直观的视图与表格,让管理者及时了解企业内部的敏感信息使用情况。帮助管理者发现组织内部潜在的泄密风险,监管组织内部重要数据的合规、合理使用,保障组织知识产权与核心竞争力,从而有效地实现对企业泄密风险的事前预警与事后追查。包括:
1.事前预警:通过每日呈现的曲线图,提示管理员关注异常事件;
2.事中阻断:中止用户的泄密操作;
3.事后追查:通过分析文件内容、拥有者、流转过程追溯泄密源头。
传统的防火墙、UTM及IDS能防止入侵攻击,但不能防止敏感信息外泄。而网络DLP可以及时发现外发文件中的敏感信息,并能够及时阻止敏感信息的外泄行为,帮助客户发现本单位内的敏感信息泄露事件,解决传统防火墙、UTM及IDS束手无策的敏感信息防泄露的问题。
网络DLP部署在互联网出口,通过应用协议还原技术和规则匹配技术,对企业内部用户邮件客户端(SMTP、POP3、IMAP)、浏览器(HTTP/S)、 FTP客户端(FTP)、 网络共享(NETBIOS)、即时通讯客户端(QQ、微信)等网络途径外发或上传的文件进行解析和文档提取,并根据数据防泄露策略,从敏感信息内容、敏感信息类型、敏感信息收发人等多个维度进行敏感信息检测,并执行对应的响应动作(记录日志、阻断、修改、重定向、邮件审批等),由管理中心展示敏感信息外泄的所有信息。
网络DLP的部署示意图如下所示:
除此之外,在Web应用服务器前端部署Web应用全网关,通过敏感信息泄露防护策略定义HTTP错误时返回的默认页面,避免因为Web服务异常,而导致的敏感信息的泄露。
1.Web服务器操作系统类型:支持隐藏或修改能够导致透露Web服务器操作系统指纹的数据,防止访问者得到Web服务器操作系统的类型信息。
2.Web服务器类型:支持隐藏或修改能够导致透露Web服务器类型的数据,防止访问者得到Web服务器的类型信息。
3.Web错误页面信息:支持将Web服务器的错误页面提示信息,替换为标准、通用的错误提示信息,防止Web服务器系统核心问题泄露。使得针对来不及修复的Web服务器漏洞,避免利用相关工具进行漏洞探测、使得服务器返回漏洞信息。
4.银行卡号码:遵从PCI-DSS标准,能够修改Web返回页面中的银行卡号码,将数字替换为其它字符,防止在页面中显示并传递用户的银行账户信息。如果是广告、公益页面的银行卡号码,可以通过配置白名单,不予修改。
4.身份证号码:能够修改Web返回页面中的身份证号码,将数字替换为其它字符,防止在页面中显示并传递用户的身份证号码信息。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
