数据安全治理

数据安全治理

• 1.数据安全治理
• 2.终端数据安全
• • 加密类
  • 权限控制类
  • 终端DLP类
  • 桌面虚拟化
  • 安全桌面
• 3.网络数据安全
• 4.存储数据安全
• 5.应用数据安全
• 6.其他话题
• • 数据脱敏
  • 水印与溯源
• 7.UEBA
• 8.CASB

1.数据安全治理

数据安全治理最为重要的是进行数据安全策略和流程制订。在企业或行业内经常发布《XX数据安全管理规范》，所有的工作流程和技术支撑都是围绕此规范来制订、落实，一般会包括组织架构及职责分工、数据分类与分级管理、数据生命周期（采集、使用、传播、存储、归档、销毁）安全要求、数据安全风险事件管理、数据安全管理考核与监督、数据安全管理培训等内容

数据安全治理工作，需要遵循国家级的安全政策和行业内的安全政策，包括网络安全法、等级保护政策及特定行业政策（如PCI-DSS、SOX等），企业在制定内部政策时需要重点参考。

数据治理主要依据数据的来源、内容和用途进行分类；以数据的价值、内容敏感程度、影响和分发范围进行敏感级别划分。这就要求企业需要对现有数据资产进行梳理，包括数据的使用部门和角色、数据的存储和分布、现有的数据访问原则和控制策略等。数据资产梳理中，要明确数据如何被存储、数据被哪些对象使用、数据被如何使用等。对于数据的存储和系统使用，需要通过自动化的工具进行；对于部门、人员角色梳理，更多在管理规范文件中体现；对于数据资产使用角色的梳理，关键要明确不同受众的分工、权利和职责。清楚敏感数据分布，才能知道需要对什么样的库实现何种管控策略；对该库运维人员实现怎样的管控措施；对该库的数据导出实现怎样的模糊化策略；对该库数据的存储实现何种加密要求。明确数据被什么业务系统访问，才能准确地制订业务系统工作人员对敏感数据访问的权限策略和管控措施。

---

2.终端数据安全

加密类

加密类解决方案可以分为磁盘加密、文件加密两类技术

++1、磁盘加密++

磁盘加密技术目前主要有两种类型：一种是磁盘分区加密技术，另一种是全磁盘加密技术（FDE）

磁盘分区加密技术是采用加密技术对磁盘上某一个扇区（或者分区）进行加解密。磁盘分区加密技术目前已经有广泛应用，虚拟磁盘加密技术（VDE）就是磁盘分区加密技术的代表之一，其他的还包括移动存储设备加密技术。很多企业提供类似"安全U盘"的设备，网上搜索"加密U盘"即可找到。

全磁盘加密技术，顾名思义，是对整个磁盘上的数据进行加解密，包括系统所在分区也是加密的。

随着操作系统功能的不断增强，都自带了磁盘加密功能，比如Windows的BitLocker、Linux的LUKS、MAC的FileVault等。除了系统自带外，个人用户还可以使用免费的TrueCrypt。因为安全原因，TrueCrypt已经停止更新，用户可选用更安全的版本VeraCrypt

传统的磁盘加密方案，都是基于防止设备丢失等带来的被动泄密，而无法防止员工的主动泄密，所以以上的方案比较适合用在笔记本电脑、移动存储设备上。

++2、文件加密++

当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果

透明加解密产品的实现技术，分为两种：应用加密、驱动层加密

1️⃣应用层加密

通过调用应用系统的Windows API函数来对文件进行读写的加密控制，即平常所说的 Hook技术。通过Hook技术，当监控到可信进程打开加密文件的时候将其进行解密，当监控到可信进程写入文件到磁盘的时候进行加密

