❶ 泄密的種類有哪些泄密的防範主要從哪些方面著手防介質泄密技術有哪些
現在的企業要想防範其機密數據不丟失,並不是一個輕而易舉就能解決的任務。主要原因有3個:
1、 第一個原因就是隨著企業和信息化應用規模的不斷擴大,在企業的信息化應用過程中會產生大量的機密數據。而企業信息化應用規模的不斷擴大,也就意味著網路結構越來越復雜,再加上現大各種可移動存儲設備,例如筆記本電腦、 PDA、智能手機和U盤等,以及WIFI無線的應用,就使得企業的信息化應用結構也越來越復雜。當這些企業機密數據在復雜的信息化系統結構中不斷流轉時,就會給我們控制機密數據的使用增加了難度,也就相應地增加了機密數據丟失的風險。
2、 第二個原因就是現在的企業所處的網路環境中存在越來越多的安全威脅,例如黑客入侵、特洛伊木馬和網路嗅探等,這些安全威脅的攻擊水平和攻擊破壞力也在不斷地提高。並且,現在的企業還面臨一個更加嚴重的問題,就是企業原本部署的傳統安全防範設備,只能用來防範來自企業外部的安全威脅,而現在企業數據丟失的主要原因卻來自企業的內部。這是因為企業內部的員工已經處於企業網路內部,擁有一定的訪問企業網路資源的許可權,並且,他們知道企業中的機密數據主要分布在什麼位置的什麼設備之中。而且,他們對企業內部已經部署的安全防範措施有了一定的了解,更加容易知道其安全防範的死角在什麼地方,也就更加容易找到突破口來得到企業中的機密數據。
這個問題在經濟危機時期顯得更加明顯,主要是一些企業開始大規模地裁員,而這些離職的員工手上擁有大量的與企業相關的機密數據。一旦企業不能夠及時妥善地處理好這些離職員工的帳戶和許可權,那麼企業中的機密數據就有可能通過離職員工流出到競爭企業或互聯網等公共場所。
3、 最後的一個原因就是企業現在正處於經濟危機時期,為了能夠生存下去正在想方設法地縮減各種成本。而現在許多企業原有的安全防範措施根本不能達到保護數據安全的要求,也就意味著需要企業增加相應的安全投入。增加投入也就是會增加企業的成本,這不僅與企業縮減成本的近期發展策略相互沖突,而且在追加數據保護措施時有可能會影響現在的業務。這樣一來,也就將企業推到了一個兩難的選擇境地:到底是選擇增加安全投入,還是保持現狀?
雖然企業在防範數據丟失的過程中還存在上述所示的諸多問題,但是,很幸運的是,現在有一些企業已經成功地在其信息化結構中部署好了防範數據丟失的解決方案,並且取得了良好的效果。因此,我們完全可以吸取這些企業在保護數據安全方面取得的成功經驗,來為我們防範企業機密數據丟失提供相應的實踐指導。
防範企業機密數據丟失的成功經驗主要包括6個最佳做法:了解企業中有哪些機密數據,並按重要程度進行分類、了解企業中的機密數據都駐留在什麼位置及設備當中、識別造成數據丟失的風險來源和性質、制定一個適合自身需的數據控制策略、集中化管理控制和安全審計。下面我就分別詳細說明這6個防範數據丟失的最佳做法到底該如何具體地去完成。
一、 了解企業中有哪些機密數據,並按重要程度進行分類
從安全的觀點來看,企業中所有的機密數據並不會具有同樣的重要程度。因而,要防範企業中的機密數據丟失,首先要做的就是了解企業中哪些機密數據是最重要的,或者可以理解為企業中的哪些數據對企業業務來說是最重要的,並且受到安全威脅的可能性也是最大的。通過確定企業網路中最重要的機密數據,就可以在建立數據保護策略時,在其中按數據的重要程度規定不同的防範等級。那麼,企業要如何做才能將企業網路中所有的機密數據按重要程度為類呢?
