蔡傳忠

摘要:該文介紹了一個(gè)典型的分域安全控制方案,針對不同的網(wǎng)絡(luò)區(qū)域采用不同的技術(shù)手段實(shí)現(xiàn)加密防護(hù)。

關(guān)鍵字:數(shù)據(jù)泄露防護(hù);動態(tài)加解密技術(shù);分域控制

中圖分類號:TP274 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2009)36-10174-02

Data Leak Prevention (DLP) Security Technology Analysis of Fenwick

CAI Chuan-zhong

(Modern Education Technology Center, Anhui University of Architecture, Hefei 230031, China)

Abstract: This article describes a typical sub-domain security control program for different network areas using different techniques to achieve encryption protection.

Key words: DLP; dynamic encryption and decryption techniques; sub-domain control

目前,數(shù)據(jù)防泄露是信息安全的熱點(diǎn)問題。隨著網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展、Internet應(yīng)用的日益廣泛,信息安全問題變得尤為突出。建立完善的數(shù)據(jù)泄露防護(hù)體系、保護(hù)核心資源,已迫在眉睫。鑒于目前內(nèi)部局域網(wǎng)的現(xiàn)狀,可以針對數(shù)據(jù)存儲層和數(shù)據(jù)傳輸層進(jìn)行加密,結(jié)合文檔和數(shù)據(jù)生命周期,對內(nèi)部網(wǎng)絡(luò)分為終端、端口、磁盤、服務(wù)器、局域網(wǎng)四大區(qū)域,并針對數(shù)據(jù)庫、移動存儲設(shè)備、筆記本電腦等特例,統(tǒng)一架構(gòu),分別防護(hù),實(shí)現(xiàn)分域安全。

1 數(shù)據(jù)泄露的主要威脅

電子文檔多以明文方式存儲在計(jì)算機(jī)硬盤中,分發(fā)出去的文檔無法控制,極大的增加了管理的復(fù)雜程度。影響文檔安全的因素很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結(jié)起來,按照對電子信息的使用密級程度和傳播方式的不同,我們將信息泄密的途徑簡單歸納為如下幾方面:

1)由電磁波輻射泄漏泄密(傳導(dǎo)輻射 、設(shè)備輻射等)

這類泄密風(fēng)險(xiǎn)主要是針對國家重要機(jī)構(gòu)、重要科研機(jī)構(gòu)或其他保密級別非常高的企、事業(yè)單位或政府、軍工、科研場所等,由于這類機(jī)構(gòu)具備非常嚴(yán)密的硬保密措施,只需要通過健全的管理制度和物理屏蔽手段就可以實(shí)現(xiàn)有效的信息保護(hù)。

2)網(wǎng)絡(luò)化造成的泄密(網(wǎng)絡(luò)攔截、黑客攻擊、病毒木馬等)

網(wǎng)絡(luò)化造成的泄密成為了目前企業(yè)重點(diǎn)關(guān)注的問題,常用的防護(hù)手段為嚴(yán)格的管理制度加訪問控制技術(shù),特殊的環(huán)境中采用網(wǎng)絡(luò)信息加密技術(shù)來實(shí)現(xiàn)對信息的保護(hù)。訪問控制技術(shù)能一定程度的控制信息的使用和傳播范圍,但是,當(dāng)控制的安全性和業(yè)務(wù)的高效性發(fā)生沖突時(shí),信息明文存放的安全隱患就會暴露出來,泄密在所難免。

3)存儲介質(zhì)泄密(維修、報(bào)廢、丟失等)

便攜機(jī)器、存儲介質(zhì)的丟失、報(bào)廢、維修、遭竊等常見的事件,同樣會給企業(yè)帶來極大的損失,在監(jiān)管力量無法到達(dá)的場合,泄密無法避免。

其他的如內(nèi)部工作人員泄密(違反規(guī)章制度泄密、無意識泄密、故意泄密等)、 外部竊密等

2 數(shù)據(jù)泄露防護(hù)的實(shí)現(xiàn)方式

當(dāng)前,數(shù)據(jù)泄露防護(hù)以動態(tài)加解密技術(shù)為核心,分為文檔級動態(tài)加解密和磁盤級動態(tài)加解密兩種方式。

1)文檔級動態(tài)加解密技術(shù)

