几种常用的数据安全防泄漏技术

    近年来网络安全事件频发，就连最强保护的美国CIA也屡屡出现数据泄露事故。2017年3月九千多份机密文件泄密，曝光CIA有近5000人的网络攻击部队、库存一千多件网络攻击武器。其中一件武器外泄，进而发生了当年5月份的“永恒之蓝”勒索病毒事件，导致了全球大面积的网络灾难。今年4月11号，美国宣布遭受黑客攻击，美国警察和联邦特工数据被盗。各种事件表明，数据安全成为网络空间安全的“重头戏”，而数据防泄漏技术（DLP）就是其中的“重武器”。

    发生数据泄漏的主观原因，通常系窃密、泄密和失密行为所致。其中窃密主要指外部人员（如间谍、黑客等）通过非法手段恶意窃取信息数据，泄密和失密则是内部人员主观有意或无意造成的信息泄漏。传统的安全建设往往侧重于对外部攻击的防范，以及网络边界的访问控制，却对系统内部人员行为缺乏有效的管理。分析可统计的安全事件，85%以上与内部人员有关，这既包括恶意行为（越权访问、恶意破坏和数据窃取等），也包括各种非主观故意引起的无意行为。

    众所周知，重要信息系统往往运行于内部网络甚至是涉密网络，外部人员恶意窃取数据的难度较高，故数据防泄漏的重点应是防范内部人员出于主观有意或无意造成的信息泄漏。事实上单位内部人员，特别是拥有系统较高权限的人员（如系统管理员、第三方代维人员和DB工程师等），比外部入侵者更容易接触到系统的核心设备和敏感数据，其恶意或非恶意的破坏行为更容易造成更大的破坏。然而，由于现有管理手段的不完善，权限高度集中的情况普遍存在，即便业务系统有相关的权限、审计管控，但无法从根本上防止高权限管理和运维人员有意或无意泄漏数据的风险。因为一旦发生数据泄漏，其后果的严重性将无法预估。

    研究发现，日常数据泄露大体分三种途径。一是使用泄漏。如操作失误，通过打印、剪切、复制、粘贴、另存为、重命名和拍摄屏幕等方式泄漏数据。二是存储泄漏。包括数据中心、服务器和数据库的数据被随意下载、共享泄漏；离职人员通过U盘、光盘、移动硬盘随意拷走机密资料；移动终端被盗、丢失或维修造成数据泄漏。三是传输泄漏。通过网络监听、拦截等方式篡改、伪造传输数据。于是在具体应用实践中，针对此三种途径应运而生的数据防泄漏技术得以部署和实施。

    数据使用防泄漏常用技术

    数据使用防泄漏常用技术主要有四种：一是内容过滤。须预先定义安全策略，确定需要保护的具体内容、存储位置等，进而深度内容扫描，建立所需保护的机密信息样本库。安全策略定义完成后，通过在终端、网络出口部署扫描和控制设备，可实时监测包含机密信息在内的文件操作，如复制、上传、U盘拷贝和邮件发送等，依照预先定义的安全策略进行拦截和预警，以避免数据泄漏。因该技术存在遗漏和误报两大缺陷，通常只作为辅助手段。在数据防泄漏综合防护体系建设中，现已很少使用内容过滤技术了，而是采用禁用终端设备USB接口、蓝牙接口，禁止邮件服务器与其他网络互通等更强制的方式，隔绝对外数据交换途径，取消所有可能对外数据接口，实现数据防泄漏。

    二是数据加密。该技术由于需要使用密钥导致管理复杂，同时解密后的文件也失去了保护措施，因此，仅限于小范围单个文件的防护。在数据防泄漏综合防护体系建设中，通常只提供数据加密工具，由用户根据个人需要自行选择加密与否。