要回答這個問題,首先我們需要了解企業的業務結構,調查各個部門和企業的整個業務流程等等,並且,還要明白企業中各個部門的數據是否需要遵從企業所在位置的某個數據保護法規。例如,一些在美國上市的國內企業的財務數據就必需遵從薩班斯(Sarbanes-Oxley)法案,而銷售部門可能就需要遵從另外一個法案,例如國外的PCI法案,而且還必需遵從我國制定的相關法案,例如即將執行的《企業內部基本控制規范》等。
一旦我們了解了企業各個部門需要遵從的數據保護法規要求,接下來就可以將各個部門的數據分成三個主要的類別:最高限制級(例如企業的財務報表、新產品研發資料等);敏感級,例如企業的銷售計劃等;以及普通敏感級,例如各供應商分布位置和產品運費等。
下一步,就是確定每一類數據的具體類別、內容和屬主。這要求我們根據數據對企業業務的重要程度,以及對法規的遵從要求來劃分。例如,我們可以將供應商的基本資料作為限制級別的數據,同時要明確這些基本資料中包含哪些具體的內容,例如原材料的供應價格等;然後,還要了解這些限制級別的數據是由企業中哪個部門中的哪個具體的員工負責生成和維護的,也就是確定其操作的屬主。我們可以為這些數據建立一個具體的表格,用來詳細說明數據的類別、內容和屬主。
在這里,要明白的是,這個我們制定的表格也應該將它作為限制級別的機密數據進行妥善的保護。這是由於這個表格中包含有企業中所有機密數據的類型、內容和具體的操作屬主等信息,一旦這些資料落入攻擊者的手中,他們就可以從這個表格中了解企業的機密數據分布情況,了解這些數據由哪些員工保管,然後就可以具體針對某個員工的弱點來進行相應的社會工程攻擊或其它入侵手段。
當我們將這企業中的機密數據調查清楚並劃分保護等級後,我們還應當制定一個操作這些機密數據的具體規范。在這個規范當中應當明確規定企業中的哪些員工可以訪問這些機密數據和員工的訪問許可權,以及應該如何、何時及從什麼位置可以訪問它們等等。例如,對於限制級別的數據,只有少數一部分核心員工可以訪問,而且,這些員工的訪問許可權各不相同,有些是只讀,有些具有寫許可權。還可以規定訪問這些數據時的具體時間段,例如限制級別的機密數據只可以在上午10點整到11點整,以及下午15點整到17點整這兩個時間段允許特殊許可權的人員訪問。並且,還可以明確員工只能通過某台具體的工作站才能訪問這些數據,而且不能以直接接觸的方式去訪問它們等等。
二、 了解企業中的機密數據都駐留在什麼位置及設備當中
對於這個問題,一些讀者可能會認為它很容易回答:「企業中的機密數據駐留在什麼位置,這不是顯而易見嘛,那當然是保存在資料庫伺服器或文件伺服器之中了。」這樣的回答也對,但回答的內容只是企業機密數據可能駐留位置中的一小部分而已。
企業資料庫中保存的機密數據充其量也只是整個企業機密數據中的一小部分。尤其是在今天這個企業2.0和WEB2.0大行其道的時期,各種移動存儲設備在企業信息化應用環境中大量使用,造成大量的機密數據就有可能駐留在筆記本電腦、智能手機、PDA和U盤等可移動存儲設備,以及有可能保存在訪問這些數據的應用程序、文件伺服器和協同辦公伺服器之中,還有可能駐留在電子郵件伺服器和WEB伺服器等位置。當然,機密數據還可以以數據包的形式存在於企業內部網路傳輸介質、互聯網傳輸通道和WIFI電波當中,更有可能保存在企業或員工的網路博客、WIKI,以及社交網站及Twitter等網站之中。
對於如些眾多的可以駐留企業機密數據的位置和設備,我們該使用什麼樣的方法去發現保存在這些位置和設備上的機密數據呢?
