涉密環(huán)境下的非密辦公網(wǎng)敏感信息監(jiān)控系統(tǒng)設計

◆武越 劉向東 周曉俊 石兆軍 李可

（中國航天科工集團第二研究院706 所 北京 100854）

目前出于信息安全的考慮，涉密單位通常建設兩套業(yè)務辦公網(wǎng)，一套為專門處理涉密業(yè)務的涉密辦公網(wǎng)，與互聯(lián)網(wǎng)物理隔離；同時，為了精簡涉密辦公網(wǎng)的網(wǎng)絡規(guī)模，涉密單位會同步建設一套僅處理日常公共事務的非密辦公網(wǎng)，將主要非涉密業(yè)務遷移至非密辦公網(wǎng)運行，包括出差申請、財務報銷、非密公文審閱、民用業(yè)務等。

涉密辦公網(wǎng)與非密辦公網(wǎng)之間原則上并行運行，相對獨立。但是，由于涉密單位的業(yè)務范疇在兩網(wǎng)之間難免存在重疊，因此會出現(xiàn)由于工作需要將某些數(shù)據(jù)信息由涉密辦公網(wǎng)導入非密辦公網(wǎng)的情況。由于涉密辦公網(wǎng)與非密辦公網(wǎng)之間物理隔離，一般通過人工刻錄光盤的方式進行兩網(wǎng)之間數(shù)據(jù)中轉(zhuǎn)，因此存在由于人為疏忽和失誤將涉密敏感信息引入非密辦公網(wǎng)的安全風險。

本文針對涉密單位對非密辦公網(wǎng)中的敏感數(shù)據(jù)檢測較為薄弱的安全防護現(xiàn)狀，開展敏感信息監(jiān)控系統(tǒng)設計論證，對非密辦公網(wǎng)中可能存在的涉密敏感信息進行全方位檢測、識別和阻斷，確保非密辦公網(wǎng)中的數(shù)據(jù)信息安全可控。

1 非密辦公網(wǎng)安全現(xiàn)狀及分析

1.1 安全現(xiàn)狀

非密辦公網(wǎng)一般與國際互聯(lián)網(wǎng)邏輯隔離，具體劃分為以下功能區(qū)域：用戶終端區(qū)用于部署用戶終端、安全產(chǎn)品區(qū)部署安全防護產(chǎn)品、業(yè)務應用區(qū)部署應用系統(tǒng)。非密辦公網(wǎng)網(wǎng)絡結(jié)構(gòu)如圖1 所示。

在安全防護建設方面，非密辦公網(wǎng)部署VPN 密碼機和防火墻實現(xiàn)網(wǎng)絡邊界的安全隔離與訪問控制，部署防病毒系統(tǒng)實現(xiàn)用戶終端及服務器病毒查殺，部署主機監(jiān)控與審計系統(tǒng)實現(xiàn)對終端安全策略的配置和審計，在核心交換機旁路部署入侵檢測系統(tǒng)對所有網(wǎng)絡流量進行實時監(jiān)測以及報警。

非密辦公網(wǎng)中的業(yè)務數(shù)據(jù)主要以兩種方式存在，一種以非結(jié)構(gòu)化電子文件的格式存在，例如word、PDF 等；另一種以結(jié)構(gòu)化格式依托于具體業(yè)務應用系統(tǒng)而存在，具有相對固定的數(shù)據(jù)格式。業(yè)務數(shù)據(jù)在網(wǎng)絡傳輸?shù)倪^程中，數(shù)據(jù)內(nèi)容通常在應用層進行協(xié)議封裝，包括使用HTTP 協(xié)議、HTTPS 協(xié)議和部分私有協(xié)議等。

圖1 非密辦公網(wǎng)網(wǎng)絡結(jié)構(gòu)圖

1.2 安全風險

由于涉密單位的涉密辦公網(wǎng)和非密辦公網(wǎng)并行運行，兩網(wǎng)之間不可避免地存在大量信息交換，當業(yè)務信息在兩網(wǎng)之間傳遞的過程中，存在涉密信息由于人為操作失誤進入非密辦公網(wǎng)的安全風險。如果非密辦公網(wǎng)出現(xiàn)了存儲、處理、傳輸涉密信息的情況，將嚴重違反安全保密規(guī)定，后果極其嚴重。

