企業安全建設之淺談數據防泄露

新聞 03-25

*本文原創作者：兜哥，屬Freebuf原創獎勵計劃，未經許可禁止轉載

前言

數據防泄露在每個公司都是很頭疼的事情，大大小小的泄露事件也總是不期而至。本文結合我的使用經驗從使用的層面介紹常見的數據防泄露技術手段。

核心數據資產的定義

數據防泄露是一個非常複雜的工程，投入再多人力也不為過，但是互聯網公司的安全人力多是非常有限，所以大蛇打七寸，我們需要先定義清楚什麼是核心數據資產。通常理解會包含以下幾大類：

以上只是舉例，具體公司情況都不太一樣，需要結合自生實際。比如招聘類公司，簡歷就是十分重要的資產。

數據保護的生命周期

數據防泄露需要針對定義的核心數據的全生命周期進行保護。

數據防泄露的協議棧為：

這並非一個嚴格的劃分，只是便於把不同的數據防泄露產品和方案進行劃分。

設備級

0×01設備加密

設備防丟失，主要是預防設備丟失後造成的數據泄露，最常見的就是U盤等移動存儲，京東上一搜一大片。

指紋保護的：

密碼保護的：

雖然保護方式不一樣，但是底層數據加密基本都是AES128或者256，可以提高設備丟失後數據泄漏的門檻，對於高手來說還是可以搞定的。

對於硬碟，也有一些解決方案。

硬碟密碼：

可以在bios裡面設置硬碟密碼，這樣每次開機都需要輸入硬碟密碼。

0×02硬碟加密

如果冠希老師看到這段估計會怪我寫晚了。。。mac自帶的硬碟加密：

硬碟加密技術非常成熟了，商用產品非常多，不得不提的還有truecrypt，據說國內安全傳統四強之一就要求員工用這個。

truecrypt同時支持Windows Vista,7/XP, Mac OS X, Linux 等操作系統。TrueCrypt不需要生成任何文件即可在硬碟上建立虛擬磁碟，大家可以按照盤符進行訪問，所有虛擬磁碟上的文件都被自動加密，需要通過密碼來進行訪問。

TrueCrypt 提供多種加密演算法，包括：AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish，其他特性還有支持FAT32和NTFS分區、隱藏卷標、熱鍵啟動等，最關鍵它免費。不過

truecrypt被爆存在安全漏洞，其開發者也承認存在安全問題，具體是否使用大家根據實際情況權衡。

0×03移動設備數據擦除

微軟郵件系統自帶一個十分強悍的功能，對於配置接受公司exchange郵件的移動終端，可以通過登錄OWA頁面直接遠程擦除整個設備的內容並完全恢復設備出廠化配置。

文件級

0×01文件加密

文件加密產品目前國內產品就非常強悍了，一搜一大把，我這裡介紹一款微軟提供的文件加密產品RMS。RMS跟微軟的AD集成，可以針對郵件組進行授權讀寫列印許可權控制，坦率講針對微軟的文件類型支持挺不錯，比如word 電子表格 ppt等，而且還有mac版。

不過對於非微軟等文件類型就比較遺憾了，不過滿足正常辦公需要基本夠用，最強悍的是與郵件系統的集成，可以在發郵件的時候直接設置哪些郵件組的人才能看（收件人和可以加密看郵件的人恨可能是子集關係）。

0×02端點級DLP

本質上是網路級DLP的端點級實現，支持攔截功能。

網路級

0×01網路DLP

狹義的數據防泄漏產品就是指網路DLP，這是一個經久不衰的安全領域，16年的gartner排名如下：

網路級DLP本質上類似IDS，通過旁路分析網路流量，識別至少以下協議中正文以及附件內容：

http

telnet

smtp

與IDS不同的是，DLP關注的不是攻擊簽名而是用戶定義的核心數據。常見的DLP產品支持的檢測規則為：

0×01基礎規則

用規則不丟人，簡單幾個正則很有用：

0×02指紋文檔比對

用規則不丟人，只有規則就丟人了。指紋文檔比對是個非常強悍的功能，把重要的文件直接倒入DLP系統，DLP抽取其中的文字形成指紋，這樣只要對文件內容修改不大都可以被檢測到。常見支持的文件類型包括：Microsoft Word 和 PowerPoint 文件、PDF 文檔、設計規劃、源碼文件、CAD/CAM 圖像、財務報告、併購文檔和其它敏感或專利信息形式保存。

業務或者系統管理只需要定義機敏信息應當存儲的目錄，IDM即可以對該目錄下的文件建立索引，類似與搜索引擎的方式，形成企業機敏信息的內容索引。

網路級DLP的未來趨勢是與雲訪問安全代理 (CASB) 功能集成，將敏感數據的發現範圍進一步擴大到雲應用程序。