要回答這個問題並不容易,但這又是必需詳細完成的任務。因此,對於大多數企業來說,必需花一定的時間來作一次全面的機密數據發現之旅,以便企業能夠將所有可能駐留機密數據的位置和設備全部標識出來,並繪制一張相應的機密數據駐留位置結構原理圖。
但是,現在的一些企業,由於不想花費一定的時間來解決這個問題,他們通常用下列的3種方式來對待企業中的機密數據:
1、 保護企業中所有數據的安全。這種做法從現實來說是不太現實的,而且,就算真的要去實現,也是相當昂貴的。絕大多數企業更本沒有這么多的預算和技術力量來完成這個不可能完成的任務。
2、對企業中的所有數據聽之任之不加保護。這種方式在我國許多的中小企業當中仍然普遍存在。他們不知道如何保護數據安全,也不去想如何去保護它們的安全,更不想花錢去做這樣的事。但是,一旦與企業相關的機密數據丟失或泄漏後,對這些企業的打擊往往是最致命的,可能會讓他們從此一厥不振。
3、對企業中的部分數據進行保護。這種方式在我國大多數據企業中存在,企業使用一種並不全面的數據保護方式,例如應用某種數據加密產品來保護企業中某個設備當中的某些數據的安全,然後就認為整個企業中的機密數據都已經安全了。這樣的數據保護方式往往讓企業產生一種僥幸心理,但是這往往完全忽略了其它威脅企業機密數據的安全威脅,使這種僥幸的數據保護方式在某個時候變得不堪一擊。
為了防止企業還使用上述的方式來對待企業中的機密數據,我們必需超出以前錯誤的數據保護方式,在實施具體的數據保護解決方案之前,先使用一個完整的機密數據發現過程來回答下列的一連串問題:
1、 是否有機密數據保存在資料庫當中?如果有,那麼這些機密數據是存在於數據表、列還是欄位當中?
2、 是否有機密數據處於共享狀態?如果是,那麼這些機密數據是存在於共享文件夾之中,還是以單獨的文件方式提供共享?
3、 是否有高度機密的數據存儲在筆記本電腦等可移動設備當中?如果有,那麼這些保存有機密數據的筆記本等移動存儲設備的使用者是誰?
4、 是否有高度機密的數據需要在區域網內部及互聯網上傳輸?例如電子郵件,如果有,那麼現在這些機密數據在傳輸過程中是否經過了加密或其它方式的保護?
5、 是滯有高度機密的數據可能會保存在WEB伺服器或博客等互聯網之中?如果有,這些機密數據存儲的位置是企業提供還是由員工自己提供?是以什麼方式存在?是否經過了保護?
接下來,我們還需要了解企業中的機密數據目前是如何被使用的,以及企業中的員工還存在哪些違反數據安全操作規程的行為。對於目前的企業來說,我們必需重點調查下列所示的違規行為:
1、調查企業中的員工是否在公共場合談論與企業數據安全相關的話題,以及是否將企業的機密數據無意泄漏到互聯網等公共場合。例如,企業中有些員工在電話中、即時聊天軟體或在酒吧等場合,與在場的人大談其企業的安全防範體系是如何好,使用了什麼樣的安全產品,安全防範體系如何強大,其本意可能是為了以此來提高自己的話語權和受到大家的關注。但是說者無意,聽者卻有心。這就有可能將企業中使用的安全防範設備的類型,以及安全防範結構等信息透露給了攻擊者,也就讓一些攻擊者毫不費力地將企業的安全防範體系摸了個清清楚楚。
2、調查我們所在企業當中是否存在輕易將一些機密數據,不經過審核或審計就隨意復制到筆記本電腦、U盤或PDA等可移動存儲設備中的行為,並且,還要了解這類設備是否經常離開企業的保護范圍進入公共場所?
3、調查企業中的客戶信息是否從資料庫或文件伺服器,以不安全的方式發送到其它位置,或者可以隨意被任何用戶打開讀取?
4、調查企業中的機密數據在備份的過程中,是否真的會暢通無阻地到達預定的位置的指定備份存儲媒介當中,是否能保證整個備份過程中不會被干擾?
