功能
- 功能简介
- 更多系统
一、序言
近年来各地政府持续大力推进政务信息共享交换的建设,政府与政府之间数据交换,政府与企业之间的数据开放正在成为各组织机关开展高效行动的一项日益重要的能力,新冠疫情暴发期间,各地健康宝数据共享就是这项能力的有效证明。然而,在跨域数据共享过程中,敏感数据的机密性受到极大挑战,如何防范敏感数据泄露,保护关键数据资产成为各组织机关重要课题。
二、跨域数据共享面临的安全风险
随着等级保护制度的实施,通信基础设施安全已经能够得到保障,跨域数据共享安全焦点逐渐转向业务深水区。由于各组织的职责不同,同一类数据在不同单位的安全要求级别存在较大差异,某些权属部门采集的数据范围大、处理权限高,而某些相关部门所需的数据范围小,处理权限低,由此形成了高安全域和低安全域差别。
根据美国安全桔皮书中的BLP(Bell-Lapudula)访问控制模型的定义,当数据由高安全域流向低安全域,即高密低流,则会导致数据机密性风险。在实际敏感数据防护监管体系中,跨域数据共享可能面临数据自身的机密性风险和防护监管难题,主要包括:1、敏感数据暴露由于技术、管理、人员等多种因素的影响,跨域数据共享最可能面临的风险是高安全域向低安全域开放其无权访问的数据,即低安全域明明只需要数据A,但是在高安全域中,A、B数据是同一类数据的不同属性,高安全域在数据共享时未加以处理和区分,从而导致数据B泄露到了低安全域。
2、主体责任不清
在数据共享过程中,原始的数据拥有者需承担数据的真实性、准确性、机密性责任,并需为数据安全持续进行组织、人员、技术、资金投入。但是当数据获得者通过数据共享拥有了一份新的数据拷贝,就成为了新的数据拥有者,随着数据共享的范围增加,数据安全的主体责任就可能随着共享范围的增加,被新的数据拥有者所忽略。
3、防护强度降级
根据《DSMM数据安全成熟度模型》的定义,组织的数据安全能力成熟度分为五个级别,代表了组织从随机、无序、无法复制的能力,到可度量、可预测、不断改进和优化的不同级别能力模型。不同组织的成熟度级别不同,对数据安全防护的强度就存在差异,根据木桶原理,数据的整体安全防护能力取决于防护能力最差的那块短板。
4、追踪溯源困难
指望目前的安全防护措施能够百分之百的防止敏感数据泄露是不现实的,一旦发生数据泄露事件,则需组织具备能力,回溯泄露源头,追踪泄露路径,实施调查取证。在数据共享之后,所有安全域内的数据访问日志的完整性受到挑战,任意安全域内的日志遭到破坏,都会给追踪溯源造成不利影响。
三、跨域数据泄露防护技术措施分析
跨域数据共享的出入口是敏感数据统一管控、集中管控的关键环节,在数据共享出入口做好敏感数据泄露防护措施,可以大大提升防护效率,减少对正常业务的干扰。通常数据共享出入口包括连接互联网的网关设备或连接其他网络的数据交换平台、单向传输设备,如网闸、单导等。数据交换平台或单导服务器支持嵌入复杂的逻辑功能,可以直接增加数据泄露防护措施,而网关、网闸等设备功能单一,只能串接独立的数据网关设备提供数据泄露防护措施。数据共享出入口处的数据可能是文件或者是网络流量,针对这两种类型数据,需要部署的数据泄露防护措施包括:
1.智能数据分类分级如今敏感数据识别仍以人工标识、关键字、正则表达式或者文件指纹等方法为主,这些方法能够保证敏感数据识别的精确性,但是对于网络内的海量文件和网络流量,则显得效率过低,漏报率过高。只有利用机器学习等人工智能技术,综合有监督和无监督的学习过程,通过大量数据训练模型,覆盖所有结构化和非结构化的数据,才能控制数据共享出入口的所有文件和流量。
2.跨域数据加密解密数据共享后可读范围的控制是数据主体责任的关键要素,只有数据拥有者才可控制数据的传播范围。最适合控制敏感数据传播的技术莫过于数据加解密技术,数据拥有者向授权的数据获得者发放密钥,当敏感数据从数据共享出入口离开时用密钥加密,此时只有获得了密钥的数据获得者才能解密数据。需要注意的是,由于网络流量无法存储,所以加解密技术只在网络流量数据落地后适用。
3.行为审计分析数据在业务网络内部正常流转时泄露可能性非常低,只有当数据从共享出入口离开网络时,数据泄露可能性才陡然升高,因此在数据共享出入口记录数据流出日志,保留数据发送者、发送时间、目标接收人、敏感数据类别等关键信息,进行用户行为审计,识别异常行为是组织必须采取的检测措施。
4.动态数据脱敏在数据共享过程中,某些数据在共享前后要保持其部分可识别性和唯一性,此时可采用数据脱敏技术进行敏感数据保护。在数据共享出入口处,数据处于流动状态,因此适合动态数据脱敏技术,在数据传递的过程中进行脱敏。脱敏的方法支持截断、屏蔽、掩码、哈希和标识转换等常见方法。另外,由于网络流量需校验数据完整性,所以动态数据脱敏技术只能在网络流量数据落地后适用。
四、解决方法(安企神DLP)
企业数据纷繁复杂,无法面面俱到进行人工审查,带来了安全管理的潜在隐患。安企神安企神DLP信息保护帮助企业对数据资产进行归类、标签、保护、增强数据的可控度。通过配置数据敏感策略,可对数据进行智能分析并归类,通过标注标签,对敏感数据文档进行加密、加水印等操作。作为企业关键数据的贴身保镖,安企神安企神DLP不仅仅可以对企业内的数据进行安全可靠的静态保护,还可以进一步对数据离开企业环境的过程进行全链条的有效防护,例如禁止敏感数据的编辑转发、复制截屏打印、文档追踪等操作。无论是云端、本地还是储存设备的敏感数据都能实时监测分享的路径及访问的记录,发现异常访问即时撤销访问权限,避免数据泄露。
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件:三峡大学数据安全的坚实后盾与合作伙伴
学校介绍三峡大学是经国家教育部批准,由原武汉水利电力大学(宜昌)和原湖北三峡学院于2000年5月25日合并组建。2018年,学校被省人民政府列为“国内一流大学建设高校”,水利工程、土木工程、电气工程等3个学科被列为“国内一流学科建设学科”;目前,三峡大学已发展成为水利电力特色与优势比较明显、综合办学实力较强、享有较高社...
零部件企业数据保卫战:安企神软件如何筑起防泄密铜墙铁壁
瑞安市特迩翡汽车配件有限公司企业背景瑞安市戴尔菲汽车零部件有限公司一直致力于高共轨电喷(EFI)发动机和SCR排气系统的研发。通过了16949质量管理体系和CE认证,公司具备自主开发汽车电子系统和核心软件的技术能力。公司力争成为以市场为导向、以技术为支撑、以质量为先、以人才为本的知名创新型企业。产品包括:氮氧化物传感器...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...
