数据安全保护方案--改写版
一、整体设计思路
数据安全是一个整体的体系,环环相扣。
数据安全防护六不原则:
l 访问控制(进不来)
通过网络访问控制策略和用户角色权限,控制用户对服务器、数据库、目录、文件等网络资源的访问。操作流程采用层级管理,关键操作采用层级审批、多人完成、分权制衡的管理模式。
l 身份认证(改不了)
采用双因子身份认证进行重要系统登录和关键操作,从而确定该用户是否具有对某资源的访问和使用权限,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
l 数据加密(看不懂)
使用加密算法对传输的数据进行加密,防止中间人劫持;数据信息使用加密算法进行加密存储在数据库中,无法获知真实数据信息。
l 容灾备份/恢复(挂不了/丢不了)
服务器数据相互备份和异地备份,系统遭遇故障和灾害时能迅速切换到正常服务器,保证信息系统能正常运行,数据信息每天全备和实时增量备份,当数据信息造成意外丢失和损坏时,可快速恢复。
l 安全审计(走不脱)
通过部署日志审计、入侵检测防御以及安全运维与审计,实现对整个网络系统的性能和流量日志的监控、分析与审计,实现基于网络平台和面向应用的“事前”管理、“事中”监控和“事后”分析,全面监控、实时告警和溯源。
l 全面的网络安全防护
二、数据安全威胁
企业面临的数据安全威胁/风险脑图:
三、安全规划内容
3.1 访问控制
涉及数据相关的访问控制需要进行网络隔离、用户进行细粒度授权、访问进行认证,访问控制涉及对象包括操作系统、数据库、中间件、应用程序甚至网络设备等访问。
(一)网络控制
主要通过 ACL来实现,对源地址、目的地址、源端口、目的端口和协议的访问进行控制。
1)仅限运维技术负责人有权限访问生产服务器及业务数据接触到客户数据,应用系统的发版均需要经过运维人员配合才能进行发版。
2)网络边界或区域之间根据访问控制策略设置访问控制规则:
a. 网络边界部署交换机和防火墙进行访问控制策略;
b. 一些端口或ACL也可通过主机自带防火墙进行访问控制,访问控制策略尽量采用就近原则;
c. 访问控制策略采用白名单形式,默认情况下除允许通信外受控接口拒绝所有通信,如远程登陆端口、数据库端口、中间件端口进行访问控制,尽量避免端口暴露非信任区域,可以通过VPN进行跨区域安全通信。
网络访问控制通常是最熟悉的人去弄,为了让网络管理员知道配置的需求,一般都会弄一个模板表,当然事前还会进行一些调研,如:
(二)权限控制,基于角色的权限访问控制:
1)根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限,尽量在权限之间形成相互制约的关系;(通常情况:仅公司生产系统运维人员才有权限访问生产服务器及业务数据库接触到客户数据,关键数据均是加密后的密文,同时对数据的维护操作进行了监控与审计)。
2)由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
3)权限控制实现文件、数据库表级、记录或字段级的访问控制;
4)及时删除或停用多余的、过期的账户,避免共享账户的存在。如长期未登陆用户使用系统,如超过三个月未登陆系统,应对帐号进行长期锁定。
(三)防数据库误删
1)不要在任何时候使用rm –rf * ,他会永久删除文件,建议给“rm”命令添加个“垃圾桶”,而不是永久删除;
2)改写rm命令,防止误操作;
3)删除命令尽量脚本化,并把将执行的脚本命令、需要删除的对象进行描述发给第三者审核通过。
3.2 身份认证
(一)身份认证可分为两种认证方式,单点登录和双因素认证。
1. 单点登录:在多个业务系统中,用户只需要登录一次就可以访问所有相互信任的业务系统。使用单点登录,在带来便利的同时也会引入新的安全风险:用户仿冒和单点故障。以下措施可提高业务系统(如:某个工作台,包含了OA、后台登陆、HRM等多个应用系统)单点登陆的安全性和可用性:
a. 用户访问任何一个业务系统时,如果已经在单点登录服务器中认证成功,那么可以获取对应的权限,访问对应的界面;
b. 用户如果在其中任何一个业务系统中点击“注销”按钮后,那么不能继续访问其他业务系统,如果访问,必须重新登录;
c. 用户访问任何一个业务系统时,如果尚未在单点登录服务器中认证成功,那么需要跳转到单点登录界面,输入用户名密码,校验成功后,再回到原来的访问界面。
d. 通过备份、冗余、负载均衡、功能模块化以及提高处理性能,来防范单点故障。
2. 双因素身份认证:解决只有授权用户才能访问系统平台与服务的问题,主流的身份认证手段包括:静态密码、动态口令、密码技术或生物技术等。
(二)某系统的双因素身份认证:
a. 进行资金交易、修改个人信息或修改密码等敏感操作进行双因子认证;