应用层加密，关心的是应用软件的行为（读写），由于各种软件读写数据的行为差异，软件环境的变更会带来巨大的开发成本与测试成本，增加二次开发的费用

2️⃣驱动层加密

工作在更底层，通过拦截操作系统文件过滤驱动的读写动作对文件进行加解密控制，由于工作在受Windows保护的内核层，运行速度更快，加解密操作更稳定

驱动层技术涉及Windows底层，开发难度相对更大一些。驱动层加密的难点不在于和文件系统的交互，而在于和其他系统内核模块的交互，特别是缓存系统。系统会把刚用过的文件内容缓存起来，于是同一份文件内容会同时出现在两个地方：缓存中和文件系统中。于是加解密过程需要同时处理这两处，同步、兼容等一系列过程。如果处理不好与其他驱动的冲突，搞不好就会出现蓝屏或文件损坏

很多家的厂家都会采用驱动+应用控制的方案来实现，比如，在应用层加解密结合在驱动层做防护，或者在驱动层加解密结合在应用层控制。

权限控制类

除了透明加解密之外，企业用户往往需要做更细粒度的控制，包括阅读、复制、编辑、打印等

例如，近几年，随着国产化的逐步推进，WPS在政府军工企业用得越来越多，金山公司提供了文档安全相关的功能，除了有文档加密功能外，还有权限管理功能，包括浏览、编辑、复制、打印、另存、截屏、授权七种权限可以控制，而拥有文档授权权限的用户和文档安全管理员可以将权限授予给其他用户、部门或用户组，用户和管理员的操作日志在后台都能完整记录。除此之外，还有文档外发、打印分发等功能。

比较特别的一点是WPS安全文档的加密机制，与传统电子文档安全软件不同，安全文档采用一文一密钥的机制，密钥本身会二次加密，二次加密密钥由服务器产生并保存，每次打开安全文档需要到服务器利用二次密钥解开文档密钥，才能打开安全文档，多重防护确保了文档安全

终端DLP类

终端DLP功能，通常包括敏感文件识别、外发文件阻断、外设端口管控、日志审计分析等功能。其中，最关键的是敏感文件识别，如果连文件内容都无法准确识别，那后面的阻断就成为无稽之谈

敏感文件识别，首先，要对终端上的各类文档进行深入解析，通常Office、PDF、压缩包、文本类都是必需的，在测试的时候一定要对不同版本的Office文档进行测试，因为不同版本产生的文件格式也不一样；Office还提供一些诸如插入对象的功能，那么Word里插入一个xls能解析吗？压缩有Rar、Zip、7z等格式，不同格式又会有一些不同的压缩算法，RAR5支持吗？7-Zip里的LZMA、PPMd等支持吗？图片文件是否能OCR识别？其次，在解析内容的基础上，匹配相应的策略来判断文档是否敏感，从简单的关键字、正则表达式，到文件指纹，数据库指纹，再到语义分析、机器学习等，在条件上的与、或、非各种组合下，才能判定文件是否敏感，敏感度是多少，相应的动作是否阻断等。

最后，copy /b的绕过方法能否在DLP方案里有所体现？

使用 <font style="color:#0e0e0e;">copy /b</font> 命令可以将多个文件按二进制方式组合成一个文件。比如，命令 <font style="color:#0e0e0e;">copy /b image.jpg + sensitive.docx combined.jpg</font> 将会把 sensitive.docx 文档的内容隐藏在 image.jpg 文件后，生成的 combined.jpg 文件仍然可以以图片形式打开，但敏感信息实际上已经被包含在该文件中。对于未经深度解析的 DLP 系统，表面上这个文件是普通图片或其他非敏感文件，可能绕过 DLP 的敏感信息检测。这需要 DLP 系统在文件解析时能够识别文件结构的异常，区分出文件尾部或其他位置被附加的隐藏数据

外发文件阻断，通常需要考虑一些泄密的场景，包括U盘拷贝、打印、压缩、拷贝到共享、拷贝到远程桌面、拷贝到虚拟机、光盘刻录、邮件客户端发送、QQ/RTX/微信等通讯软件聊天以及传附件等一系列场景，有的甚至需要对截屏、剪贴板进行控制。至于是采用阻断还是采用只监控审计的方案，要看企业需求和文化氛围，只监控审计的方案对最终用户无感知，体验会更好，也更容易在企业落地。