我們可以通過數據發現處理過程,來建立一張企業機密數據的分布位置圖,並以此來作為制定數據保護策略的重要依據。機密數據發現過程是一個相當繁瑣的過程,通過手工方式將讓我們無法承受,也可能不能得到全面的結果,因而,我們在這個階段可以通過使用一些免費或商業的軟體來進行。對於現在大部分的數據丟失防範產品來說,都已經將數據發現功能作為一個重要的構成部分包含在產品當中,這個功能也是我們在選擇相應產品時需要考慮的功能之一。
而且,我們必需明白的是,數據發現是一個長期的持續過程,它應當與數據的整個生命周期相對應,而不是一次性事件。因為數據在其整個生命周期當中並不總是一成不變的,它會隨著其使用以不同的類型,不同的方式存在於不同的位置和設備當中。
三、 識別造成數據丟失的風險來源和性質
相對於了解企業中機密數據的分布和使用情況來說,認識企業數據正面臨的安全風險和其性質是同樣重要的。我們只有了解了企業數據目前面臨的安全風險,才能知道要防範的是什麼,才能知道以什麼方式去應對?同時,我們還應當了解企業在發生數據丟失的安全事件後,可能會給企業造成的損失和影響的大小,以及這些損失企業是否可以承受?
對於當前針對數據的安全威脅類型,在一些安全網站上會每天進行公布,我們完全可以去這些網站當中訂購一份郵件列表,然後我們每天就會收到這些網站發送給我們的最新安全威脅、漏洞及補丁更新等信息了。提供這些郵件列表的網站有http://www.securityfocus.com/等。另外,一些調查機構每年都會針對數據安全風險的來源作具體的調查分析,我們也可以到這些調查機構的網站閱讀這些調查報告,來了解當前主要的外部和內部威脅了。這樣網站有http://www.sans.org/。
在這里要明白的是,最大的安全風險並不是來自企業的外部,而是來自企業內部。例如,員工的誤操作,或者故意的攻擊行為等等。這些來自內部的安全威脅所造成的損失要比來自外部的風險大得多,這些威脅的攻擊成功率也高得多。因而,按前面所述的方式調查企業內部員工的違規行為也同樣重要。
但是,並不是每個企業當中都會存在同樣的安全威脅。這是由於每個企業的網路結構不同,網路應用的目的不同,因此網路中使用的設備和軟體也不會相同,以及企業中員工的安全意識和忠誠度也不相同,也就決定了每個企業中的數據安全威脅的類型和多少也不會相同。因此,我們必需結合企業自身的實際情況,以相應的安全威脅調查報告為參考,得出自己所在企業可能會面臨的風險類型、數量及性質。
當然,能夠准確了解到企業可能會面臨的數據安全風險,能夠讓我們做到有的放矢,也能為安全投入節省成本。但是,威脅是會不斷地產生的,而且我們也不可能做到預測完全准確。因此,在考慮企業可能會面臨的數據安全威脅時,應按寧可錯殺一千,不可放過一個的方式進行。對於企業機密數據可能會面臨的安全風險,我們也可以為此構建一個風險模型來實時分析風險的類型、數量和性質。
下面是目前最常見的數據安全風險:
1、 數據存儲媒介丟失或被盜。這些存儲媒介包括磁碟、磁帶、筆記本電腦、PDA、U盤等設備。造成丟失的原因可能是員工無意中丟失,也可能是被攻擊者故意盜走。丟失的位置也可能是在員工出差的途中,或者存放這些設備的位置,例如員工家中、出差所住的賓館,以及備份媒介保存的機房,企業內部保管室等位置。如果這些丟失的設備中包含機密的數據,攻擊者就能將它們出售,以便獲得非法利益。
2、 員工故意違反。一些企業的員工,尤其是手中掌握大量機密信息的特權員工, 例如資料庫管理員,或網路管理員,甚至是企業的營銷人員手中握有大量的客戶資料。他們可能將手中的機密信息出信給企業的競爭對手,也可能將它直接出售給黑客,以此獲得非法的利益。例如今年央視3.15晚會上所揭露的某些地方的移動公司員工將用戶隱私信息出售的事件,就是一個非常明顯的員工利用自身特權違反企業數據保護條例的行為。