b. 对后台用户在登录时采用双因子认证,如用户名/密码+手机短信验证码、用户名/密码+动态令牌或用户名/密码+Ukey等等;
c. 操作系统、数据库、网络设备登陆,采用堡垒机进行登陆统一认证和操作审计。
(三)接口认证
在工作中发现过不少接口方面的安全问题,比如接口暴露,可以任意调用,甚至修改传输包,解决方法可参考:
1. 身份认证,调用鉴权(资源范围、操作权限);
2. 通道加密传输,如使用SSL传输;
3. 重要信息加密算法进行加密后传输;
4. 添加token校验,防止请求重放;
5. 将登陆信息等重要信息存放为SESSION,其他信息如果需要保留,可以放在COOKIE中;
6. 设置IP白名单;
7. 一些资源管理器/应用组件(如:YARN&MR、Spark、Hive、Storm、ZooKeeper、Impala),应开启认证机制。若资源管理器/应用组件支持关闭认证机制功能,需要提示,并建议在关闭认证机制功能时界面上给出告警提示。
接口认证方式不能一概而论,还要根据所在业务和场景进行设计。
管理举措:
引入单点统一登录认证平台,增加系统的多因素认证体系建设。
3.3 数据加密&脱敏
(一)数据加密
在数据保存和传输的数据提供加密功能,在两个维度上提供数据安全保护:
1.机密性:采用加密的方式,确保只有拥有相应密钥的用户能够访问被保护的数据;
2.完整性:保证信息在储存和传输过程中不被查看和修改,如:使用SSL传输,并对敏感信息(如用户名、密码、重要ID值)使用加密算法+动态token验证。
(二)秘钥保护
加密技术都基于密钥的安全基础上,如果密钥泄露,就失去了安全性。实际开发中,把密钥直接写在源代码中,或者是配置文件中,线上和开发环境配置相同的密钥。这样的话,不够安全。
通过两种方案改善:
1.密钥和算法放在一个独立的服务器上,甚至做成一个专用的硬件设备,对外提供加密和解密服务,用程序通过调用这个服务,实现数据的加解密。这种方法由专人维护,密钥不容易泄露,但是成本较高。
2.将加解密算法放在应用系统中,密钥则放在独立服务器中,为了提高密钥的安全性,实际存储时,密钥被切分成数片,加密后分别保存在不同存储介质中,兼顾密钥安全性的同时又改善了性能。
(三)数据脱敏
企业拥有的敏感数据,包括商业秘密、知识产权、关键业务信息、业务合作伙伴信息或用户信息等。其中涉及个人隐私的用户个人信息是信息系统中最重要最广泛的敏感信息。
个人信息:指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
公民个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
针对敏感数据,采用技术措施限制对用户信息的访问和使用。
1)确认需要查看客户个人信息的后台账号,账号权限为业务必须的权限;
2)查询客户个人信息尽量仅能查询脱敏后的信息,如电话号码、身份证号码只保留前后4位,中间内容脱敏;
3)不管是请求校验还是脱敏不要在前端进行,前端是不可靠的;
4)对于需要导出客户个人信息的后台账号,确认是否必要导出客户个人的明文信息,
a) 如无必要建议禁止导出客户明文信息;
b) 若确实必要导出客户个人信息的明文信息,建议严格限制后台账号的使用人员范围(使用人员、登录的源IP),并设置导出的信息范围,如信息条数、信息时长(如最近1个月),所有对客户信息的查询和导出有日志记录。
脱敏实现之数据脱敏系统的原理及功能:
第一步:评估数据资产的安全级别,根据不同的安全级别以及应用的数据要求,制定不同的脱敏策略。
第二步:设置脱敏任务和触发条件,触发条件如时间、某数据处理过程的调用。
第三步:触发脱敏条件后,脱敏系统将脱敏算法的执行算法包下发各节点实现数据脱敏。
数据脱敏可发生在两个阶段:
1)数据的采集阶段,实现最基本、简单的脱敏;
2)数据资产应用过程中,针对不同的应用进行实时的脱敏,应用脱敏相对较为复杂多变。
3.4 容灾备份/恢复
(一)容灾分类:
数据级容灾:建立一个异地的数据系统,该系统是本地关键应用数据的一个可用复制。在本地数据及整个应用系统出现灾难时,至少在异地保存有一份可用的关键业务的数据。该数据可以是与本地生产数据的完全实时复制,也可以比本地数据略微落后,但一定是可用的。
应用级容灾:在数据级容灾基础上,在异地建立一套与本地生产系统相当的备份环境,包括主机、网络、应用、IP等资源均有配套,当本地系统发生灾难时,异地系统可以提供完全可用的生产环境。
管理举措:
目前我公司已通过济阳、联通两机房实现此功能。
(二)备份策略
备份策略是备份方案核心部分,要按照数据重要程度、数据管理方式制定不同的备份策略。备份策略包括:备份对象、备份方法、备份频率、保存时限等。
如:每天数据泵备份两次,RMAN备份一次,备份保存双份,一份放本地,一份放存储。
管理举措:
应定时检查备份机制是否有效。
(三)备份运行和恢复演练
1) 必须定期巡检和维护备份系统及时发现并排除故障隐患,保证备份系统的正常运转。
2) 对于核心系统和关键系统,每半年进行备份介质可用性检查,确保库存介质可用。
3) 必须保证核心系统每季度进行的恢复测试顺利完成,检查备份可用性。关键系统至少每半年进行恢复测试。
4) 需要实施系统恢复时要按照备份恢复管理流程申报、审批,按照备份恢复方案进行系统恢复。
5) 个人做好对自己的资料文件根据需要进行备份,但必须做好备份的信息安全保护工作。
6) 数据备份应遵循“内容完备、安全保密、落实到人、定点存放、定期检验”的工作原则,切实保证备份数据的机密性、完整性和可用性。
管理举措:
定期举行灾备演练。
3.5 安全审计
尽量通过部署日志审计系统,实时监视网络各类操作行为及攻击信息。根据设置的规则,智能的判断出各种风险行为,对违规行为进行报警等。
日志的分类包括:应用系统日志、操作系统日志、数据库日志、网络设备日志和信息安全设备日志。每一类日志记录中应记录以下基本内容:事件发生的日期和时间、事件描述,操作者信息,导入、导出、成功和失败操作。
(一)应用系统日志
客户访问门户网站时,应对登录行为、业务操作以及系统运行状态进行记录与保存,保证操作过程可追溯、可审计。并确保业务日志数据的安全。日志记录应满足如下安全要求:
1. 记录关键业务操作日志:应记录关键业务操作的日志,例如登录成功与失败、关键业务办理、敏感数据查询、敏感数据导入与导出等。
2. 记录应用系统运行日志:应记录应用系统的启停、异常、资源使用情况等。
3. 敏感数据模糊化:禁止在业务日志中记录服务密码等敏感信息。如果确实需要记录敏感信息,则应进行模糊化处理。
4. 防止业务日志欺骗:如果在生成业务日志时需要引入来自非受信源的数据,则应进行严格校验,防止欺骗攻击。
5. 业务日志安全存储与访问:禁止将业务日志保存到网页目录下,确保业务日志数据的安全存储并严格限制业务日志数据的访问权限。应对业务日志记录进行签名来实现防篡改。日志记录应在线至少保存半年,离线保存1年。
应用系统日志分析,不同的系统日志特征不一样,所以也不好去介绍(有机会再写写安全应急),在做应急分析时,有时候是需要去模拟操作分析出操作特征,再去对日志进行分析。
(二)WINDOWS系统日志
做日志审计,前提是要开启相应的日志审计策略,默认的日志信息是很少的,开启日志审计时还需要注意,如果全部开启,日志信息可能巨庞大,会有很多无用日志,所以最好是先确定是需要开启哪些审计策略。
关于日志信息如何审计,审计哪些,这里做了一个简单的win2008常用审计事件ID(win7与win2008的日志事件ID没什么区别):
(三)UNIX系统日志
收集的一些日志特征:
(四)防火墙日志
收集的一些日志特征:
(五)交换机/路由器
收集的一些日志特征:
为什么这里没有介绍数据库的日志呢,因为一旦开启数据库的审计策略,数据库性能将产生巨大影响,因此建议只使用默认的审计策略。
数据库日志审计,可以参考如下:
1. 部署堡垒机进行运维管理,堡垒机日志对操作者所有操作行为进行日志记录;
2. 旁路部署数据库审计产品,并实现用户IP、应用服务器IP与数据库IP三层关联,对数据库的每条数据库命令的执行进行记录;
3. 至于设备部署以及策略配置位置,建议就近原则。
(六)IT运维管理
通过专业的运维管理系统进行运维监控,对服务器的CPU、硬盘、内存、网络等资源的使用情况,以及系统的服务水平进行检测和告警。
(七)接口安全审计
接口的调用监控:限制访问次数、最大连接量,接口流量实时监控、异常流量告警,如短信接口、提现接口、充值接口等等;
注:比如某系统已经停用了,有漏洞也不打算补了,反正都不用了,但某天系统又重新开启还不通知安全,这时技术、管理已经失效了,所以还有监控这一道防线。
(八)日志保护
1. 关键信息基础设施的运营者在运营中收集和产生的个人信息和重要数据应当在境内存储;
2. 对审计进程进行保护,防止未经授权的中断;
3. 审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等,如:审计记录备份到日志服务器;
4. 日志信息保存至少6个月。
管理举措:
对日志信息进行周期性回溯,或者通过日志监控平台的建设,做到自动风险告警和高危风险操作预警阻断功能。
3.6 全面防护
设计安全防护框架:技术安全构成安全建议
我公司已购买并完成部署的安全系统:(黄色框内)
可以增强及需要完善的部分:(红色框内表示)
四、数据安全治理技术手段
数据安全治理最为重要的是进行数据安全策略和流程制订。在公司内部指定并发布《公司数据安全管理规范》,所有的工作流程和技术支撑都是围绕此规范来制订、落实,一般会包括组织架构及职责分工、数据分类与分级管理、数据生命周期(采集、使用、传播、存储、归档、销毁)安全要求、数据安全风险事件管理、数据安全管理考核与监督、数据安全管理培训等内容。