在不同的操作系中(如WINDOWS、LINUX、UNIX等),應(yīng)用程序在訪問存儲設(shè)備數(shù)據(jù)時(shí),一般都通過操作系統(tǒng)提供的API 調(diào)用文件系統(tǒng),然后文件系統(tǒng)通過存儲介質(zhì)的驅(qū)動程序訪問具體的存儲介質(zhì)。在數(shù)據(jù)從存儲介質(zhì)到應(yīng)用程序所經(jīng)過的每個(gè)路徑中,均可對訪問的數(shù)據(jù)實(shí)施加密/解密操作,可以研制出功能非常強(qiáng)大的文檔安全產(chǎn)品。有些文件系統(tǒng)自身就支持文件的動態(tài)加解密,如Windows系統(tǒng)中的NTFS文件系統(tǒng),其本身就提供了EFS(Encryption File System)支持,但作為一種通用的系統(tǒng),難以做到滿足各種用戶個(gè)性化的要求,如自動加密某些類型文件等。由于文件系統(tǒng)提供的動態(tài)加密技術(shù)難以滿足用戶的個(gè)性化需求,第三方的動態(tài)加解密產(chǎn)品可以看作是文件系統(tǒng)的一個(gè)功能擴(kuò)展,能夠根據(jù)需要進(jìn)行掛接或卸載,從而能夠滿足用戶的各種需求。

2)磁盤級動態(tài)加解密技術(shù)

對于信息安全要求比較高的用戶來說,基于磁盤級的動態(tài)加解密技術(shù)才能滿足要求。在系統(tǒng)啟動時(shí),動態(tài)加解密系統(tǒng)實(shí)時(shí)解密硬盤的數(shù)據(jù),系統(tǒng)讀取什么數(shù)據(jù),就直接在內(nèi)存中解密數(shù)據(jù),然后將解密后的數(shù)據(jù)提交給操作系統(tǒng)即可,對系統(tǒng)性能的影響僅與采用的加解密算法的速度有關(guān),對系統(tǒng)性能的影響也非常有限,這類產(chǎn)品對系統(tǒng)性能總體的影響一般不超過10%(取目前市場上同類產(chǎn)品性能指標(biāo)的最大值)。

3 數(shù)據(jù)泄露防護(hù)分域控制方案

在數(shù)據(jù)泄露防護(hù)方面,可以從不同角度來保證安全。單一針對某個(gè)局部的防護(hù)技術(shù)可能導(dǎo)致系統(tǒng)安全的盲目性,這種盲目是對系統(tǒng)的某個(gè)或某些方面的區(qū)域采取了安全措施而對其它方面有所忽視。因而,針對數(shù)據(jù)安全,我們采用分域控制方案,將整個(gè)網(wǎng)絡(luò)分為終端、端口、磁盤、內(nèi)部網(wǎng)絡(luò)四種域,進(jìn)而對各域的安全采取不同的技術(shù)措施。

3.1 終端

終端是指在接入內(nèi)部網(wǎng)絡(luò)的各個(gè)操作終端。為了保證安全,可以從四個(gè)方面采取措施:

1)針對研發(fā)類、技術(shù)類局域網(wǎng)終端,可以采用文檔透明加密系統(tǒng)加以控制。

2)針對研發(fā)設(shè)計(jì)類之外的局域網(wǎng)終端,可以采用文檔權(quán)限管理系統(tǒng)加以控制。

3)從局域網(wǎng)發(fā)往外部網(wǎng)路的文檔,可以采用文檔外發(fā)控制系統(tǒng)加以控制。

4)針對整個(gè)局域網(wǎng)內(nèi)部文檔和數(shù)據(jù)安全,可以采用文檔安全管理系統(tǒng)加以控制。

3.2 端口

局域網(wǎng)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)端口,局域網(wǎng)各個(gè)終端的移動設(shè)備接入端口,以及各個(gè)終端的信息發(fā)送端口,可以采用兩種方式加以控制: 1)端口控制對移動儲存設(shè)備、軟盤驅(qū)動器、光盤驅(qū)動器、本地打印機(jī)、數(shù)碼圖形儀、調(diào)制解調(diào)器、串行通訊口、并行通訊口、1394、紅外通訊口、wifi無線網(wǎng)卡、無線藍(lán)牙等進(jìn)行啟用和禁用/禁止手機(jī)同步等。應(yīng)用端口控制技術(shù),可以使所有從端口輸出的文檔和數(shù)據(jù)自動加密,防止明文出口。