同時，由于非密辦公網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，如果非密辦公網(wǎng)中存在涉密敏感信息，將有可能導致敏感信息進一步通過邏輯鏈路擴散至互聯(lián)網(wǎng)造成敏感信息失控的局面，引發(fā)嚴重失泄密事件。

目前，傳統(tǒng)的防火墻、防病毒系統(tǒng)、主機監(jiān)控與審計系統(tǒng)等安全防護產(chǎn)品無法對非密辦公網(wǎng)中的信息流量建立有效的內(nèi)容審查機制，暫無較為有效的技術(shù)手段對非密辦公網(wǎng)中是否存在敏感信息進行監(jiān)控、檢測、告警和阻斷，存在較高的安全隱患。

1.3 非密辦公網(wǎng)敏感信息監(jiān)控需求分析

針對目前非密辦公網(wǎng)對敏感信息管控措施較為薄弱的安全防護現(xiàn)狀，亟需針對非密辦公網(wǎng)建設敏感信息監(jiān)控系統(tǒng)，一方面及時發(fā)現(xiàn)非密辦公網(wǎng)中違規(guī)出現(xiàn)的涉密敏感信息，同時對非密辦公網(wǎng)與互聯(lián)網(wǎng)之間的跨網(wǎng)數(shù)據(jù)傳輸進行內(nèi)容檢測和阻斷，從而保護敏感信息安全可控，避免出現(xiàn)失泄密事件。

通過建設敏感信息監(jiān)控系統(tǒng)，將主要解決以下安全防護需求：

（1）對非密辦公網(wǎng)的全部信息流量進行監(jiān)控，對非密辦公網(wǎng)中出現(xiàn)的涉密信息進行識別和告警；

（2）對非密辦公網(wǎng)與互聯(lián)網(wǎng)之間的跨網(wǎng)流量傳輸進行內(nèi)容審查、識別和敏感信息阻斷；

（3）對檢測到的敏感信息流量提供有效的安全處置措施，避免敏感信息被非授權(quán)訪問和二次擴散傳播。

2 非密辦公網(wǎng)敏感信息監(jiān)控系統(tǒng)設計

敏感信息監(jiān)控系統(tǒng)主要分為數(shù)據(jù)特征離線生成工具、集中管理平臺和敏感信息監(jiān)控網(wǎng)關三個組成部分。其中，數(shù)據(jù)特征離線生成工具負責在涉密辦公網(wǎng)中離線生成敏感數(shù)據(jù)特征庫，并將特征庫導入集中管理平臺；集中管理平臺負責制定相應的規(guī)則策略，并將規(guī)則策略下發(fā)至敏感信息監(jiān)控網(wǎng)關；敏感信息監(jiān)控網(wǎng)關依據(jù)集中管理平臺下發(fā)的規(guī)則策略執(zhí)行數(shù)據(jù)檢測識別工作，發(fā)現(xiàn)并阻斷敏感數(shù)據(jù)，同時將安全事件結(jié)果反饋給集中管理平臺。

2.1 數(shù)據(jù)特征離線生成工具

由于涉密單位的國家秘密事項信息和涉密文件樣本均存儲在涉密辦公網(wǎng)中，因此，前期需要在涉密辦公網(wǎng)中借助數(shù)據(jù)特征離線生成工具，利用文件關鍵詞提取、文件指紋生成、機器智能學習等多種基于內(nèi)容的感知與分析技術(shù)生成敏感數(shù)據(jù)特征庫。敏感數(shù)據(jù)特征庫由關鍵詞字典、涉密文件指紋和機器學習模型共三類特征組成。

（1）生成關鍵詞字典

提取國家秘密事項信息的關鍵詞，生成敏感關鍵詞字典。為避免由于將國家秘密事項關鍵詞字典導入非密辦公網(wǎng)造成二次泄密，借助密碼算法[1]對關鍵詞字典進行加密處理，保護關鍵詞字典數(shù)據(jù)安全。

（2）生成文件指紋

對于無法直接提取敏感關鍵詞的復雜涉密文件，通過指紋生成技術(shù)，對結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)計算哈希值，生成文件指紋[2]，作為基于數(shù)據(jù)指紋技術(shù)進行敏感數(shù)據(jù)檢測的依據(jù)。

文件指紋的生成過程主要利用密碼算法實現(xiàn)，具不可逆特性[3]，因此可以有效防止在非密辦公網(wǎng)中通過文件指紋逆向反推出涉密文件原文的可能性，降低失泄密隱患。