数据安全治理工作,需要遵循国家级的安全政策和行业内的安全政策,包括网络安全法、等级保护政策及特定行业政策(如PCI-DSS、SOX等),企业在制定内部政策时需要重点参考。
数据治理主要依据数据的来源、内容和用途进行分类;以数据的价值、内容敏感程度、影响和分发范围进行敏感级别划分。这就要求我们对现有数据资产进行梳理,包括数据的使用部门和角色、数据的存储和分布、现有的数据访问原则和控制策略等。数据资产梳理中,要明确数据如何被存储、数据被哪些对象使用、数据被如何使用等。对于数据的存储和系统使用,需要通过自动化的工具进行;对于部门、人员角色梳理,更多在管理规范文件中体现;对于数据资产使用角色的梳理,关键要明确不同受众的分工、权利和职责。
清楚敏感数据分布,才能知道需要对什么样的库实现何种管控策略;对该库运维人员实现怎样的管控措施;对该库的数据导出实现怎样的模糊化策略;对该库数据的存储实现何种加密要求。明确数据被什么业务系统访问,才能准确地制订业务系统工作人员对敏感数据访问的权限策略和管控措施。
管理举措:
数据管理制度修订,数据分类分级管理工作流程及公司内部组织建设。
4.1终端数据安全
跟数据打交道最多的场景是终端电脑,所以很多企业的数据安全建设工作都会围绕终端进行,市面上的解决方案有加密、权限控制、终端DLP桌面、虚拟化、安全桌面等几大类别,中间还会涉及一些外设管控、水印等,下面会逐一阐述。
4.1.1加密类
加密类解决方案可以分为磁盘加密、文件加密两类技术。
l 磁盘加密
磁盘加密技术目前主要有两种类型:一种是磁盘分区加密技术, 另一种是全磁盘加密技术(Full Disk Encryption,FDE)。
磁盘分区加密技术是采用加密技术对磁盘上某一个扇区(或者分区)进行加解密。磁盘分区加密技术目前已经有广泛应用,虚拟磁盘加密技术(Vertual Disk Encryption,VDE)就是磁盘分区加密技术的代表之一,其他的还包括移动存储设备加密技术。很多企业提供类似“安全U盘”的设备,U盘加密软件是专业的U盘加密软件和移动硬盘加密软件。可以几秒内加密U盘和加密移动硬盘里面的全部文件和文件夹或者是你指定的需要加密的文件和需要加密的文件夹。解密时也可以解密全部加密的文件和加密的文件夹或只解密你需要使用的加密文件和加密文件夹。
全磁盘加密技术,顾名思义,是对整个磁盘上的数据进行加解密,包括系统所在分区也是加密的。
传统的磁盘加密方案,都是基于防止设备丢失等带来的被动泄密,而无法防止员工的主动泄密,所以以上的方案比较适合用在笔记本电脑、移动存储设备上。
l 文件加密
这里的文件加密不是指给文档设置一个密码或者给文件压缩设置压缩密码,而是企业里常用的透明加解密方案。所谓透明是指,对使用者来说是未知的,当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护文件内容的效果。
透明加解密产品的实现技术,分为两种:应用加密、驱动层加密。
应用层加密:通过调用应用系统的Windows API函数来对文件进行读写的加密控制,即平常所说的Hook技术。通过Hook技术,当监控到可信进程打开加密文件的时候将其进行解密,当监控到可信进程写入文件到磁盘的时候进行加密;而驱动层则工作在更底层,通过拦截操作系统文件过滤驱动的读写动作对文件进行加解密控制,由于工作在受Windows保护的内核层,运行速度更快,加解密操作更稳定。
提升建议:
目前公司无相关产品,建议后期考虑采购。
4.1.2 权限控制类
除了透明加解密之外,企业用户往往需要做更细粒度的控制,包括阅读、复制、编辑、打印等,我们称之为权限控制类方案。注意权限控制不代表不使用加密技术,相反,方案通过使用加解密、密钥管理类的技术,来保障被授权的用户才能有权限使用该文档;而文档权限的控制,保障被授权的用户,权限能够更细粒度地区分,比如阅读、复制、编辑、打印、二次授权、使用时长、打开次数、被打开的机器数量等。其中一些权限, 如阅读、编辑、打印等,是通过控制文档编辑器来实现的,而二次授权是通过解密再加密授权实现的。
由于欧美和亚洲在防主动泄密的理念以及对用户安全意识的信任是不同的,导致产品功能稍有不同,但对用户的使用体验甚至安全性上有非常大的影响。在欧美,文档权限管理的目的,更偏重于让有安全意识的用户更好地授权自己的文档,以及信任有安全意识的用户合理使用文档,如果他一旦利用漏洞进行主动泄密,更多交给DLP来实现。但在亚洲,文档权限管理的目的更多是防止主动泄密,希望将被授权用户管理得非常严格。