桌面虚拟化

数据一旦落到终端，很多方案都会存在失效的可能。随着云计算、大数据的发展，很多企业意识到将数据统一集中管理、不落到终端上是一个不错的方法。

得益于服务器虚拟化技术的成熟和服务器计算能力的增强，使得服务器可以提供多台桌面操作系统的计算能力，将远程桌面的远程访问能力与虚拟操作系统相结合，形成了桌面虚拟化技术。有些场景可能不需要用户有个完整的桌面，只需要特定的应用，于是出现了应用虚拟化

VMware的虚拟桌面方案示意图如图：

虚拟桌面方案对网络质量要求较高，不同厂家的远程协议有各自的优化处理方案，需要仔细对比体验，除此之外，我们需要关注以下的一些关键点：

• 用户认证功能。一般方案都提供本地用户密码认证、AD认证，有的还支持双因素认证
• USB存储功能。有些场合需要使用USB设备，所以一般都提供了USB重定向功能，如果USB的存储功能受限，将会成为一个数据泄露的途径
• 剪贴板功能限制。为了方便地将本地剪贴板内容拷贝到虚拟桌面，一般的方案都提供了剪贴板重定向功能，最好有方向上的控制
• MAC地址绑定功能。虚拟桌面IP和MAC地址绑定，瘦终端的MAC地址与用户账号绑定，或者与虚拟计算机的名称绑定等
• PC截屏功能。数据都在服务端，本地终端能看到但拿不到，难免会有人想截个屏，然后到本地桌面粘贴，这时候防截屏功能就能发挥作用了
• 虚拟桌面水印功能。截屏不行还可以拍照，所以水印功能也必不可少，有明文水印，有些厂商还提供隐藏水印功能
• 如果在没有全员迁入到虚拟桌面的情况下，怎么保障虚拟桌面用户只能通过虚拟桌面而不能通过本地计算机访问核心信息系统，从而保障核心信息不落地？
• 虚拟桌面本质上相当于将物理终端从前台移到了后台，解决了物理终端设备边界的问题，对于从网络和应用上访问所形成的数据安全风险，还需要结合其他安全方案进行巩固

安全桌面

不同于桌面虚拟化方案在已有终端利用率不高、网络和后台资源占用多的情况，目前市场上还有一种"安全桌面"方案，其本质是利用Sandbox技术，在真实系统上虚拟出一个安全桌面，当用户访问敏感系统或数据的时候要使用安全桌面。基于沙箱的安全桌面可以在操作系统使用时虚拟出多个专用桌面，在这些专用桌面上的操作与宿主桌面共用操作系统和应用程序，但是不会共用数据

例如，在专用桌面中编辑文档信息和在宿主桌面一样，使用相同的办公软件，但是数据完全隔离，两个桌面各自编辑自己的文档。在基于沙箱的安全桌面上结合终端监控工具，就可以彻底区分业务数据，通过网络访问控制区分宿主桌面和专用桌面的访问范围，可以限制业务系统只能接受某些专用桌面的访问，并且结合存储控制，例如，数据只能存储在远程的文件服务器上或者禁止移动存储设备接入，完全能够实现监控专用桌面的数据访问和存储，对于业务数据保护非常完善

此类方案主要存在两大问题需要解决：

• 沙箱技术与操作系统强相关导致的兼容性问题。微软新推出一个操作系统，你的安全桌面方案还能支持吗？
• 沙箱的隔离技术与操作系统功能导致的安全性问题。我们知道，进程除了与文件打交道，还会涉及网络、管道等，方案对不同桌面的网络控制进行了限制，其保护机制如何？简单修复SPI是否能绕过？在默认桌面起个服务监听网络端口然后在沙盒里通过网络访问呢？进程间通信管道用来传递数据呢？

---

3.网络数据安全

企业员工上网、邮件外发场景都会存在数据泄露的可能，有些企业对办公和业务网做了逻辑隔离，但数据还是有交互的需求，这里都需要考虑数据安全问题

++1、网络DLP类++

例如Symantec Network Monitor功能：

网络DLP的未来趋势是与云访问安全代理（CASB：用于监控和控制用户访问云服务）功能集成，将敏感数据的发现范围进一步扩大到云应用程序，比如Office 365，需要企业重点关注。

