防泄漏產品
套用背景及存在問題
我國已有的安全建設重要圍繞著網路防護、主機訪問和
套用層安全防護以及伺服器層安全防護進行,但對真正核心的
數據存儲管理的核心資料庫並沒有採取有效的防護措施。
網路層安全防護的主要產品有:
防火牆、網路隔離設備、
入侵檢測、
防病毒等;
套用層安全防護的主要產品有:
安全認證、統一授權等;伺服器層安全防護的主要產品有:伺服器防護、防病毒、入侵檢測、主機審計等;數據層安全防護的主要產品有:
資料庫安全增強、
資料庫審計、文檔防護等,數據層安全防護是存放於伺服器內的數據本身的最後一道安全防護屏障,如果網路層、套用層和伺服器層的安全防護被攻破,只要數據層安全防護有效,就不致予泄露敏感數據。可見數據層安全防護的重要性。
世界最大職業中介網站Monster遭到黑客大規模攻擊,
黑客竊取在網站註冊的數百萬求職者個人信息,並進行勒索;程式設計師程稚瀚四次侵入北京移動充值中心資料庫,盜取充值卡密碼,獲利300 多萬元。2003 年廣東聯通7 名人員,利用內部工號和密碼,對欠費停機手機進行充值,使聯通損失260 萬元。2005 年12 月25 日,美國銀行披露,2004 年12 月下旬,丟失了包括1200 萬信用卡信息的磁帶備份. ---Gartner Research;CSI/FBI 2005 年計算機犯罪和和安全會的相關報告中提到70%的信息系統數據丟失和遭受攻擊,都來自於內部。
當前主流Oracle安全增強方案包括前置代理、套用加密和Oracle自帶加密選件DTE等。前置代理需要套用大幅改造、大量Oracle核心特性無法使用;套用加密必須由套用實現
數據加密,加密數據無法檢索,已有系統無法透明移植;DTE不能集成國產
加密算法,不符合國家密碼政策。因此這幾種方案一直未能得到有效推廣。
基本狀況
國外的Oracle
資料庫加密產品相對較多,產品相對成熟。但面臨著不能集成國產的
加密算法、不符合國家安全政策,不能利用密文索引進行範圍查詢,造成性能嚴重下降等問題,因此以上產品在我國尚未得到有效套用。 國內的
資料庫安全增強產品往往採用
套用層加密存儲或者前置代理的技術實現方式。套用層加密方式的缺點是套用必須對數據進行加解密,增加編程複雜度;加密後的數據不能作為條件進行檢索;同時對於已有的系統無法透明實現套用改造。前置代理的重要缺陷是套用必須進行現有程式的改造,使用加密前置代理提供的API;另外大量的Oracle重要特性將無法使用,如
存儲過程、函式等。
一、SecGateway文檔安全網關用於企業數據中心與辦公網路有效隔離的嵌入式專用設備。採用鏈路加密的方式,實現客戶端的準入,從檔案在企業的使用流程入手,將數據泄露防護與企業現有 OA 系統、檔案服務系統、ERP 系統、CRM 系統等企業套用系統完美結合,對通過網關的文檔數據進行透明加解密工作,有效解決文檔在脫離企業套用系統環境後的安全問題。為企業部署的所有套用系統提供有效的安全保障。
1.完成安全網關和企業現有套用系統無縫集成,自動完成對經過網關的數據進行強制加解密——上傳解密,下載加密;
2.加密客戶端通過 SecGateway,正常訪問套用系統伺服器;
3.非涉密客戶端計算機,在通過安全網關時,會被安全網關篩選和拒絕,無法通過 SecGateway 訪問 OA/PDM 伺服器。
二、安華金和資料庫保險箱系統(簡稱DBCoffer) 是一款Oracle
資料庫安全加固系統,該產品能夠實現對Oracle數據的加密存儲、增強許可權控制、敏感數據訪問的審計。DBCoffer可以防止繞過