文档内容的交互不仅仅只是文档和文档之间,常常有些工作场景需要摘录文档中一些统计类图标、内容,发在邮件正文中作为报告的摘要信息提示。比如,系统方案上OA应用评审,也希望摘录部分不太涉密的评审点。因为随着信息化系统的高度发展,信息流转不仅仅是在文档和文档之间,也在文档和系统之间。但这样虽然方便了用户,却会造成安全风险,因为一旦可以将内容拷贝到邮件或者OA应用,那么加密就失效了。
我们应该做到是加强对员工安全意识教育,被授权的用户也应知道这些信息该如何处置,哪些内容可以复制到非加密的应用中而哪些不可以。如果他们主动或过失泄密,在技术上有DLP的监测或者其他审计,在管理上公司可依制度和法律问责。
提升建议:
市场上有成熟的终端文档管理系统,可以实现终端设备上资料的授权明细访问,目前公司无相关产品,建议后期考虑采购。
4.1.3 终端DLP类
终端DLP功能通常包括敏感文件识别、外发文件阻断、外设端口管控、日志审计分析等功能。其中最关键的是敏感文件识别。
敏感文件识别,首先要对终端上的各类文档进行深入解析,通常Office、PDF、压缩包、文本类都是必需的。其次在解析内容的基础上,匹配相应的策略来判断文档是否敏感,从简单的关键字、正则表达式,到文件指纹,数据库指纹,再到语义分析、机器学习等,在条件上的与、 或、非各种组合下,才能判定文件是否敏感,敏感度是多少,相应的动作是否阻断等。
外发文件阻断,通常需要考虑一些泄密的场景,包括U盘拷贝、打印、压缩、拷贝到共享、拷贝到远程桌面、拷贝到虚拟机、光盘刻录、邮件客户端发送、QQ/RTX/微信等通讯软件聊天以及传附件等一系列场景,有的甚至需要对截屏、剪贴板进行控制。至于是采用阻断还是采用只监控审计的方案,要看企业需求和文化氛围,只监控审计的方案对最终用户无感知,体验会更好,也更容易在企业落地。
提升建议:
公司已采购天空卫士DLP终端产品,建议增加终端安装数量,并不断完善安全防护策略,从事后监控逐步过渡到事前防范、非授权资料的阻断功能,并通过公司内部数据管理制度优化建设,完善奖惩机制。切实落实安全数据安全保证工作。
4.1.4 桌面虚拟化
数据一旦落到终端,很多方案都会存在失效的可能。随着云计算、大数据的发展,很多企业意识到将数据统一集中管理、不落到终端上是一个不错的方法。
得益于服务器虚拟化技术的成熟和服务器计算能力的增强,使得服务器可以提供多台桌面操作系统的计算能力,将远程桌面的远程访问能力与虚拟操作系统相结合,形成了桌面虚拟化技术。有些场景可能不需要用户有个完整的桌面,只需要特定的应用,于是出现了应用虚拟化。
VMware的虚拟桌面方案示意图:
虚拟桌面方案对网络质量要求较高,不同厂家的远程协议有各自的优化处理方案,需要仔细对比体验,除此之外,我们需要关注以下的一些关键点:
用户认证功能。一般方案都提供本地用户密码认证、AD认证, 有的还支持双因素认证。
USB存储功能。有些场合需要使用USB设备,所以一般都提供了USB重定向功能,如果USB的存储功能受限,将会成为一个数据泄露的途径。
剪贴板功能限制。为了方便地将本地剪贴板内容拷贝到虚拟桌面,一般的方案都提供了剪贴板重定向功能,最好有方向上的控制。
MAC地址绑定功能。虚拟桌面IP和MAC地址绑定,瘦终端的MAC地址与用户账号绑定,或者与虚拟计算机的名称绑定等。
PC截屏功能。数据都在服务端,本地终端能看到但拿不到,难免会有人想截个屏,然后到本地桌面粘贴,这时候防截屏功能就能发挥作用了。
虚拟桌面水印功能。截屏不行还可以拍照,所以水印功能也必不可少,有明文水印,有些厂商还提供隐藏水印功能。
虚拟桌面本质上相当于将物理终端从前台移到了后台,解决了物理终端设备边界的问题对于从网络和应用上访问所形成的数据安全风险。
提升建议:
目前公司无相关云桌面产品采购计划,建议后期考虑。
4.1.5 安全桌面
不同于桌面虚拟化方案在已有终端利用率不高、网络和后台资源占用多的情况,目前市场上还有一种“安全桌面”方案,其本质是利用Sandbox技术,在真实系统上虚拟出一个安全桌面,当用户访问敏感系统或数据的时候要使用安全桌面。基于沙箱的安全桌面可以在操作系统使用时虚拟出多个专用桌面,在这些专用桌面上的操作与宿主桌面共用操作系统和应用程序,但是不会共用数据。例如,在专用桌面中编辑文档信息和在宿主桌面一样,使用相同的办公软件,但是数据完全隔离,两个桌面各自编辑自己的文档。在基于沙箱的安全桌面上结合终端监控工具,就可以彻底区分业务数据,通过网络访问控制区分宿主桌面和专用桌面的访问范围,可以限制业务系统只能接受某些专用桌面的访问,并且结合存储控制,例如,数据只能存储在远程的文件服务器上或者禁止移动存储设备接入,完全能够实现监控专用桌面的数据访问和存储,对于业务数据保护非常完善。
此类方案主要存在两大问题需要解决:
沙箱技术与操作系统强相关导致的兼容性问题。微软新推出一个操作系统,你的安全桌面方案还能支持吗?微软IE浏览器升级后,安全桌面方案是否需要调整?