    三是权限控制。一方面通过用户权限限制用户访问的数据，并在数据访问日志中记录用户访问数据的痕迹；另一方面在用户界面中使用隐写术嵌入用户身份信息，实现数据扩散溯源追责定责。权限控制防泄漏技术是数据防泄漏综合防护体系建设需要强化的技术手段，既可从访问控制与留痕上，强化用户可信身份鉴别与安全日志审计等技术，以加强身份防伪和操作防抵赖；也是通过在数据中嵌入身份水印的方式来强化扩散溯源能力，以防范通过拍摄屏幕、打印、复印等系统外部复制数据的方式扩散敏感或涉密数据。

    四是秘密分割。系将数据分割为多个不同的保密数据包，每个保密数据包都无法直接使用。秘密分割技术是信息安全技术的一个重要分支，是一种创新型数据防泄漏技术，也是数据安全领域的前沿技术，自1979年开始应用于数据安全领域，目前已经成为重要数据安全防泄漏的最有效方式。主要在终端设备（保护手机、PC机和服务器等）内部安装数据安全沙盒，一方面完成对数据的分割和组装，另一方面存储这些保密数据包。敏感数据在终端设备上被分割存储，且只能在数据安全沙盒中使用，脱离了数据安全沙盒，数据即失效。该技术可实现诸如数据主权保护、数据轨迹溯源、数据回撤与自毁、数据时空围栏、数据知识产权保护等方面的数据安全加固功能，目前常用于图像可视加密、终端设备缓存数据安全防护、数据应用防扩散和数据交易版权保护等领域。

    数据存储防泄漏常用技术

    目前数据存储防泄漏技术主要是秘密分割和数据加密两种方式。其中秘密分割是最为古老的数据存储防泄漏技术，也是人类保护重要数据的最常用手段，在古代军事领域就已得到广泛应用，在现实生活中也非常普遍。因为一些重要事情或信息，如果集中由某一个人管理，就容易被破坏、篡改、泄漏、丢失和非法利用，所以往往会由多人多角色分工掌管，比如银行或政府机要库门的开启、导弹发射等等都需要双人、双口令、双钥匙和双按钮操作。秘密分割技术是将数据以适当的方式拆分，拆分后的每一份额由不同的参与者管理，单个参与者无法还原完整信息，只有若干个参与者一同协作才能恢复使用，达到分散风险和容忍入侵的目的。该技术通过使用存用分离的数据防泄漏安全机制，一方面有利于防止权力过于集中被滥用，另一方面有利于数据的防泄漏和防伪造，实现单个参与者对自己所掌控的数据可存不可用，确保任何单个参与者无法泄密。

    而作为常见的数据保密方式之一，数据加密技术应用在数据存储防泄漏领域，也有较多的产品和解决方案。一是文件加密，即属于文件级别的数据泄露防护，一般会在网络附加存储NAS这一层嵌入实现，最大隐忧就是它对存储性能的影响。二是数据库加密，主要部署在数据库前端，针对结构化数据实现加密保护。由于数据库操作中涉及大量查询修改语句，因此数据库加密会对整个数据库系统造成重大影响。三是存储介质加密，主要在存储阵列上实现，一般通过在控制器或磁盘柜的数据控制器上实现静态的数据加密算法。它主要是保护存储在硬件介质上的数据不会因为物理盗取而泄露数据，但是在阵列以外，所有的数据均以明文处理、传输和存储，风险犹在。四是主机应用加密，主要部署在主机端，目前大多整合在备份产品之中，作为其中的一项功能以实现数据备份的安全策略。主机应用的加密负载由主机自身承担，对网络及后台存储的影响较小，但主机在面对海量数据的加密处理时对性能要求高、开销大。

    数据传输防泄漏技术

    数据传输防泄漏技术通常采用VPN技术，可分为基于数据加密技术的VPN和基于秘密分割技术的VPN两个类别，基于数据加密技术的VPN应用广泛，技术标准成熟，但安全性较低。基于秘密分割技术的VPN是近期发展成熟的新一代VPN产品，其安全性更高，但尚缺乏统一的技术标准。数据防泄漏综合防护体系建设应优先选择集成了数据加密和秘密分割两种技术的VPN产品和解决方案，充分利用两种技术的长处，强化数据传输防泄漏。