防火牆的外部數據攻擊、來自於內部的高許可權用戶的數據竊取、以及由於
磁碟、磁帶失竊等引起的數據泄密。
資料庫保險箱DBCoffer的核心價值是:
1、防止硬體存儲設備引起的泄密,當數據以明文形式存儲在硬體設備上時,無論是資料庫運行的存儲設備,還是用於
數據備份的磁帶,若發生丟失或者維修,都會存在相應的數據丟失風險。一旦使用了資料庫保險箱,無論是運行環境的硬體存儲設備,還是
數據備份的磁帶,敏感數據都是以加密的形態存儲的,從而有效地防止了由於硬體丟失或硬體維修等無意識的泄密。
2、防止作業系統檔案引起的數據泄密,通常Oracle 的數據是以明文的形式存儲在作業系統的檔案中;通過對檔案系統的訪問,就會訪問到敏感數據。這樣,該主機的作業系統管理員和高許可權用戶都可以接觸到這些敏感數據。另外通過網路訪問到這些檔案的用戶,也可以接觸到這些敏感數據。一旦使用了資料庫保險箱,敏感數據都是以密文的形式存儲在作業系統上,從而有效防止了由作業系統檔案引起的數據泄密。
3、防止資料庫
超級用戶進行的數據竊取,在Oracle 中,以sys 和system 為代表的
資料庫管理員用戶,具有至高無上的權利,可以訪問到任何數據;在大型企業和政府機構中,除了
系統管理員,以用戶數據分析人員、
程式設計師、開發方維護人員為代表的特權用戶,也可以訪問到敏感數據。這些都為數據的泄密,留下了極大的隱患。
資料庫保險箱通過獨立於Oracle 許可權控制之外的安全許可權體系,對數據的加解密進行了獨立的控制。 由安全管理員負責決定哪些
資料庫用戶有權訪問敏感數據的明文信息;防止DBA 成為不受控制的
超級用戶的同時,又可以使DBA 和開發人員正常地工作。
4、防止外部入侵進行的數據破解,隨著Internet、
無線網路的普及,
黑客有了更多辦法繞過防火牆和
入侵檢測系統,到用戶的業務系統中進行窺視;當數據以明文的形式暴露在檔案系統和資料庫中時,黑客很容易獲得敏感數據。當我們對數據進行了有效加密保護,再厲害的
黑客,在不掌握密鑰的情況下,都無法獲得敏感數據的明文信息。
三、secdocx數據安全保護系統是廣東南方信息安全產業基地公司,依據國家重要信息系統安全等級保護標準和法規,以及企業數字智慧財產權保護需求,自主研發的產品。它以全面數據檔案安全策略、加解密技術與強制訪問控制有機結合為設計思想,對信息媒介上的各種數據資產,實施不同安全等級的控制,有效杜絕機密信息泄漏和竊取事件。
數據安全保護系統的保護對象主要是政府及企業的各種敏感數據文檔,包括設計文檔、設計圖紙原始碼、行銷方案、財務報表及其他各種涉及國家機密和企業商業秘密的文檔,可以廣泛套用於政府研發、設計、製造等行業。
1. 透明加解密技術:提供對涉密或敏感文檔的加密保護,達到機密數據資產防盜竊、防丟失的效果,同時不影響用戶正常使用。
2. 泄密保護:通過對文檔進行讀寫控制、列印控制、剪下板控制、拖拽、拷屏/截屏控制、和記憶體竊取控制等技術,防止泄漏機密數據。
3. 強制訪問控制:根據用戶的身份和許可權以及文檔的密級,可對機密文檔實施多種訪問許可權控制,如共享交流、帶出或解密等。
4. 雙因子認證:系統中所有的用戶都使用USB-KEY進行身份認證,保證了業務域內用戶身份的安全性和可信性。
5. 文檔審計:能夠有效地審計出,用戶對加密文檔的常規操作事件。
6. 三權分立:系統借鑑了企業和機關的實際工作流程,採用了分權的管理策略,在管理方法上採用了職權分離模式,審批,執行和監督機制。
