電信運營商生產終端數據防泄密系統的設計

楊紹君

（寧夏通信規劃設計院（有限責任公司），銀川 750011）

1 引言

電信運營商經過多年的網絡與信息安全管理系統建設，在物理安全、系統安全、終端安全等方面已取得明顯成效，已經在部分部門及相關業務領域實施了防泄密手段，進行安全控制。電信運營商的計費、經分、客服等系統承載了公司大部分的核心敏感數據，對于數據的流轉過程、正常業務需求和辦公需求有一部分采用了加密管控手段，但大部分數據并沒有使用管控措施。為了實現進一步的數據安全防護，保障企業業務發展并滿足監管合規要求，還存在以下問題需要解決：敏感數據的內容識別問題；敏感數據的存儲流轉問題；終端敏感信息的防護問題；數據風險。針對上述問題，電信運營商可以通過建立一個針對企業自身的數據防泄密大環境，建立可管、可信、可控的數據安全平臺，實現企業內部信息和個人身份信息的防泄密，防患運營商復雜工作體系中可能由于工作習慣帶來的被動泄密、二次泄密等情況。

2 系統功能架構

系統應支持分布式部署，可支持客戶端內網及VPN接入、負載均衡和大規模部署。系統組成部分包括服務器、控制臺和客戶端。其中服務器主要存儲用戶信息、控制策略和審計日志等核心基礎組件，控制臺實現對策略的定制和下發，客戶端為辦公終端上安裝的插件，負責接收服務器側推送的策略并在終端本地執行生效。

底層設計方面，系統應支持分布式架構，同一功能模塊可以分布在多臺計算機上，也可以將多個功能模塊分布到多個操作系統上，實現多種功能跨越計算機邊界透明運行，以此來提高系統整體的高可靠性，以及用戶數量增加時平臺性能的按需擴展（增加部署分布式服務器平臺分擔業務流量即可）。

3 系統技術架構

目前，很多大中型企業對信息安全的建設尤為重視，在網絡邊界部署防火墻、網絡隔離設備、入侵檢測、入侵防御等多種網絡安全設備，在一定程度大大提升了企業信息安全防護能力，起到了很好的網絡安全防御效果。但是，終端接入還沒有完善的安全控制防范機制，如用戶的認證、授權、審計等。通常，網絡中的大部分資源濫用和未經授權的訪問都來自于內部[1]。

系統建設需要實現終端準入功能所涉及的準入系統網關硬件設備，以實現終端在沒有安裝安全客戶端的情況下不允許使用公司內部網絡；實現終端在沒有安裝安全客戶端的情況下不允許登錄業務系統。

4 系統功能設計

圖1 網絡架構

4.1 系統安全準入

安全準入系統可采用軟件與硬件相結合的方式，通過身份認證、安全域控制等方法，從源頭上保證接入網絡的終端可信，并控制可信計算機的訪問權限，為運營商的終端接入安全管理提供有效的保障，規避由于非可信終端的隨意接入而可能帶來的運營商網絡及信息資源違規占用、病毒木馬泛濫、企業資料泄密以及越權訪問等諸多安全問題。同時，系統應支持集群式部署，能夠統一管理準入設備，輕松掌控網絡邊界安全。

安全準入系統能夠使運營商網絡終端的接入安全得到強制提升，保證運營商網絡保護機制不被間斷，有效提升網絡安全。與此同時，基于設備接入控制網關，還可以對于遠程接入企業內部網絡的計算機進行身份、惟一性及安全認證。

4.2 智能規則生成

通常情況下，終端用戶的敏感數據很難保證非常嚴格的管理，管理員也無法確認這些敏感數據的分布位置以及使用人員、使用方式，這就造成了較高的數據泄密風險。如果管控不及時，泄密風險將進一步上升。若大規模采用人工方式篩選過濾，將帶來巨大的工作量，而且難以保證效果。因而，通過一種自動化的軟件程序來協助用戶創建數據管理模式是非常必要的。

數據防泄密平臺需要提供對數據進行智能梳理的智能化工具軟件，以實現數據發現及數據分類分級的規則整理。工具軟件在文檔聚類過程會自動根據評判分數排序區分度高的特征詞，實現樣本的分析、整理及選擇特征詞等任務，并最終導出敏感信息規則。

智能規則生成的工具以獨立軟件的形態來使用，支持WindowsXP、Windows7/10 32位/64位等主流操作系統，生成的規則直接導入到數據防泄密平臺啟用。

4.3 敏感數據智能識別

系統在每個被管理的終端上安裝數據泄漏防護客戶端軟件，且能夠根據分類分級策略，自動在終端后臺靜默掃描識別所有文檔數據，根據企業內部定義的不同密級進行分類分級保護，并將掃描事件結果回傳給服務器[2]。