沙箱的隔离技术与操作系统功能导致的安全性问题。我们知道,进程除了与文件打交道,还会涉及网络、管道等,方案对不同桌面的网络控制进行了限制,其保护机制如何?简单修复SPI是否能绕过?在默认桌面起个服务监听网络端口然后在沙盒里通过网络访问 呢?进程间通信管道用来传递数据呢? 终端本来就复杂,很多厂商不会在上面投入太多精力,随着操作系统和应用软件的不断升级,最后导致的结果就是支持力度上不去, 使用了该方案的企业可能会陷入被动局面,所以请谨慎选择。
提升建议:
安全桌面与云桌面管理还存在一定的漏洞和管理缺陷,不建议考虑。
4.2 网络数据安全
企业员工上网、邮件外发场景都会存在数据泄露的可能,有些企业对办公和业务网做了逻辑隔离,但数据还是有交互的需求,这里都需要考虑数据安全问题。主要分为三类:网络DLP类、上网代理类、邮件代理类。网络DLP类主要是基于旁路镜像分析流量是否有敏感内容传输;后两种主要是串在网络访问路径上,从而可以起到拦截的效果。
提升建议:
我公司已购买并部署实施了天空卫士的DLP产品,目前正在考虑从现在旁路监听,逐步过渡到公司内网环境的串联部署,提升设备的全面监控能力。
4.3 存储数据安全
企业的很多数据除了落地在终端,更重要的是落地在后端存储 上,这里的数据安全工作会涉及存储数据的加密、敏感文件的扫描发现以及数据的销毁等方面的内容。
n 存储数据的加密
存储数据的加密,根据数据加密位置的不同,一般分为:应用层加密(如数据库、备份软件),网关层加密(如加密交换机),存储系统加密。
应用层加密,肯定是兼容性最好的方案,因为应用自身实现了加密,存储层、网络层根本无感知;另外,由于应用层加密可以保护数据端到端的安全,所以实用价值更大。以数据库为例,包括Oracle、SQL Server在内的数据库,都在高版本里支持透明加解密功能,即存储在磁盘上的数据是加密的,加解密功能由数据库自身来完成。MySQL在5.7版本中推出数据加密功能—透明数据加密(Transparent Data Encryption),用户在创建加密表时,不用指定加密密钥。数据在写盘时加密,在读盘时解密。不过,目前MySQL的透明数据加密只支持InnoDB存储引擎,未来可能会有新的改进。
网关层加密,使用加密存储安全交换机,连接在存储设备和主机之间,所有数据都会经过它,性能是一个需要关注的问题;另外,对已经有存储交换机的企业来说,还需要另外采购加密交换机来实现加密功能。
存储系统加密,依靠存储本身提供的加密就可以,不需要引入加密交换机,也不会对主机的性能有影响。很多企业都使用磁带库的方式进行备份,一般都支持加密功能。
n 敏感文件的扫描
常规的DLP产品都会支持敏感数据发现功能,除了对本地终端, 还可以对远程存储上的文件进行扫描,比如文件共享、Lotus Notes数据库、SQL数据库、SharePoint服务器、Exchange Server扫描等,都是DLP产品里的功能。
n 数据的销毁
数据销毁有两种,一种是我们常说的数据擦除,一种是针对物理设备的消磁或粉碎。
安全的删除方法是使用专业工具进行的,免费的有Eraser,其删除设置里有多种删除方法,包括美国国防部标准等。
如果想针对某个重要文件做处理,但已经不小心被删除,一种办法是先恢复再安全删除,还有一种办法就是直接硬盘填充多次,硬盘填充工具网上有免费的FillDisk,也有系统自带的cipher命令。此类工具的原理都是写数据一直到磁盘写满,多运行几次再用数据恢复工具测试一下效果进行验证。
针对磁盘的消磁,需要专业的消磁设备来进行,一般金融机构数据中心都会配备,不再赘述。针对SSD固态硬盘,由于其不是磁性媒介组成,所以消磁机就派不上用场了,一般的做法是将其芯片粉碎, 市面上也有相应的设备。
提升建议:
应用系统存储方案的修改,从现在的数据安全关键信息的明文存储,按照系统优先等级规划的要求,逐步过渡到数据库中的加密存储,确保前后段分离,后台数据库查询用户即使有操作权限也无法获知敏感数据内容。
尽快建立并完善公司数据销毁的管理制度,保证公司IT数据资产在过保后的安全处理。
4.4 应用数据安全
企业里有各种各样的应用系统,数据安全工作者往往需要从数据的采集或输入、存储、内部访问或API调用、前端展示等维度去考虑。
l 数据库安全
数据库里存放着各种各样的数据,所以常常成为重点攻击目标。这里的攻击,除了传统的通过Web漏洞拖库外,还包括内部管理员直接后台Dump,以及业务人员通过系统批量导出。为了尽可能覆盖各种攻击场景,一般企业需要如下的方案:
使用数据库代理保护数据库免受攻击,比如数据库防火墙可以直接阻断基于数据库协议的攻击行为,一般的proxy还可以提供IP过滤、SQL命令过滤与审计功能,可以对非法来源或SQL语句进行阻断。
对数据库进行封装,提供统一的运维平台给DBA或开发人员使用,使管理员无法直接接触数据库服务器,通过用户账号管理、权限控制、操作审计来实现。
数据库审计,通过基于网络流量或者代理插件等技术来实现数据库审计,以此发现针对数据库的入侵或违规操作。
数据库所在服务器及数据库软件本身的安全性加固工作。
l 数据交换平台
理论上业务系统功能足够强大,可以直接在业务系统上实现数据导出功能,不需要有单独提取数据的场景。但理论有时候只是理想,很多企业将生产与办公隔离开来,有时候需要将一些数据提取到办公网来,于是数据交换平台类产品出现了,具体功能产品融合了网闸、网盘和DLP思想或技术于一体,通过授权、审批、敏感性检测、审计等方式保障数据交换过程的安全性。
有些场合,需要给分支机构或者外部合作机构提供大文件,邮件通常有大小限制, 直接开放FTP访问也不安全,放到外网(类似百度网盘)也担心有风险,我们公司2019年上线易享云系统为企业创建一个自己的云盘具备对外提供服务,外链分享、密码提取、有效期限制等功能都有,后期可以通过升级购买扩展服务的方式,结合企业内部审批流程、邮件对接等,这也是一个可选的方案。
l 大数据安全
越来越多的企业将各种各样的日志丢到大数据平台进行分析,管控不好会造成大批量的数据泄露。如果企业安全建设能力还不够,建议放到封闭环境进行操作访问,类似我们目前正在开展的数据中台保护方案。
互联网企业在这块走在前面,可以借鉴其思路开展工作,包括:
在大数据平台上提供各种各样的模型,方便业务人员直接在平台上做分析和可视化展示,这样可使数据导出的需求尽可能少。
建设大数据风控平台对敏感数据展示时进行脱敏处理,或者只对用户展示最终的视图。
确实需要导出进行离线分析的,结合前面的各种方案进行选择,比如桌面虚拟化确保数据不落到终端,或者落到终端的数据有审批、水印、审计等措施。
提升建议:
后期考虑公司数据库审计系统的上线应用推广,加强数据库日常操作的事前审计和操作审核处理。数据中台建设中应充分考虑数据交互安全,将非必要应用对核心关键数据信息做脱敏及其他的数据安全处理。保障数据安全和操作的授权审计功能。
4.5其他相关技术
4.5.1数据脱敏
数据脱敏是对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。当涉及客户安全数据或者一些商业性敏感数据时,在不违反系统规则条件下,对真实数据进行改造并提供测试使用,如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。
数据脱敏的应用非常广泛。按照脱敏规则,可以分为可恢复性脱敏和不可恢复性脱敏。可恢复性脱敏就是数据经过脱敏规则的转化后,还可以经过某些处理过程还原出原来的数据;相反,数据经过不可恢复性脱敏之后,将无法还原到原来的样子,可以把二者分别看成可逆加密和不可逆加密。
金融行业作为一个强监管的行业,经营过程中收集到的客户资料信息(包括身份证、银行卡号、手机号、住址等个人信息)必须进行严格保护,数据脱敏是一个必不可少的环节,特别是在开发、测试过
程中可能会使用到真实生产数据时。随着业务越来越复杂及后台数据库里表规模越来越大、结构越来越复杂,依靠人工梳理敏感信息的方式已经不能满足日益复杂的安全需求,商业的脱敏系统应运而生,这类系统基本上都利用各类敏感信息的规则通过自动扫描来发现敏感信息字段。
除此之外,生产系统中的真实数据在对客户展示时,也需要考虑脱敏处理;内部系统也是一样,避免不必要的信息泄露的方式,基本都需要对系统进行改造,在前端展示、数据导出环节进行控制。这里需要注意一些“坑”,比如测试环境中的数据已经脱敏,测试人员对功能测试时往往发现不了系统内在逻辑是否进行了脱敏,一旦有问题的代码发布到生产环境,可能效果会和测试环境不一样。假设某页面上直接出现了客户信息(如手机号),随着现在互联网传播手段的流行,造成的声誉风险可能会非常大。
提升建议:
目前公司已经启用了数据脱敏系统对应用测试环境的数据进行标准化处理,可以建立相应的数据脱敏流程制度,明确数据脱敏处理的标准和操作流程。