++2、上网代理类++

很多企业已经有上网代理的情况下，将上网的流量通过ICAP协议与DLP设备联动，是相对灵活的方案：

ICAP协议允许上网代理将HTTP流量中的内容发送到DLP设备进行深度检查。这样，DLP系统可以在数据流经代理服务器时对其进行实时扫描，识别并防止敏感数据的泄露。企业可以在现有的上网代理架构中加入DLP功能，而无需重新部署新的网络设备或改变现有的网络架构，如图所示：

++3、邮件代理类++

邮件外发场景相对上网场景更加单一，而且可以轻松配置将邮件路由下一跳指到MTA（邮件传输代理），所以各家的方案部署模式都差不多，更多的是在这个基础上的一些扩展，比如垃圾邮件拦截、内容过滤、邮件审批、TLS通道加密、加密外发等

各家方案基本都是基于postfix改造，将邮件内容剥离出来进行反病毒、反垃圾引擎、DLP引擎检测，并按照后台配置的策略进行相应的动作，包括隔离、拦截、投递、加密等

---

4.存储数据安全

企业的很多数据除了落地在终端，更重要的是落地在后端存储上，这里的数据安全工作会涉及存储数据的加密、敏感文件的扫描发现以及数据的销毁等方面的内容

++1、存储数据的加密++

存储数据的加密，根据数据加密位置的不同，一般分为：应用层加密（如数据库、备份软件），网关层加密（如加密交换机），存储系统加密

由于应用层加密可以保护数据端到端的安全，所以实用价值更大。以数据库为例，包括Oracle、SQL Server在内的数据库，都在高版本里支持透明加解密功能，即存储在磁盘上的数据是加密的，加解密功能由数据库自身来完成。MySQL在5.7版本中推出数据加密功能---透明数据加密，用户在创建加密表时，不用指定加密密钥。数据在写盘时加密，在读盘时解密。不过，目前MySQL的透明数据加密只支持InnoDB存储引擎，未来可能会有新的改进。

网关层加密，使用加密存储安全交换机，连接在存储设备和主机之间，所有数据都会经过它，性能是一个需要关注的问题；另外，对已经有存储交换机的企业来说，还需要另外采购加密交换机来实现加密功能。

存储系统加密，依靠存储本身提供的加密就可以，不需要引入加密交换机，也不会对主机的性能有影响。很多企业都使用磁带库的方式进行备份，一般都支持加密功能。

++2、敏感文件的扫描++

常规的DLP产品都会支持敏感数据发现功能，除了对本地终端，还可以对远程存储上的文件进行扫描，比如文件共享、Lotus Notes数据库、SQL数据库、SharePoint服务器、Exchange Server扫描等，都是一些DLP产品里的功能

++3、数据的销毁++

数据销毁有两种，一种是我们常说的数据擦除，一种是针对物理设备的消磁或粉碎

Shift+Delete删除的文件其实在磁盘上还是能找回来的，其原理是，当你删除一个文件的时候，并没有真正把文件从磁盘的存储位置上删除，而只是在文件分配表上把该文件存储位置的标志置为0，也就是说只有你下次存储新的东西要用到这个标志的时候，原来被删除的东西才能真正被物理覆盖掉

安全的删除方法是使用专业工具进行的，免费的有Eraser，其删除设置里有多种删除方法

如果想针对某个重要文件做处理，但已经不小心被删除，一种办法是先恢复再安全删除，还有一种办法就是直接硬盘填充多次，硬盘填充工具网上有免费的FillDisk，也有系统自带的cipher命令。此类工具的原理都是写数据一直到磁盘写满，多运行几次再用数据恢复工具测试一下效果进行验证。

针对磁盘的消磁，需要专业的消磁设备来进行，一般金融机构数据中心都会配备，针对SSD固态硬盘，由于其不是磁性媒介组成，所以消磁机就派不上用场了，一般的做法是将其芯片粉碎，市面上也有相应的设备