3、 機密數據無意公布出去。例如企業員工無意將一封包含機密信息的電子郵件,沒有加密就發送給一個非授權用戶,以及一些員工無意將一些企業的機密信息貼到自己的網路博客或WIKI當中,或者通過Twitter或即時聊天的方式發布到公共網路環境當中。
4、 黑客攻擊。內部黑客攻擊者利用自己已經擁有的某種訪問許可權,通過一些非常規的手段以獲得企業的機密數據。例如使用網路嗅探、中間人攻擊等方式來得到在企業內部區域網中傳輸的機密數據。以及通過物理接觸的方式直接拷貝機密數據到可移動存儲設備中。在使用無線區域網的企業當中,內部攻擊者還可以通過無線網卡加軟體的形式構造一個非法無線AP,以欺騙一些內部員工將其無線設備連接到這個非法無線AP上。而一些外部黑客也可以通過社會工程方式利益企業內部員工,或使用網路釣魚方式欺騙內部員工感染木馬,然後從內部開始入侵企業資料庫或文件伺服器,或者使用網路嗅探來得到機密數據。在無線區域網中,外部攻擊者通過使用無線嗅探軟體的方式得到經過WEP加密的機密數據是很容易的。
5、 直接物理接觸方式攻擊。這種攻擊方式大部分也是內自企業內部。這是由於企業內部員工本身已經身處企業內部,他只需要使用一些小小的計謀,就可能會直接接觸到保存有機密數據的設備位置,通過拷貝、列印、拍照、復印,發送電子郵件,甚至直接將存儲媒介拆走的方式來得到機密數據。一些外部攻擊者,也可以通過社會工程的方式,欺騙企業保安人員和內部員工相信他是某種身份,然後它就可以直接進入企業內部進行數據盜取操作。這樣的情景我通過在一些間諜和智力犯罪的電影中看到,例如非常出名的十一羅漢系列,以及越獄等電影及電視劇中經常會出現這樣的鏡頭。
四、 建立一個適合自身需求的數據控制策略
當我們完成了上述三個步驟中的任務,接下來要做的就是根據上面得到的內容來制定一個數據安全風險控制策略,在這個策略當中應當包括數據安全控制的具體操作流程和使用的安全技術和產品。
一個具體的數據保護策略應當由兩個主要部分構成:其一就是控制機制,也就是具體的控制類型;另一個就是控制點,也就是具體要控制的對象,例如,存儲設備、資料庫、文件伺服器、應用程序、網路設備和終端設備等。
一個全面的深度數據安全保護體系應當由下列三個部分構成:
1、 訪問控制
訪問控制包括兩個方面:認證,也就是通過一種驗證機制來證明訪問數據的用戶就是用戶申明的他自己;另一個方面就是授權,也就是當用戶通過認證後,授予給他的許可權,這個許可權中規定了用戶可以對數據進行什麼樣的操作。現在,許多安全產品和應用程序都使用了這種訪問控制方式,例如WEB訪問、雙因素認證等。
2、 數據控制
數據控制就是控制數據本身不被違規。數據控制包括相應的技術和產品,例如應用數據加密和加密密鑰管理,數據丟失防範(DLP)產品和企業信息許可權管理(RMS)。
3、 審計
審計的目的是為了提供一種反饋機制,用來確定數據保護策略和實施的數據保護解決方案果真按我們設置的方式在運行。現在也將這種方式稱為安全信息和事件管理(SIEM)。審計控制功能通過會包含在一些相應的數據保護產品當中,也可能以單獨的產品形式存在,它們為我們的數據使用情況提供一種反饋和記錄機制,以確保所有的數據操作行為都在預期的控制范圍內進行。
現在,越來越多的企業開始在企業當中部署應用數據加密解決方案,或者數據丟失防範解決方案,讓它們來防範數據丟失。這是由於數據加密和數據丟失防範產品都能夠提供一種保護機密數據的方式,而不論機密數據是否在靜止狀態、在移動過程中,還是存儲於終端設備之中都能夠被很好地保護。
