作者:陈少涵
天空卫士DLP数据防泄漏产品以集中策略为基础,采用最先进的自然语言、数字指纹、智能学习、图像识别等技术,安全策略引擎进行深层内容分析,对动态网络数据、静态存储数据、终端数据进行分析和识别,对各种违规行为执行监控、阻断等措施,实现对企业最宝贵核心机密数据的保护和管理。我们的产品理念是:执行基于内容-源-目的-响应动作的策略流程和管理机制,清晰的获知谁在通过何种方式使用何种数据,以及发往哪里。既要保护核心数据的安全,不被违规滥用;又要允许基于合法商业用途的数据传输、共享,保障业务流程安全、流畅。以高度的弹性和可控性为企业数据安全保驾护航。
典型的行业云(包括政务云)平台应用场景是以行业数据存储服务器为核心,多种与之交互的个体(系统运维人员,数据分析员),服务(业务应用系统,数据采集系统)组成的。敏感数据在这些系统之间流动,以及在云平台和使用数据的用户之间流动时,必须得到保护。行业云平台的特点是多租户系统,但由于只服务行业用户,租户数目往往不很多;另外行业云平台上跑的应用往往是由平台定义部署的,每个应用都有预先定义好的的功能和角色。行业云平台运营方对于跑在该平台上的各种数据及其存储流转和使用一般都会有比较清晰的认识,往往倾向于建立一套统一的,全平台层面的数据安全管理策略。天空卫士云平台数据安全解决方案分别从存储数据(data at rest)、传输中数据(data in motion)、使用中数据(data in use)三个方面帮行业云平台运营者灵活地对数据进行细粒度的识别和保护。
天空卫士云平台数据安全解决方案能够通过关键字、正则表达、字典、数据库指纹、非结构化相似度指纹,以及灵活的数据识别模板等技术来识别敏感数据。为了降低误报率,数据库指纹能够支持对一张表中的多列同时做指纹,并支持只有匹配同一行中的多个指纹后才最终匹配的机制。对于非结构化的文件支持相似度指纹主要是为了防止对敏感数据进行轻微改动逃避检测的行为。数据库指纹和相似度指纹大小远小于原始数据,并不能逆向解析回原始的敏感数据,这点尤其重要,例如,可以对数据库中要被脱敏的数据列做数据库指纹,用这些指纹来检测其他系统中的存储数据、传输中的数据、或者应用程序中应当脱敏的数据是否由于疏忽或者恶意规避而将该脱敏的数据明文存储或者传输。同时天空卫士数据安全产品还支持灵活的策略和策略组合,通过对用户、应用ID、来源、目的、协议等参数筛选出合适的数据来匹配特定的敏感数据。
行业云大数据平台一般包括各种数据的收集应用、数据存储、数据挖掘分析、数据交换分发等应用以及其他各型各色的各种数据生产者和消费者应用。基于行业的大数据平台作为最基础的架构提供者,针对其行业特点往往需要将平台上运行的各种应用归纳入几个不同的安全域,数据在不同安全域之间的流转必须通过大数据平台的基本数据安全策略检测。天空卫士UCWI则起到了安全域数据流转策略中央控制台的作用,当不同安全域的各种应用在将数据流转到其他安全域的时候,可以Web Services的方式将数据送交给天空卫士UCWI设备来检查要流转的数据和场景是否符合大数据平台的数据安全策略。例如,负责将进行数据发掘后的结果分发给平台外的第三方消费者的应用将结果分发给外部安全域时,将要分发的数据送给UCWI设备,UCWI设备则可以有效防止一些残留的敏感信息,例如不良信息、个人隐私信息、或者政务敏感信息等被送到平台外。
行业云应用场景中通常会有应用服务器,用来对行业客户提供各种服务。此类应用服务器多以Web服务器为主。应用服务可直接访问行业云中的数据存储服务,从中获取数据为用户提供服务。恶意用户往往利用应用服务器的漏洞,拖取大数据数据库中的用户数据,窃取企业的核心价值。天空卫士安全网关以反向代理的方式部署在应用服务器前,对通过GET方法从应用Web服务器中获取的响应数据进行深度内容检查,实时阻断违规的操作。管理员还可启用点滴式数据泄露保护,对于模拟正常用户行为的多次少量数据泄露行为进行积累,当数据窃取量达到用户管理员设置的阈值之后会进行阻断。此种使用方式可大大降低误判,并能准确识别恶意用户的数据窃取行为。
行业云的应用场景中经常会有多个第三方应用与之联动以实现业务多样化的需求,然而第三方却由于管理制度难以管控等问题给整个行业云的数据数据安全带来了潜在的风险。近年来的多次云平台上的重大数据泄露事件多是由于第三方泄密造成,因此大多数行业云平台都需要对第三方数应用所使用的数据进行脱敏处理。天空卫士安全网关或UCWI API服务器可以与行业云平台数据输出服务整合确保涉密数据无法传送给第三方,只有经过脱敏之后的数据才可以发送。
行业云平台的运维者或数据分析员也是潜在的数据泄露风险,内部员工泄密的事件在数据泄露事件中也占了相当大的比例。平台运维者或数据分析员通过其合法权限获取到敏感数据,通过网络或本地移动存储等方式将敏感数据带出企业。天空卫士终端DLP解决方案严防数据泄露的每个通道,实现360度无死角的数据保护。
行业云平台经常需要根据数据的涉密等级对数据进行隔离存储,但往往会由于疏忽或逻辑缺陷等BUG,发生将涉密数据存放在非涉密数据库中的情况。天空卫士数据发现服务能够定期扫描存储于数据库中的结构化数据和存储于HDFS中的各种非结构化数据,从中辨识出违反数据存储安全策略的敏感数据并报警,并能够根据策略对敏感数据做出删除、替换等补救动作。