（3）生成機器學習模型

以上討論的指紋技術(shù)和關鍵詞匹配技術(shù)原則上均基于已知的涉密文件，但對未知數(shù)據(jù)對象則無法實現(xiàn)處理，比如一份新生成的財務報告和系統(tǒng)中原有的涉密財務報告都不一樣，但確實也是一份涉密的財務報告。針對此種情形，采用機器學習技術(shù)[4]，通過對大量現(xiàn)有涉密文檔進行分析，最后抽取出同類文檔的共同特征，通過機器學習算法形成一個分類模型[5]，作為推斷未知數(shù)據(jù)是否涉密的判定依據(jù)。在下一個被處理對象到達的時候，按照同樣的方式進行特征抽取和模型對比，就可以判斷出被處理對象是否屬于涉密文件。

2.2.7 休息與睡眠 要保證患者在手術(shù)前得到充分休息，手術(shù)前晚家屬陪伴，減輕焦慮。完成手術(shù)前治療后，可給患者適量鎮(zhèn)靜劑，如艾司唑侖片，但用藥應在手術(shù)前用藥4 h以上，減少藥物協(xié)同作用，防止出現(xiàn)呼吸抑制狀況。

2.2 集中管理平臺

集中管理平臺負責制定規(guī)則策略，并將規(guī)則策略下發(fā)至敏感信息監(jiān)控網(wǎng)關；同時對系統(tǒng)進行整體配置管理和安全事件收集，并對數(shù)據(jù)安全防護情況進行分析和展現(xiàn)，包括事件處理流程跟蹤、事件詳情查看等。

（1）制定規(guī)則策略

集中管理平臺依據(jù)敏感數(shù)據(jù)特征合理設置規(guī)則策略，作為敏感數(shù)據(jù)檢測的判斷依據(jù)。

基于關鍵詞的規(guī)則策略：通過關鍵詞對被處理數(shù)據(jù)進行對比分析，快速查找匹配的字符串。關鍵詞規(guī)則策略可通過正則表達式和“與”、“或”、“非”判斷進行邏輯組合，實現(xiàn)精確對比和模糊對比，并可通過對關鍵詞設置權(quán)重實現(xiàn)權(quán)重累加對比。

基于文件指紋的規(guī)則策略：對于沒有明確字符串匹配的數(shù)據(jù)，通過數(shù)字指紋技術(shù)快速得到被處理對象和指紋庫中文件的相似度，當達到系統(tǒng)預定義的相似度閾值時，就會觸發(fā)規(guī)則策略處理。

基于機器學習的規(guī)則策略：對于新的、并未出現(xiàn)在特征庫中的未知數(shù)據(jù)，依靠機器學習模型進行數(shù)據(jù)特征提取和模型分析，通過機器學習模型對未知數(shù)據(jù)進行分類判定。

通過集中管理平臺對系統(tǒng)發(fā)現(xiàn)的敏感數(shù)據(jù)進行定位、分析和評估，進行安全事件處理流程跟蹤、事件查看等，并對安全事件進行匯總統(tǒng)計和綜合展現(xiàn)。

2.3 敏感信息監(jiān)控網(wǎng)關

敏感信息監(jiān)控網(wǎng)關負責接收集中管理平臺下發(fā)的規(guī)則策略，并對經(jīng)過敏感信息監(jiān)控網(wǎng)關的數(shù)據(jù)流量進行解析和檢測。敏感信息監(jiān)控網(wǎng)關一方面采用旁路部署模式，通過鏡像方式對通過網(wǎng)絡核心交換設備的數(shù)據(jù)流量進行監(jiān)聽，及時發(fā)現(xiàn)網(wǎng)內(nèi)涉密敏感信息；另一方面采用主路部署模式部署在非密辦公網(wǎng)的網(wǎng)絡邊界，對跨越網(wǎng)絡邊界的數(shù)據(jù)流量進行檢測，對敏感信息流量進行識別和阻斷。同時，敏感信息監(jiān)控網(wǎng)關向集中管理平臺報送審計日志，供集中管理平臺進行安全事件綜合分析。

（1）網(wǎng)絡協(xié)議解析

非密辦公網(wǎng)的數(shù)據(jù)信息主要通過網(wǎng)內(nèi)部署的業(yè)務應用系統(tǒng)進行數(shù)據(jù)傳輸，數(shù)據(jù)內(nèi)容通常在應用層進行協(xié)議封裝。目前，非密辦公網(wǎng)的大部分應用系統(tǒng)使用通用的應用層協(xié)議，敏感信息監(jiān)控網(wǎng)關會在應用層對數(shù)據(jù)流量進行解析和識別，達到檢測敏感信息的目的。