2)移動設(shè)備接入控制

通過對外部移動設(shè)備接入訪問控制,防止非法接入。

3.3 磁盤

所有的文檔和數(shù)據(jù)都必須保存在存儲介質(zhì)上。存儲介質(zhì)主要包括PC機(jī)硬盤、工作站硬盤、筆記本電腦硬盤,移動存儲設(shè)備(主要是U盤和移動硬盤)。對這些存儲設(shè)備的磁盤和扇區(qū)進(jìn)行控制,主要可以采用磁盤全盤加密技術(shù)和磁盤分區(qū)加密(虛擬磁盤加密)技術(shù)。

1)磁盤全盤加密

磁盤全盤加密技術(shù)(FDE)是目前已經(jīng)非常成熟的一項(xiàng)技術(shù),能對磁盤上所有數(shù)據(jù)(進(jìn)行動態(tài)加解密。包括操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)文件都可以被加密)。通常這個(gè)加密解決方案在系統(tǒng)啟動時(shí)就進(jìn)行加密驗(yàn)證,一個(gè)沒有授權(quán)的用戶,如果不提供正確的密碼,就不可能繞過數(shù)據(jù)加密機(jī)制獲取系統(tǒng)中的任何信息。

2)磁盤分區(qū)加密

磁盤分區(qū)加密,顧名思義,就是對磁盤的某一個(gè)分區(qū)(扇區(qū))進(jìn)行加密。目前比較流行的虛擬磁盤加密就是對分區(qū)進(jìn)行磁盤級加密的技術(shù)。這種技術(shù)在國內(nèi)比較多,一般用于個(gè)人級的免費(fèi)產(chǎn)品。

3.4 服務(wù)器

同樣是應(yīng)用文檔級加密的數(shù)據(jù)泄露防護(hù)體系,針對服務(wù)器防護(hù)已有專門的產(chǎn)品。通常,用戶的服務(wù)器有資源服務(wù)器(文檔服務(wù)器等)和應(yīng)用服務(wù)器(PDM、OA、ERP等服務(wù)器),對這些服務(wù)器,可以采用網(wǎng)關(guān)級產(chǎn)品來進(jìn)行保護(hù)。部署實(shí)施文檔級安全網(wǎng)關(guān)之后,所有上傳到服務(wù)器上的文檔和數(shù)據(jù)都自動解密為明文,所有從服務(wù)器上下載的文檔和數(shù)據(jù)都自動加密為密文。

3.5 內(nèi)部網(wǎng)絡(luò)

內(nèi)部網(wǎng)絡(luò)主要由各個(gè)終端和連接各個(gè)終端的網(wǎng)絡(luò)組成。通過對各個(gè)終端硬盤和終端端口的加密管控,足以對內(nèi)部網(wǎng)絡(luò)進(jìn)行全面控制,形成有效的內(nèi)部網(wǎng)絡(luò)防護(hù)體系。這種解決方案,其實(shí)是把磁盤全盤加密技術(shù)與網(wǎng)絡(luò)端口防護(hù)技術(shù)相結(jié)合,形成整體一致的防護(hù)系統(tǒng)。

4 數(shù)據(jù)泄露防護(hù)分域控制方案特例

動態(tài)加解密技術(shù)的數(shù)據(jù)泄露防護(hù)體系用途非常廣泛,并可以針對各個(gè)網(wǎng)絡(luò)域定制開發(fā)出相對應(yīng)的產(chǎn)品。以下是數(shù)據(jù)泄露防護(hù)分域控制方案針對網(wǎng)絡(luò)域的幾種典型例子。

4.1 移動存儲設(shè)備

目前應(yīng)用得最多的的移動存儲設(shè)備是U盤和移動硬盤。針對這兩種移動存儲設(shè)備,目前通常采用的是磁盤分區(qū)加密技術(shù),對磁盤分區(qū)或者扇區(qū)進(jìn)行加密控制,所有從內(nèi)部網(wǎng)絡(luò)流轉(zhuǎn)到移動存儲設(shè)備的文檔和數(shù)據(jù)都會自動加密保護(hù)。