---

5.应用数据安全

++1、数据库安全++

数据库里存放着各种各样的数据，所以常常成为重点攻击目标。这里的攻击，除了传统的通过Web漏洞拖库外，还包括内部管理员直接后台Dump，以及业务人员通过系统批量导出。为了尽可能覆盖各种攻击场景，一般企业需要如下的方案：

1. 使用数据库代理保护数据库免受攻击，比如数据库防火墙可以直接阻断基于数据库协议的攻击行为，一般的proxy还可以提供IP过滤、SQL命令过滤与审计功能，可以对非法来源或SQL语句进行阻断
2. 对数据库进行封装，提供统一的运维平台给DBA或开发人员使用，使管理员无法直接接触数据库服务器，通过用户账号管理、权限控制、操作审计来实现
3. 数据库审计，通过基于网络流量或者代理插件等技术来实现数据库审计，以此发现针对数据库的入侵或违规操作
4. 数据库所在服务器及数据库软件本身的安全性加固工作。这其实是一个基础工作，如果数据库存在未授权访问漏洞甚至直接能远程溢出到服务器，那前面这些工作可能就白做了

关于数据库安全，商业产品比较多，比如Imperva及国内的安恒等，开源的也有不少可以选择，比如McAfee的Mysql-Audit插件、数字公司的MySQL Sniffer、美团的DBProxy等

++2、数据交换平台++

很多企业将生产与办公隔离开来，有时候需要将一些数据提取到办公网来，于是数据交换平台类产品出现了

有些产品开始融合网闸、网盘和DLP思想或技术于一体，通过授权、审批、敏感性检测、审计等方式保障数据交换过程的安全性

有些场合，需要给外部机构提供大文件，邮件通常有大小限制，直接开放FTP访问也不安全，放到外网（类似百度网盘）也担心有风险。于是有些厂商借鉴百度云盘的方案为企业创建一个自己的云盘对外提供服务，外链分享、密码提取、有效期限制等功能都有，再结合企业内部审批流程、邮件对接等，这也是一个可选的方案

++3、大数据安全++

越来越多的企业将各种各样的日志丢到大数据平台进行分析，管控不好会造成大批量的数据泄露

1. 在大数据平台上提供各种各样的模型，方便业务人员直接在平台上做分析和可视化展示，这样可使数据导出的需求尽可能少
2. 建设大数据风控平台，对敏感数据展示时进行脱敏处理，或者只对用户展示最终的视图
3. 确实需要导出进行离线分析的，请结合前面的各种方案进行选择，比如桌面虚拟化确保数据不落到终端，或者落到终端的数据有审批、水印、审计等措施
4. 大数据平台本身的安全性，包括身份认证、访问控制和授权等

---

6.其他话题

数据脱敏

数据脱敏的应用非常广泛，比如我们常见的火车票上的身份证号码会用星号替换其中一些数字。按照脱敏规则，可以分为可恢复性脱敏和不可恢复性脱敏。可恢复性脱敏就是数据经过脱敏规则的转化后，还可以经过某些处理过程还原出原来的数据；相反，数据经过不可恢复性脱敏之后，将无法还原到原来的样子，可以把二者分别看成可逆加密和不可逆加密

金融行业作为一个强监管的行业，经营过程中收集到的客户资料信息（包括身份证、银行卡号、手机号、住址等个人信息）必须进行严格保护，数据脱敏是一个必不可少的环节，特别是在开发、测试过程中可能会使用到真实生产数据时。随着业务越来越复杂及后台数据库里表规模越来越大、结构越来越复杂，依靠人工梳理敏感信息的方式已经不能满足日益复杂的安全需求，商业的脱敏系统应运而生，这类系统基本上都利用各类敏感信息的规则通过自动扫描来发现敏感信息字段

除此之外，生产系统中的真实数据在对客户展示时，也需要考虑脱敏处理；内部系统也是一样，避免不必要的信息泄露的方式

这里需要注意一些"坑"，比如测试环境中的数据已经脱敏，测试人员对功能测试时往往发现不了系统内在逻辑是否进行了脱敏，一旦有问题的代码发布到生产环境，可能效果会和测试环境不一样。假设某页面上直接出现了客户信息（如手机号），随着现在互联网传播手段的流行，造成的声誉风险可能会非常大