7. 安全協定:確保密鑰操作和存儲的安全,密鑰存放和主機分離。
競爭優勢
DBCoffer產品,相對於市場上的其它產品在政策符合性、性能和套用透明性上具有明顯優勢,下面重點就國外產品和國內產品進行對比分析。
1、資料庫漏洞掃描產品
這種產品針對
資料庫管理系統的漏洞及潛在的風險進行檢測。它可以對
資料庫系統的各項設定、資料庫系統軟體本身已知漏洞、資料庫系統完整性進行檢查和對資料庫系統的整體安全性做出評估,並給出提高資料庫安全性的修復建議。這種產品重要的是對現有的
資料庫系統在認證、授權上配置
漏洞、數據局庫
補丁漏洞進行掃描,並不能對現有的資料庫進行安全增強,與DBCoffer不是一類產品。
資料庫審計作為信息安全審計的重要組成部分,同時也是
資料庫管理系統安全性重要的一部分。
安全審計類產品的優勢在於時候的追終與分析。DBCoffer除了具有對敏感數據的訪問審計能力,同時也具備了資料庫的加密功能、獨立於Oracle的授權控制體系,這是DBCoffer的最大競爭優勢。DBCoffer比起
資料庫審計產品能多提供以下幾個方面的資料庫安全防範能力:防止DBA等高許可權用戶訪問敏感數據、防止來自於檔案層的數據竊取、防止硬體丟失的安全風險。
這一類的產品從資料庫的認證、授權和審計均進行了有效增強,但是必須有幾個限制:
(1)套用系統要經過改造,要使用該產品提供的套用接口
(2)DBA進行數據維護必須使用該產品提供的管理終端
總體上,DBCoffer不存在以上限制,與相關其他產品相比具有幾大優勢:更符合國家安全政策、性能更好、服務更好、更為透明、Oracle功能更為無損。
dlp 數據防泄漏
Data loss prevention指以內容為核心的控制手段,對檔案的內容生成指紋記錄,通過
終端,
網關,存儲,對檔案進行控制,例如,密級檔案外發時被網關攔截。
虛擬化
虛擬化數據防泄露是利用虛擬化技術的技術特點,將虛擬化技術套用於數據防泄露領域。相對於傳統的作業系統來說,虛擬化技術的特點決定其更符合數據防泄露的一些要求。主要體現在以下幾個方面:
1.傳統作業系統存在配置、管理、使用等各種許可權和操作無法清晰的分開,使系統各類操作權力容易被盜用,系統存在各種漏洞,由此帶來各種入侵、數據竊取等等問題。利用虛擬化技術可以將管理和使用的許可權劃分清楚,可以做到用戶在虛擬系統里只能使用某些套用,絕無破壞系統、非法獲得許可權、盜取數據之的可能。
2.虛擬化幫助不同用戶之間的操作環境相互隔離,而傳統作業系統無法真正做到用戶之間的隔離。每個虛擬環境之間無論從套用還是存儲都是相互隔離的,效果相當於兩台相互獨立的計算機,可以分別連線不同安全等級的網路,起到一個邏輯隔離的作用,檔案無法直接在不同安全等級的網路間傳輸,杜絕了數據泄露的風險
3.虛擬化環境可以被集中配置和管理,管理者對每個虛擬機的掌控力度遠比對一個個零散的物理計算機要強。用戶在虛擬機里可用的程式、空間大小、上網的行為都可以被集中管控,而要對每一台真實計算機的上述特徵進行集中管理需要安裝很多額外的軟硬體,即便這樣也無法達到對虛擬機的集中管控程度。這樣用戶的使用行為會更加安全有序,無法私自將機密數據帶出機密環境
從上文可以看出,虛擬化在套用邏輯隔離和數據防泄露作用方面是有優勢的,而且由於虛擬環境在使用地點和平台上有較大的靈活性,利用虛擬技術研發的安全產品往往具有安全和便利性兼顧的特點。因此虛擬化技術越來越多的被套用於數據防泄露領域。代表性的虛擬化數據防泄露產品廠家有達龍信息科技和深信服的上網安全桌面產品。
