随着数字化转型深入,企业内部的网络应用日益复杂,网络分布愈加广泛,终端设备数量越来越庞大,业务应用系统越来越多,以上这些导致企业数据流转所经过的端点不断增加,数据泄漏的风险不断增加。如何跟踪数据的流转过程,发现和预测数据在流转中的泄漏行为,就成为了当前企业数据安全治理建设中面临的重要问题。
作为中国新一代信息安全技术企业的代表厂商,明朝万达针对数据流转过程进行了专业分析:数据流转过程是指数据离开原始生产系统后,在具体使用者之间传输、存储与交换、加工处理,以及销毁。在这些过程中数据使用者可以通过端点上各种通道(如网页、邮件、共享、打印、USB、截屏、IM以及云盘等)与其他使用者或业务系统进行数据交互。要跟踪数据交换的过程,以及定位数据分布的情况,就需要在交互过程中涉及的各个端点和通道中进行埋点,记录数据的存储端点、传输和交换的通道,以及目标对象等具体信息。
通过研究分析,明朝万达数据安全专家发现在实际应用中,数据流转过程远比想象中复杂的多。在实际中存在部分端点没有或者无法进行埋点从而导致数据传输和交换过程不清晰。如B端点没有埋点,A端点通过共享通道发送数据给B端点,B端点又共享数据给C端点和D端点,这样一来数据从A端点→C和D端点的传输过程就是不清晰的;以及存在部分端点上进行了埋点,但可能审计不到数据传输和交换的发起者和目标对象的情况,如通过U盘传输数据,拷贝到多个端点上,那么这些端点之间的流转链也存在多种可能。
针对上述问题,需要依赖以下关键技术来解决:链路构建
数据流转链路通常由数据来源的上一跳节点,数据所在的当前节点以及数据发往的下一跳节点组成。
通过采集数据在各节点、各环节上的流转载体、通道、特征、走向等信息,为后续进行数据流转链路构建提供数据依据。数据识别
数据识别是指识别出在接收、存储、加工、传输、交换、共享等数据生命周期各环节中流转数据的数据特征。数据识别技术可以采用数据指纹技术和数据标签技术。
数据指纹技术是对数据进行内容指纹计算。通过提取数据内容,再根据内容生成对应的唯一信息。类似在办理身份证时,需要采集个人手指指纹信息,通过查询个人身份证号即可获取到个人指纹数据,确定“你”是“你”。数据的指纹信息会随数据内容的变化而变化。内容指纹算法有simHash、minHash等。
数据标签技术是对数据载体进行标签添加。通过分析数据载体属性结构,向数据载体中添加标识信息。数据的标签信息不会随数据内容的变化而变化。常见的办公类文件都支持添加数据标签。流转审计
数据流转链路审计分析技术是以数据本身为分析对象,通过采集数据在节点上记录,完成流转链路的初步构建,再对流转中的数据进行特征识别,来源和目标地确认,实现对同一数据特征的存储分布、传输走向、加工使用、共享公开等分析能力。
通过对数据流转链路的分析,可以提供出数据在流转链路中各个节点上的分布拓扑,同时可以监测数据流转过程和流转的对象,及时发现违规存储、越权访问、非法传输等异常行为。数据流转链路分析的技术难点在于如何确认数据流向。根据不同通道来讲,指向型通道如邮件通道,通过收发件人邮箱和邮件协议解析技术就可以确认数据的流向;IM通道,收发用户账号比较明确,但IM通道协议通常是私有的加密协议,需要借助本地拦截技术、图片OCR技术等方式来确认数据流向;USB硬件设备通道,无法直接确认接收对象,需要通过USB设备插入的主机来确认,但因为USB设备的特殊性,可能存在同一时间不同主机同时写入同一数据特征的情况,这时就需要借助数据血缘技术分析数据之间可能存在的血缘关系;FTP、SMB等网络协议通道,通过解析通信协议就可以确认谁何时何地上传数据,谁何时何地下载数据。
数据溯源
数据溯源技术同样是以数据本身为分析对象,实现对数据来源的追溯分析。数据溯源技术可利用数据识别技术和流转审计技术来实现。
数据溯源技术通常用于确认数据最后一次的流转记录,借助数据指纹或者数据标签确认数据的唯一性,再结合流转审计记录追溯出数据的流转末端,定位出泄露节点。
明朝万达数据安全专家认为:当前的网络环境已经打破了传统意义上由单一PC和服务器组成的简单环境,一张由主机、移动端网、物联端网、云组成的网络已然成型,数据如脱缰野马,自由的在这张网中流转驰骋。
如今的数据安全治理已经不再仅仅是在边界上进行防护,针对数据内容的管理方案作为“新晋顶流”,越来越受到企业的青睐。凭借对数据安全领域的深入研究和丰富实践,基于数据流转链路审计分析技术,明朝万达提出了数据全生命周期流转审计方案。通过埋点采集,数据识别,流转记录能够在无感知的情况下,将数据在整张网中的存储拓扑、流转路径、血缘关系清晰的展现在企业管理者面前,为管理者盘点数据资产,预测数据泄漏风险、发现和阻断数据泄漏行为提供助力,实现数据全生命周期的可知、可识、可监、可防、可控的安全管理体系建设。
Chinasec(安元)数据安全管理系统
Chinasec(安元)数据安全管理系统是明朝万达自主研发的一款集合数据发现、识别、防护、监测和预测分析的数据安全治理平台。该产品可满足企业在数据安全运营过程中对数据的安全管理需求,提供企业在数据合规场景下对数据合规审计能力,泄漏防护场景中的防泄漏能力,数据资产盘点场景中的敏感数据资产管理能力,数据使用场景中流转轨迹和溯源分析能力以及风险预测能力。产品满足在主流PC(含信创)和移动端点、主机设备、云端服务上进行部署,支持采集、处理、分析各类网络协议、数据格式和日志事件,提供阻断、加密、审批、提醒等管控手段。
系统完成了数据安全产品从边界安全向内容安全的转变,产品以数据内容识别监测技术为核心,提供数据泄漏风险预测,数据资产盘点管理,数据流转轨迹、数据血缘分析,数据溯源以及防泄漏等能力,实现对数据全生命周期的可知、可识、可监、可防、可控的安全管理体系建设。