水印与溯源

水印在数据安全领域广泛应用，主要用来防止敏感信息被以截屏、拍照的方式泄露出去

根据其可见性，可以分为明文水印和隐藏水印。明文水印一般主要起警示的效果，比如企业内部文档通常加上"内部资料，请注意保密"字样的水印；而隐藏水印，更多是站在追踪溯源的角度考虑。

根据使用场景的不同，水印又有屏幕水印、网页数字水印、图片水印、文档水印等各种呈现方式。屏幕水印一般是通过后台Agent来实现在屏幕上打上水印；网页数字水印一般通过网页背景技术来实现；图片水印是通过将图片打上水印标记生成另一个图片来实现；文档水印更多是在文档本身体现，需要文档工具支持

++1、强化版网页数字水印++

常规的网页数字水印，基本上都是写着诸如员工编号等信息的透明度很高的图片，以Background-Image的方式平铺满整个屏幕，有一定技能的人可利用浏览器按F12找到对应元素直接删除水印。解决方法：

• 通过JavaScript来实现，当发现有人删除这个DOM节点时再重新生成即可。除了删除，还有DOM节点的隐藏、挪动、篡改等手段也会影响水印效果。
• 连接检查请求，看水印服务是否可达，不可达则破坏页面不显示正常内容
• 对JS代码进行保护，不只是常见的压缩混淆，还会涉及前端代码保护技术
• 在代码里通过埋点对恶意行为进行记录，也是一个非常好的方案

++2、WPS字库水印++

WPS文档朔源专用版客户端创建的公文，可将用户的登录身份基本信息（以及硬件ID设备信息）形成隐藏的数字水印分布在公文的文字排版中

如果当用户通过打印、复印、拍照等方式造成文档泄密时，单位管理者仅需要获取公文的复印件或相关的拍照图片，即可通过WPS公文溯源解析系统，寻找到泄密的原始人，从而方便追责工作

++3、矢量水印++

屏幕矢量水印具有抗折叠、冗余备份、抗波尔纹等特点，无论照片如何压缩、优化、折叠都不会影响水印信息的审计和泄密源的定位。只需要在查询页面中，输入水印信息进行查询，就可以锁定的泄密人。如果得到的泄密的图片不够完整，系统也能支持查询出精确度最高的结果

矢量水印效果截图：

可以看到在图上有很多点阵，每个点阵后台代表不同的字符，如图：

通过特定的算法只需提取4~6个相连的点阵即可追溯文档泄露相关信息

---

7.UEBA

UBA技术目标市场聚焦在安全(窃取数据)和诈骗(利用窃取来的信息)上，帮助组织检测内部威胁以及有针对性的攻击和金融诈骗。但随着数据窃取事件越来越多，有必要把这部分从诈骗检测技术中剥离出来，于是在2015年正式更名为用户实体行为分析(UEBA)

些产品的出发点主要是解决以下问题：

• 账号失陷检测
• 主机失陷检测
• 数据泄漏检测
• 内部用户滥用
• 提供事件调查的上下文

---

8.CASB

随着云技术和虚拟化技术的普及，越来越多的企业已经没有传统意义上的数据中心机房了，各种业务系统迁移到云上，包括企业邮箱、企业网盘、CRM、ERP、OA、HR等各类业务系统均托管给云服务商，计算资源规模化、集约化使办公效率取得大幅度提升。在这种情况下，存储资源变为共享式，企业随之失去了对应用及数据的安全控制权。既要享受便捷的云端服务，又不能失去对自身数据的控制权，基于这个预期，Gartner在2012年提出了CASB概念，定义了在新的云计算时代，企业或用户掌控云上数据安全的解决方案模型。CASB产品有两种工作模式：一种是Proxy模式，另一种是API模式。

在Proxy模式下，CASB要处理企业上传到云应用的全部流量，重要数据采用加密等安全策略处理后再上传到云服务商；而在API模式中，企业数据直接传给云服务商，CASB利用云应用的API，对用户进行访问控制以及执行企业的安全策略。