4.2 數(shù)據(jù)庫

使用數(shù)據(jù)庫安全保密中間件對數(shù)據(jù)庫進(jìn)行加密是最簡便直接的方法。主要是通過三種加密方式來實(shí)現(xiàn):1)系統(tǒng)中加密,在系統(tǒng)中無法辨認(rèn)數(shù)據(jù)庫文件中的數(shù)據(jù)關(guān)系,將數(shù)據(jù)先在內(nèi)存中進(jìn)行加密,然后文件系統(tǒng)把每次加密后的內(nèi)存數(shù)據(jù)寫入到數(shù)據(jù)庫文件中去,讀入時(shí)再逆方面進(jìn)行解密,2)DBMS內(nèi)核層(服務(wù)器端)加密:在DBMS內(nèi)核層實(shí)現(xiàn)加密需要對數(shù)據(jù)庫管理系統(tǒng)本身進(jìn)行操作。這種加密是指數(shù)據(jù)在物理存取之前完成加解密工作。3)DBMS外層(客戶端)加密:在DBMS外層實(shí)現(xiàn)加密的好處是不會加重?cái)?shù)據(jù)庫服務(wù)器的負(fù)載,并且可實(shí)現(xiàn)網(wǎng)上的傳輸,加密比較實(shí)際的做法是將數(shù)據(jù)庫加密系統(tǒng)做成DBMS的一個(gè)外層工具,根據(jù)加密要求自動完成對數(shù)據(jù)庫數(shù)據(jù)的加解密處理。

針對以上三種數(shù)據(jù)加密方式的不足,目前已經(jīng)有全新的數(shù)據(jù)庫加密保護(hù)技術(shù)。通過磁盤全盤加密技術(shù)和端口防護(hù)技術(shù),對數(shù)據(jù)庫的載體(磁盤)進(jìn)行全盤加密和數(shù)據(jù)流轉(zhuǎn)途徑(端口)進(jìn)行控制,從而實(shí)現(xiàn)數(shù)據(jù)庫加密保護(hù)。這種方式還能解決數(shù)據(jù)庫加密方案最常見的問題——無法對數(shù)據(jù)庫管理員進(jìn)行管控。通過端口防護(hù),即使數(shù)據(jù)庫管理員能得到明文,但是因?yàn)槎丝谝呀?jīng)被管控,所以數(shù)據(jù)依然不被外泄。

4.3 筆記本電腦

筆記本電腦在運(yùn)輸途中,比如在出租汽車、地鐵、飛機(jī)上,經(jīng)常會被遺失;在停放的汽車、辦公桌、會議室甚至是家里,也常發(fā)生筆記本電腦被外賊或者家賊盜取;在筆記本電腦故障送修時(shí),硬盤上的數(shù)據(jù)就完全裸露在維修人員面前。針對筆記本電腦數(shù)據(jù)保護(hù),國際上通用的防護(hù)手段就是磁盤全盤加密技術(shù)。

硬盤生產(chǎn)廠商例如希捷、西部數(shù)據(jù)和富士通等都支持全盤加密技術(shù),將全盤加密技術(shù)直接集成到硬盤的相關(guān)芯片當(dāng)中,并且與可信計(jì)算機(jī)組(TCG)發(fā)布的加密標(biāo)準(zhǔn)相兼容。

5 總結(jié)

信息系統(tǒng)安全需要從多方面加以考慮,需要研究整個(gè)內(nèi)部網(wǎng)絡(luò)的安全策略,并在安全策略的指導(dǎo)下進(jìn)行整體的安全建設(shè)。該文所介紹的是一個(gè)典型的分域安全控制方案,針對不同的網(wǎng)絡(luò)區(qū)域采用不同的技術(shù)手段進(jìn)行實(shí)現(xiàn)加密防護(hù)。

參考文獻(xiàn):

[1] 張蒲生.網(wǎng)絡(luò)安全應(yīng)用技術(shù)[M].北京:電子工業(yè)出版社,2008.

[2] 王紹斌.信息系統(tǒng)攻擊與防御[M].北京:電子工業(yè)出版社,2007.

[3] 張志華.局域網(wǎng)的安全策略及其實(shí)現(xiàn)[J].肇慶學(xué)院學(xué)報(bào).2006(2).

[4] 陳克非,黃征.信息安全技術(shù)導(dǎo)論[M].北京:電子工業(yè)出版社,2007.