數據泄漏原因
分為業務層面和技術層面
業務層面
1、 缺乏對安全形色的正確理解
人們對便利性的需求遠勝於安全,為了加速盈利而輕視安全問題的例子不在少數。安全防護其實是一套自上而下的業務解決方案,各企業的CTO需要積極參與產品及服務的研發過程中,並將安全整合到企業的發展戰略中,促進安全智慧型轉化為商業價值。
2、 認為安全方案達標即萬事大吉
在數據安全的監管壓力下,所投入的預算及考量往往僅為滿足項目的需求,而不是以保護數據安全為出發點。而實際上,達到監管部門的要求也只是讓系統正常運作的基本而已,黑客們可以通過網路跳板或是竊取特權訪問到企業的敏感數據。如常見的網路分段其實是不堪一擊的,通過數字證書盜用,入侵者可以輕易的騙取更深層網段用戶的信任,方便以周詳的計畫套取到更多的機密信息。
3、 安全體系基礎設施
多數企業更習慣於在項目的基礎設施和業務方案中投入精力與預算,如安裝防毒軟體與防火牆等,但這沒有真正考慮到當前高級安全威脅帶來的挑戰,這些手段雖然還能保持一定的作用,但卻會因相對無效性從未來的安全體系中逐漸淡出。
4、 過於關注先進技術
誠然,關注先進的技術無可厚非,但單純的技術往往治標不治本。要成功實現全面的IT安全,必須整合進成套的員工管理方法及業務安全操作流程,作為企業文化的一部分被長期貫徹。
5、 未能充分調用員工的能動性
僅僅提升員工對威脅的識別能力是永遠不夠的,許多員工並不了解他們正在使用的數據的價值所在,並錯誤地以為數據安全是由專人負責的,並未充分認識到自己也是在企業數據安全中的重要角色。企業需要對員工進行縱向及交叉的培訓,讓各部門對彼此在安全防護中職責和戰略有相互的了解,並結合周期性的安全攻擊演習,以檢驗培訓的成果。
技術層面
1、 新舊技術之間的融合問題
企業所面臨的最大挑戰之一就是如何在現有的基礎設施上融入新興的技術,以提升安全體系的等級。為了與新興技術相匹配,許多企業將基礎設施作為發展的重點,卻忽略了所要保護的數據本身,也沒有意識到一些先進的技術很可能導致部署的不一致,白白耗費大量時間、人力與財力,反而留下了安全隱患。
2、 移動與雲計算將弱化基礎設施的作用
在移動互聯及雲計算高度發展的今天,數據可能出現在任何位置。這也是企業必須將關注重心由基礎設施轉為數據的另一個重要原因,移動化及數據增值正弱化在基礎設施中在多層架構中的安防效果,加大基礎設施的建設力度並不能對雲數據提供相匹配的安全保障。
3、 傳統安全解決方案沒有完全跟上各類威脅的快速演變
即便擁有充足的預算,新技術的落實與安全解決方案的開發都很難與威脅的演變同步,二者之間的差距使得多數的解決方案在用戶覆蓋上有所不足。如何覆蓋移動用戶、顧及https與私有VPN的盲點、以行為分析擺脫對簽名技術的過度依賴,才是真正需要預算投入的地方。
4、 多數安全系統沒有自主學習能力
在傳統的安全技術下,攻擊者可以通過改變代碼的方式繞過安全監測,讓防火牆和反病毒解決方案失效。若系統不能實時升級以應對新的亂碼攻擊,就會留下許多極易被利用的漏洞。
5、 缺乏整合是大多數企業的致命弱點
多少情況下,網路上附加的安全功能並不是越多越好,他們在功能性上的重疊不會讓系統變得更為強大,相反會因為不能共享彼此的信息而浪費資源。企業需要一些新的途徑部署統一的控制臺,在實現對安全項目高度統合管理的同時,將各自的安全智慧型相整合,實時收集相關數據,供安全團隊作出明智的決策。