對于加密協(xié)議（如HTTPS 協(xié)議），敏感信息監(jiān)控系統(tǒng)會首先將ⅠE、火狐瀏覽器中安裝的根證書導入至敏感信息監(jiān)控網(wǎng)關，敏感信息監(jiān)控網(wǎng)關在主路模式下利用根證書解析用戶端發(fā)送過來的數(shù)據(jù)，在完成數(shù)據(jù)內(nèi)容解析后再模擬用戶端將數(shù)據(jù)轉(zhuǎn)發(fā)至對應服務器。

對于私有協(xié)議，目前敏感信息監(jiān)控系統(tǒng)能夠處理傳輸層使用TCP協(xié)議的明文私有協(xié)議[6]，主要方式是將私有協(xié)議使用的網(wǎng)絡端口添加至敏感信息監(jiān)控網(wǎng)關，敏感信息監(jiān)控網(wǎng)關就能夠?qū)λ接袇f(xié)議內(nèi)容進行分析。

（2）文件格式識別

非密辦公網(wǎng)中涉及主要的文件類型包括doc、docx、xls、xlsx、ppt、pptx、pdf、zip、rar、7z、txt、jpg、bmp、png、gif，敏感信息監(jiān)控網(wǎng)關能夠?qū)σ陨隙喾N類型文件進行內(nèi)容檢測。

對于圖片格式文件，通過光學字符識別分析[7]，提取圖片、紅頭文件掃描件、傳真頁、票據(jù)，表單等的文字敏感信息識別圖片格式文件的敏感信息。

當文件為多重壓縮的嵌套結(jié)構(gòu)時，能夠?qū)Χ嘀貕嚎s文檔中的文件內(nèi)容和類型進行識別[8]。

（3）敏感信息阻斷

敏感信息監(jiān)控網(wǎng)關將根據(jù)合規(guī)性檢測規(guī)則和機器學習統(tǒng)計模型對傳輸?shù)臄?shù)據(jù)進行檢測，當通過檢測規(guī)則或機器學習模型發(fā)現(xiàn)敏感信息存在跨網(wǎng)傳輸?shù)那闆r時，監(jiān)控網(wǎng)關會在網(wǎng)絡邊界對敏感數(shù)據(jù)流量進行定位和阻斷，確保敏感信息無法進一步傳遞，同時形成審計告警記錄并留存相關的文件或數(shù)據(jù)包備查。當網(wǎng)關完成敏感信息阻斷處置時，將發(fā)出提示信息告知用戶當前數(shù)據(jù)傳輸行為已被禁止。

4 非密辦公網(wǎng)敏感信息監(jiān)控系統(tǒng)建設實施

在敏感信息監(jiān)控系統(tǒng)具體建設實施的過程中，首先，在非密辦公網(wǎng)的安全產(chǎn)品區(qū)建設集中管理平臺，向敏感信息監(jiān)控網(wǎng)關下發(fā)防護策略，并收集網(wǎng)關設備產(chǎn)生的安全事件日志；然后，在核心交換機旁路部署一個敏感信息監(jiān)控網(wǎng)關，實現(xiàn)敏感信息全流量監(jiān)控，同時在核心交換機到邊界防火墻的鏈路上以主路模式部署另一個敏感信息監(jiān)控網(wǎng)關，實現(xiàn)非密辦公網(wǎng)與互聯(lián)網(wǎng)之間跨網(wǎng)傳輸信息的敏感內(nèi)容檢測。

圖2 非密辦公網(wǎng)敏感信息監(jiān)控系統(tǒng)建設實施示意圖

對于敏感信息監(jiān)控網(wǎng)關的部署模式，如果直接采取主路部署模式，可能會由于策略設置不當造成誤報告警，出現(xiàn)阻斷正常數(shù)據(jù)流量的情況。針對此種情況，考慮到不影響業(yè)務使用的現(xiàn)實要求，對于系統(tǒng)的建設實施將分階段進行。在部署初期，通過集中管理平臺將規(guī)則策略下發(fā)到敏感信息監(jiān)控系統(tǒng)網(wǎng)關設備后，暫時將網(wǎng)關設備全部采用旁路部署模式接入非密辦公網(wǎng)，僅對傳輸數(shù)據(jù)包進行抓取和分析，不做阻攔。每周對產(chǎn)生的違規(guī)告警記錄中留存的數(shù)據(jù)包和文件進行分析，根據(jù)分析情況不斷修訂完善規(guī)則策略。此過程需要伴隨系統(tǒng)使用過程不斷調(diào)整，實現(xiàn)最終將檢測誤報率降至合理預期范圍。