4.4 分類分級自動加密

系統對掃描識別出來的敏感數據進行分類整理（定義密級）。根據分類分級內容識別策略與加密策略的聯動，實現對終端掃描出的敏感數據自動加密，系統掃描出來的最重要的數據使用高法則的加密技術進行加密，同時只有指定的用戶具有解密的權限；而系統掃描出來的次重要的敏感數據會自動調用次加密法則進行加密，使數據在企業內安裝了客戶端的終端上都能查看，起到防泄密的功能，當有需要外出的數據時必須通過審批系統進行審批才可以打開查看，否則看到的只是加密后的密文數據。

4.5 手動加密

對用戶自行創建的文件可以由用戶自行完成對該文件的加密保護。且可以選擇不同的加密密級給相應的文件實行加密[3]。

4.6 密文權限管控

加密文件具備靈活的權限控制，包括：讀、寫、另存、拷貝、截屏、脫密等。加密文檔的權限可與文檔密級銜接，實現靈活管控，具備相關權限的用戶可使用和流轉加密文件。

4.7 文件審批系統

如用戶需要將文件外帶，需發起文件外帶請求審批；系統將會把文件推送至審批人處，審批人核實請求文件內容是否屬于可外帶范圍；如確為可外帶文件，則審批人同意該審批請求，文件自動流轉到發起人處；否則，拒絕發起人的要求。

為滿足實際工作中對時間和效率的要求，系統需具備自動審批功能和備用審批、委托審批、臨時授權等特色功能。

4.8 明文外發要求

支持文件審批外帶管理，外帶的加密文件，需經過流程審批后才能夠將密文轉換成明文，進行外帶后使用，否則非法外帶為密文。能提供自審批功能、審批者審批、協同審批等功能。

4.9 移動存儲介質安全管控

鑒于移動存儲設備的隨意使用將造成資料外泄等安全隱患，需要對U盤、移動硬盤等移動存儲設備進行生命周期（注冊、授權、使用、掛失與取消掛失、注銷）管控，而且要求支持市面上常見的絕大多數USB移動存儲設備。

4.10 文檔溯源

可以實現對的加密文檔的追蹤溯源管理，即當用戶A加密文檔時，系統會自動生成惟一ID加載至文檔中，并將相關日志信息存儲至服務器，該信息對用戶為不可見，當用戶A將加密文檔傳送到用戶B并在該終端打開時，系統可以再追加一個隱藏標簽，以此類推，從而實現對文檔的產生、流轉、分發、使用全過程的跟蹤，追溯敏感數據流轉過程。

4.11 終端管理系統

（1）打印文件審計。終端用戶在打印加密文件時可審計打印文檔名、IP用戶名稱等信息，亦可將打印內容會傳送到服務器記錄，供審計使用。

（2）遠程桌面。管理員可以通過控制臺或工具遠程控制目標計算機。當目標計算機收到訪問請求時，提示用戶是否允許被遠程，用戶允許后，管理員就能夠通過控制臺通過VNC協議遠程到對應的終端機器上。

（3）上網行為審計（HTTP管控）。終端用戶的上網行為可以被審計和管控；管理員可以通過日志系統查看各個用戶的HTTP管控日志。

（4）客戶端通信控制（IP端口控制）。IP端口控制能夠從目的IP、端口、協議、數據包四個維度進行全方位的隔離，允許或禁止訪問目的主機。

（5）硬件資產審計。用來管理PC端的硬件資產信息，具體內容包括計算機名、IP地址、關聯用戶、CPU、內存、硬盤、收集時間、所屬組等信息。

4.12 網絡安全管理

（1）應用程序外發管控。系統對指定的應用程序外發工具（RTX/MSN/飛秋/飛信）的附件進行外發管控。外發管控策略的手段包括：明文發送、加密發送和禁止發送。

（2）HTTP協議外發加密。將連接互聯網的終端使用HTTP外發的敏感文件進行加密，限制可以上網的終端向非安全環境傳輸敏感文件。

（3）禁止應用程序網絡連接。通過定義黑白名單的方式控制應用程序在應用層是否可以訪問網絡。可通過應用程序、IP地址、協議、端口等維度進行管控，禁止或允許某些應用程序使用網絡連接。

4.13 外部設備管理

系統可以實現對終端PC用戶通用型外部設備的實時開啟或者關閉的管理。包括：網絡適配器、無線Wi-Fi、藍牙、USB、3G網卡、鍵盤、鼠標、SCSI/RAID控制器等常見的硬件外設的管理。

4.14 日志記錄

加密系統可根據相應的設置策略自動收集相關的日志信息，包括但不僅限于：系統運行日志、程序升級日志、客戶端安裝/卸載日志、客戶端上下線日志、賬號登陸/綁定日志。

5 結束語

通過建立一套可隨時隨地檢索發現企業內部終端是否存在敏感數據的大數據分析挖掘平臺，達到對敏感數據可發現、可判斷、可控制的一體化管理體系，針對客戶信息的敏感數據進行全流程的管控，對于企業是非常必要的。