煙草行業的數據防泄漏

文/張承亮 寧欣 郭軍 李俊

2018年3月，Facebook 5000萬用戶，未經用戶許可被Cambridge Analytica用于政治廣告。

2017年11月，五角大樓AWS S3，配置錯誤，18億條公民相關信息暴露；

2017年11月，趣店或遭內部員工泄露，數百萬學生數據泄露

2017年10月，雅虎或遭入侵，導致30億帳號泄露；

2017年9月，信用機構Equifax網站，遭入侵，近半用戶信息泄漏

圖1：貴陽煙草局網絡數據泄漏防護

對此，國外相繼發布了相關法律，如歐盟的《一般數據保護條例GDPR》，俄羅斯《個人數據保護法案》，歐盟委員會《隱私盾協議》，《聯邦隱私法案》，我國《中華人民共和國網絡安全法》也于2017年6月1日起實施，其中多項法律條款都與數據安全密切相關，內容如下：

第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

第四十條 網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。

第四十五條依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供”。

國家煙草專賣局《煙草行業計算機信息網絡安全保護規定》早在1998年6月1日就已實施，其第五條“任何單位和個人不得利用行業網絡危害國家安全和行業安全，不得泄露國家秘密和行業秘密，不得侵犯國家的、社會的、行業的、集體的利益和個人的合法權益，不得從事違法犯罪活動”。

本文圍繞數據防泄漏主題，首先介紹了數據泄漏防護的含義，并對敏感信息進行了分析，然后，對數據泄漏問題進行了深入分析，最后給出了煙草行業的具體數據泄漏防護實踐案例。

1 數據防泄漏定義

根據Gartner公司給出的定義描述，數據防泄漏DLP（Data Loss/Leakage Prevention/Protection）是指基于深度內容識別技術，對傳輸中、存儲中、使用中的數據進行檢測，識別敏感數據，依據預先定義的策略，實施特定響應，敏感數據泄漏達到有效防護效果的解決方案。

2 敏感信息分析

敏感信息是指不當使用或未經授權被人接觸或修改后，會產生不利于國家和組織的負面影響和利益損失，或不利于個人依法享有的個人隱私的所有信息。

敏感信息根據其信息種類的不同，可以分為個人敏感信息、商業敏感信息、國家秘密。由于涉及國家秘密的信息系統通常采用專用網絡、系統、管理方式進行保護，泄露風險相對較低。

2.1 個人敏感信息

中華人民共和國最高人民法院、最高人民檢察院對“公民個人信息”進行了解釋，即：是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。

工信部《信息安全技術公共及商用服務信息系統個人信息保護指南》中則將個人信息分為一般信息和敏感信息。一般信息則是指可以在網絡或者媒體上根據個人基本情況而獲取的信息。個人敏感信息，是指“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”

2.2 商業敏感信息

《中華人民共和國反不正當競爭法》(1993年12月1日正式實施):商業敏感信息指“不為公眾所知悉、能為權利人帶來經濟利益、具有實用性并經權利采取保密措施的技術信息和經營信息”。其中，技術信息指“權利人采取了保密措施保護不為公眾所知曉（未取得工業產權保護）的，具有經濟價值的技術知識，如：設計、程序、產品配方、制作工藝等”。經營信息指“權利人采取了保密措施不為公眾所知曉的具有經濟價值的有關商業、管理等方面的方法、經驗或其他信息，如：企業的戰略規劃、管理方法、商業模式等”。

3 數據泄漏問題分析

數據是開展煙草信息化建設的基礎，數據是否安全將直接影響煙草數據安全的價值實現。

煙草信息化建設和發展過程中，員工可能將經常訪問的數據存儲在個人電腦中，如果缺乏相應的防泄漏措施，那么數據很容易通過終端渠道或網絡應用泄漏出去，從而給貴陽煙草局帶來巨大的經濟和聲譽損失。

數據泄漏風險主要涉及以下三個方面：

3.1 數據傳輸中泄漏

由于煙草系統目前數據傳輸的渠道有多種，通過網絡如郵件、網盤、webmail、ftp等方式泄露，這種泄露方式更多的是內部員工有意或無意從計算機上外發造成泄密。

3.2 數據使用中泄漏

使用過程包括泄漏情況包括：通過U盤、移動存儲設備拷貝數據；通過打印機打印帶出公司或者通過傳真機、截屏、藍牙文件傳輸、即時通信(微信、QQ、釘釘、企業微信等)、網絡共享、應用程序文件訪問外發等方式也是數據泄露的重要的層面。

3.3 數據存儲中泄漏

很多敏感信息從產生開始就存放在重要的服務器，由于缺乏對敏感數據的管理，管理人員不清楚敏感數據的分布情況及使用情況，導致敏感數據從產生和存儲的過程中被非法或者無意間泄露。

4 煙草行業的數據泄漏防護實踐

隨著貴陽煙草局信息化發展，對數據泄漏防護的需求日益迫切。根據實際業務的安全需求，構建了以網絡數據泄漏防護為核心的數據泄漏防護方案（圖1）。

該方案選擇了天融信數據防泄漏產品，該產品技術核心是深度內容識別技術。初級識別，包括關鍵字、正則；自動識別，包括標識符、結構數據指紋、文檔指紋、圖片指紋；智能識別，包括機器分類和機器聚類，可以對敏感信息或商業敏感信息實施更加深入和有效識別分析，同時，當發現數據泄漏行為是可以快速實施響應，如記錄、告警、加密等，從而降低敏感信息泄露風險。

說明：如圖1所示，方案在貴陽煙草局的網絡出口部署了一臺數據防泄漏系統網絡DLP（Data Loss Protection），通過旁路鏡像方式接入到網絡中。

方案效果分析：網絡DLP通過對網絡流量（SMTP、HTTP/S、FTP、HTTP）進 行 深度分析，精確識別判斷流量的協議，并從協議中提取出文本信息，根據預置策略記錄相關事件。同時，管理人員可以通過事件報表進行后期的審計管理，定位出收發件人的郵箱，IP，事件發生的時間，觸發了哪條策略，事件違規的詳細信息等。管理人員還可以根據不同業務部門數據的流轉設置不同的數據保護策略，實現對貴陽煙草局各業務部門外發數據的識別與保護。除了可以對單位電子郵件、HTTP上傳（包括Web Mail、論壇、微博發帖、網盤上傳等）以及其他網絡應用實施有效的監控和審計。該方案部署后有效地增強了數據泄漏防護能力，同時也增強了該單位的信息化安全合規的能力。

5 總結

數據防泄漏是個非常復雜的系統工程，必要的技術手段是前提，最后的落地依賴于公司相關數據安全管理策略的執行，其次，單靠某一種或某一類的產品來解決貴陽煙草局內部數據安全問題是不可行的，必須從數據全生命周期著手，基于數據的每個階段的特性進行安全防護，才是徹底解決數據安全問題的唯一途徑。