在部署試運行一段時間后，完成對非密辦公網(wǎng)傳輸數(shù)據(jù)所使用的主要協(xié)議、文件類型、以及用戶習慣的全面收集，在完成規(guī)則策略的階段性驗證和修訂、能夠做到最大限度避免誤報或漏報情況下，再將敏感信息監(jiān)控網(wǎng)關串聯(lián)接入非密辦公網(wǎng)與互聯(lián)網(wǎng)之間的網(wǎng)絡邊界出口，根據(jù)最終的檢測規(guī)則對非密辦公網(wǎng)與互聯(lián)網(wǎng)之間的跨網(wǎng)數(shù)據(jù)傳輸進行監(jiān)控和阻斷。

5 應用效果和后續(xù)建議

敏感信息監(jiān)控系統(tǒng)建設完成后，一方面能夠?qū)Ψ敲苻k公網(wǎng)的全部數(shù)據(jù)流量進行監(jiān)控，對非密辦公網(wǎng)中的涉密敏感信息進行識別和告警，同時能夠?qū)Ψ敲苻k公網(wǎng)的數(shù)據(jù)外發(fā)行為進行監(jiān)控，及時阻斷敏感信息跨網(wǎng)傳輸，降低敏感數(shù)據(jù)泄漏風險，從而確保非密辦公網(wǎng)不發(fā)生失泄密事件，最終達到保護敏感信息安全的目的。

從建設實施的具體效果來看，對敏感信息監(jiān)控系統(tǒng)后續(xù)工作提出以下完善建議。

（1）敏感信息監(jiān)控系統(tǒng)在建設部署之前，需要先對本單位的涉密敏感信息涉及的關鍵詞和文件樣本等開展大量預先整理和歸納工作，才能為后續(xù)的敏感數(shù)據(jù)特征庫建立、文件指紋生成、機器智能學習等提供高效準確的原始信息，確保敏感信息監(jiān)控系統(tǒng)真正發(fā)揮作用。以上工作需要涉密單位的相關科研業(yè)務部門給予大力配合，如果前期提供的原始文件樣本數(shù)據(jù)不夠準確，或者敏感文件關鍵詞或敏感信息內(nèi)容過于簡略，將造成檢測規(guī)則不精確，降低準確性，增加誤報率，影響實際使用效果。

（2）敏感信息監(jiān)控系統(tǒng)雖然能夠為敏感數(shù)據(jù)檢測提供一定的技術(shù)支撐，但是對于敏感信息監(jiān)控網(wǎng)關檢測發(fā)現(xiàn)的敏感數(shù)據(jù)，需要具體業(yè)務部門和保密管理部門的人員進一步核實確認，該部分工作需要涉密單位相關部門與網(wǎng)絡運維部門協(xié)同配合，才能真正達到既不泄漏敏感信息、也不影響合法數(shù)據(jù)傳輸?shù)哪康摹?/p>

（3）由于敏感信息監(jiān)控系統(tǒng)的集中管控平臺中存儲了敏感數(shù)據(jù)特征庫等信息，該部分信息的數(shù)據(jù)安全也較為關鍵，應加強對系統(tǒng)存儲的敏感數(shù)據(jù)特征庫等信息的有效管控，避免因管理員和用戶非授權(quán)訪問而衍生出新的安全保密風險。

6 結(jié)束語

文本針對涉密環(huán)境下的非密辦公網(wǎng)中敏感數(shù)據(jù)檢測及監(jiān)控措施較為薄弱的安全防護現(xiàn)狀，開展敏感信息監(jiān)控系統(tǒng)設計，通過安全防護手段有效檢測并實時監(jiān)控非密辦公網(wǎng)中可能存在的敏感涉密信息，并采取技術(shù)手段對非密辦公網(wǎng)與互聯(lián)網(wǎng)之間的跨網(wǎng)敏感信息傳輸行為進行有效識別和阻斷，從而確保非密辦公網(wǎng)數(shù)據(jù)安全，避免非密辦公網(wǎng)在運行過程中發(fā)生失泄密事件。