并对应用程序中展示的前台敏感数据信息进行评估,确认那些可以改造为脱敏处理,保障应用系统在可能提供的合规安全监管标准的合规性。
4.5.2水印与溯源
水印在数据安全领域广泛应用,主要用来防止敏感信息被以截屏、拍照的方式泄露出去。水印,根据其可见性,可以分为明文水印和隐藏水印。明文水印一般主要起警示的效果,比如企业内部文档通常加上“内部资料,请注意保密”字样的水印;而隐藏水印,更多是站在追踪溯源的角度考虑。这两种水印一般会同时使用,企业里通过技术手段配合行政手段,往往具有更好的震慑效果。
根据使用场景的不同,水印又有屏幕水印、网页数字水印、图片水印、文档水印等各种呈现方式。屏幕水印一般是通过后台Agent来实现在屏幕上打上水印;网页数字水印一般通过网页背景技术来实现;图片水印是通过将图片打上水印标记生成另一个图片来实现;文档水印更多是在文档本身体现,需要文档工具支持。
提升建议:
可以通过终端文档管理系统实现,建议后期考虑采购。
4.5.3 UEBA
2014年,Gartner发布了用户行为分析(UBA)市场定义,UBA技术目标市场聚焦在安全(窃取数据)和诈骗(利用窃取来的信息)上,帮助组织检测内部威胁以及有针对性的攻击和金融诈骗。但随着数据窃取事件越来越多,Gartner认为有必要把这部分从诈骗检测技术中剥离 出来,于是在2015年正式更名为用户实体行为分析(UEBA)。
UEBA最近很火,国外一些领先的UEBA厂商凭借检测能力上的优势,已经在尝试颠覆原有市场格局,包括Exabeam、Gurucul、Interset、Niara、Securonix、Splunk(2015年收购Caspida)等。这些产品的出发点主要是解决以下问题:
n 账号失陷检测。
n 主机失陷检测。
n 数据泄漏检测。
n 内部用户滥用。
n 提供事件调查的上下文。
毫无疑问,这些威胁都是企业最关注的风险。而在国内这方面的公司或产品还不够完善,很多企业在尝试从传统的SIEM/SOC转向大数据平台进而走向UEBA。
从数据安全的角度上看,内部用户对业务系统的异常访问是需要关注的,比如针对特定系统批量查询的案例,通过对账号的异地、异常时间登录,到数据的批量查询下载,都是可以发现的。
提升建议:
高阶用户的管理需求,可根据公司实际情况开展。
4.5.4 CASB
随着云技术和虚拟化技术的普及,越来越多的企业已经没有传统意义上的数据中心机房了,各种业务系统迁移到云上,包括企业邮箱、企业网盘、CRM、ERP、OA、HR等各类业务系统均托管给云服务商,计算资源规模化、集约化使办公效率取得大幅度提升。在这种情况下,存储资源变为共享式,企业随之失去了对应用及数据的安全控制权。既要享受便捷的云端服务,又不能失去对自身数据的控制权,基于这个预期,Gartner在2012年提出了CASB概念,定义了在新的云计算时代,企业或用户掌控云上数据安全的解决方案模型。CASB产品有两种工作模式:一种是Proxy模式,另一种是API模式。
在Proxy模式下,CASB要处理企业上传到云应用的全部流量,重要数据采用加密等安全策略处理后再上传到云服务商;而在API模式中,企业数据直接传给云服务商,CASB利用云应用的API,对用户进行访问控制以及执行企业的安全策略。
金融行业的特殊性导致业务上云成为一个具有争议性的话题,建议需要保持关注,技术潮流势不可挡,传统金融机构面临互联网公司的挑战势必加快这方面的技术转型。
提升建议:
云上系统部署时可以考虑采用此模式进行系统开发和设计,保障云上系统的安全合规运行。
4.6 小结
数据安全建设工作,没有黑科技,只能靠对企业数据的全流程管理结合技术手段,尽可能地避免数据外泄。
为保证公司内部数据合规访问,短期内采用应用系统访问控制单点登录,加上终端文档加密以及文档分级管理系统配合使用,再加上公司已经启用的DLP设备,即可确保公司内部材料的可控授权访问、加密传输审阅以及内部资料外泄溯源等问题的处理。缺点是终端数量的增加且更多终端软件的使用会导致桌面运维量投入成本的几何增加。
从远期建设来看,办公终端物理分布的广泛性导致数据管理半径的急剧扩大,加上终端的多样性导致终端数据安全管理难度进一步加大。数据安全未来管理方向,在聚焦于敏感数据的基础上可以考虑转向后台集中管理, 数据集中的承载平台包括应用系统和虚拟桌面等,不过前提条件是要提高应用系统、虚拟桌面的数据处理、分享能力,并打通后台的数据流转过程。未来随着公司云上系统的大批量部署和外部监管的放开,CASB是一个不错的方向,也值得关注。