數據加密能夠保護數據在傳輸過程中不被泄漏,也能防止存儲設備丟失後不會泄漏其中的機密數據。而數據丟失防範產品不僅包含數據加密功能,還提供其它的數據控制方式來確保數據的安全,例如網路型的DLP產品通常部署在企業網關的出口位置,它們可以對離開企業的所有數據進行基於策略和基於內容和上下文的檢測,以防止包含機密數據的電子郵件或即時聊天信息,以及其它信息未經授權和加密保護就離開企業。並且會記錄這些數據由哪台主機發出,什麼時候發現,發送到什麼位置等信息。而一些基於主機的DLP產品,卻會對運行它的主機系統上的一切數據進行安全防範,包括主機當中可以使用的各類接品。例如,主機型DLP 產品可以監控在這台主機上可以使用的介面類型,例如USB介面,以及可以在這個USB介面上使用的可移動存儲設備,未經授權的相應設備在插入這個介面是不起任何作用。而當授權設備使用時,還會記錄是由哪個用戶什麼時候使用,復制了哪些機密數據等信息。這是為什麼越來越多的企業使用DLP解決方案來保護其機密數據和遵從數據保護安全法規的主要原因所在。
五、 集中化管理控制
與其它任何因素比較,管理控制機制將直接影響控制效率和企業總體擁有成本。可是,現在許多企業卻錯誤地將整個管理控制機制分散成幾個不同的控制機制,這樣做帶來的後果就是:使企業的安全防範策略失去原有的作用;使企業的管理成本不斷升高;以及影響企業業務的連接性等等。
為了避免上述這些問題的產生,第一個需要集中化管理的方面就是企業應當將數據安全控制集中化管理,以確保安全防範策略能夠由上至下全面貫徹執行。這樣就更能通過集中化管理工具來全面自動化地監控安全策略的執行,並且防止違反安全策略的操作事件發生。另外,集中化管理控制更加有利於確保所有員工始終遵從企業制定的數據應用規則,防止機密數據在無意中被泄漏出去。
第二個需要集中化管理的方面就是加密密鑰的管理。對加密密鑰進行集中化管理可以防止由於人為錯誤而造成加密密鑰的丟失帶來的數據安全風險,以及防止與其它的加密策略相互沖突和不兼容。例如,如果企業在不同的部門或不同的設備上,雖然使用的是同一種加密產品,但是每個部門之間進行獨立的加密管理,這樣就給加密管理帶來了更多的工作量和復雜度,也就會增加管理成本。而且,如果讓員工自己去決定使用什麼樣的加密方式,就有可能產生許多不安全的因素,同時還會增加管理成本。
無論如何,不集中化管理加密密鑰會給企業帶來意想不到的安全風險,甚至會影響企業的正常業務。例如員工中的一方使用一種加密方式,卻沒有將解密密鑰交付給解密方,這樣當解密方收到這個加密文件後會要求得到解密密鑰,這樣就會影響正常的業務。而且,如果員工將解密密鑰錯誤地發送給一個非授權員工,又會造成機密數據的泄漏。
總的來說,對數據的安全控制進行集中化管理,是一件即能解決數據安全控制的復雜性,又能降低管理成本,節省管理時間和人力開銷的主要途徑。
六、 安全審計
安全審計可以用來不斷改善現有的數據安全防範策略,調整數據安全防範方案和安全產品的設置,以保證數據在企業發展的各個時期都是安全的。對於任何企業來說,在安全防範過程中都需要提供一種檢驗方式來反饋安全防範解決方案是否真的符合安全防範的需求,以及了解安全產品目前所處的保護狀態。
企業的商務活動不是一成不變的,企業的數據安全防範工作也不是一成不變的。我們必需使用一種機制或技術來檢驗、跟蹤當前數據的安全狀況,以及跟蹤當前企業已經發生或正在發生的數據安全事件,以便企業能夠迅速對各種數據安全事件做出正確的響應,對現有的安全策略做出相應的調整來應對各種安全威脅的變化。
安全信息和事件管理(Security Information and Event Management(SIEM))系統能夠幫助我們分析和報告安全日誌和進行實時事件分析。一個SIEM系統可幫助我們完成下列所示的工作:
1、 事故調查和取證;
2、 事件響應和補救;
3、 遵守法規和標准;
4、 為法律訴訟提供證據;
5、 審計和執行數據安全策略