數據分級及防數據泄漏規劃與實現

歐陽菲菲 鎮江市高等專科學校電氣與電競學院

1 引言

隨著信息化建設的不斷深入，保障各種敏感業務數據在生成、傳輸、存儲以及銷毀的整個生命周期中防止泄露，已成為企業信息化建設中的迫切需求。哪些數據要進行防護，如何防護，應該選用何種技術、平臺以滿足公司發展需要？本文基于數據分級及防泄漏技術的特點和實現原理，提出了規劃方案及關鍵技術實現。

2 F公司的現狀

F公司哈爾濱分公司為一個設計與制造型企業，為了系統和數據的安全性，結合自身對數據保護的要求和發展的迫切需要，需要對數據進行安全保護以及防數據泄漏工作。

3 數據安全及防數據泄漏方案規劃設計

3.1 終端安全

F公司使用虛擬化服務器及桌面，McAfee終端解決方案能夠讓用戶繼續使用現有的McAfee VSE保護功能，并針對虛擬化環境來對其進一步優化。McAfee MOVE旨在在虛擬化環境中按訪問掃描和更新，顯著降低部署中對基礎設施的影響。

3.2 應用安全

針對Web應用安全，通過MWG Web網關，基于公司的安全等級需求，制定安全策略，實現規范內部終端對網絡合理使用。在DMZ區部署MEG郵件網關，通過端口轉發，保證郵件先經過MEG掃描，做好病毒掃描和垃圾郵件防護。在防火墻和DMZ區串接McAfee IPS,進行應用層檢測，保證網絡應用和鏈路安全。

3.3 數據安全

數據泄露造成的根源來自外部黑客攻擊和內部數據泄漏，據FBI的統計，70%的數據泄漏由于內部人員造成，而這些內部人員大都是有權限訪問這些數據，然后竊取濫用這些數據[1]。

4 數據防護的關鍵策略

針對產品特性，我們將數據保護實施分為HDLP(HOST DLP)和 NDLP(network DLP)。

4.1 策略設定

標記規則：對所需保護的文件打上相應的標記；

內容規則：根據文檔內部特征進行識別；

保護規則：對打上標記的文件進行保護；

第三方軟件集成：TITUS

4.2 策略分配

針對于NDLP,需要對設備初始化、加固，對所有NDLP設備進行集中管理。

策略設置，針對所提供的關鍵字、表達式、文件類型、指紋進行相關的策略設定與McAfee Email Gateway及Web Gateway做策略聯動：

5 關鍵技術應用

5.1 TITUS數據分級

TITUS解決方案使企業進行分級，并確定和保護非結構化數據滿足法規所遵從的要求。在桌面、移動設備和SharePoint進行分級和保護敏感信息的文檔等增強數據防護。

5.2 McAfee HDLP

McAfee HDLP軟件通過部署由分級規則、標記規則、保護規則、設備規則以及用戶和組分配組成的各類策略，保護企業敏感信息的安全。McAfee HDLP策略受到監視，并在必要時監視或阻止用標識為敏感信息的內容定義的操作。

5.3 McAfee NDLP

McAfee NDLP通過指紋識別技術、主動掃描技術，配合TITUS的文檔分級標記以及HDLP的關鍵字內容過濾，與企業的郵件網關、互聯網網關以及IPS聯動，保護企業的敏感信息以及知識產權流出公司網絡。

5.4 指紋識別技術

“指紋識別”是指依據文檔的內容、終端信息、安全級別等等所產生的具有唯一性、保密性和安全性的標識以及算法。“指紋算法”被嵌入到目標文件以后，對于終端用戶具有不可見性，用戶端無法直接獲取“指紋信息”，終端用戶也無法直接對其進行修改或偽造，文件若是被修改后，“指紋”信息依舊保持其具有的完整性。

6 結論

基于McAfee的數據安全防護體系，保證了公司業務系統、各類終端、數據庫和網絡等數據在各環節中的安全，進而大幅降低有意、無意的數據泄漏行為。公司數據安全防護與防泄漏平臺可避免組織內外數據在未經授權的情況下傳輸，從而保護企業遠離風險。防數據泄漏軟件使用高級發現技術、文本模式識別和預定義字典識別出敏感內容，而且合并設備管理及加密，從而提供多層控制。與TITUS等第三方保護軟件集成來擴展數據的安全性。可配置在企業網絡內部、外部或內外部應用的策略和規則，從而全面保護企業數據安全。

[1]喻欣:基于內容的移動存儲設備信息防泄漏技術研究，2009.6