大部分信息化水平较高的企业经过多年的信息安全防护体系建设，在系统安全、终端安全、物理安全等方面已经卓有成效，目前已经分别在不同控制域完成了部分防泄密手段的安全控制。

为了更好的实现数据安全防护，满足业务发展和监管合规要求，必须解决当前数据内容防护层面临的以下问题：

1.敏感数据的内容识别问题

（1）数据量大，数据关系复杂，难以进行梳理。

（2）无法判断出哪些是敏感数据。

（3）缺乏对数据内容的分类和敏感级别分级。

（4）保护措施无法和敏感数据重要级别挂钩，保护效能和效率较低。

2.敏感数据的存储流转问题

图1 敏感数据管控体系的架构

（1）对于重要敏感的数据存放位置无从知晓，保护难以下手。

（2）数据可能存放在电脑、手机、笔记本、业务系统、数据库、存储中。

（3）无法明确某类敏感数据在企业的整体分布情况。

（4）缺乏对不同数据在不同位置的风险评估视图。

上述问题导致企业面对急速增长的数据安全问题无法做到主动发现、动态监控及管控措施，甚至因问题资产引发的安全事件在爆发后相当长的一段时间后才被知晓，管控措施较为消极。

设计思路

本方案通过对敏感数据管控现状深入调研和梳理，结合PDCA的信息安全管理思想，提出敏感数据管控体系的架构，如图1所示。

1.建立敏感数据管控策略体系和责任矩阵：以安全策略的规划和建设为核心，用安全策略指导并驱动各项安全工作，使各项安全工作的目标清晰化、责任具体化、执行规范化、稽核有理化。

2.建立敏感数据管控技术体系并将安全策略落地：通过敏感数据管控子系统的形式体现，分为事前预防、事中控制、事后追溯和审计三个阶段。

3.审核安全管控策略的有效性和遵从性：建立基于平台的IT技术和管理流程的安全检查机制和统一标准。

4.持续改进敏感数据管控的策略体系和技术体系：实现信息安全重要指标在线统计、汇总分析等，为管理层提供可视化的安全决策信息和多维度合规分析和展示。

关键功能实现

1.敏感数据识别管理

敏感数据管控子系统设计两种方式识别敏感数据。一是利用爬虫技术分析数据库、文件夹、文件中的数据，分析其中的敏感数据匹配度，以得到敏感数据资产。二是利用应用日志流量分析技术，通过在应用前台的网络必达通路上部署嗅探设备，分析应用前台的应用流量日志，进而识别敏感数据。

（1）基于爬虫技术的敏感数据识别

本方案采用数据资产爬虫工具对数据库、主机载体承载的数据资产实现自动采集，如图2所示。

图2 数据资产爬虫工具工作机制示意图

图3 基于应用日志流量采集识别过程

（2）基于应用日志流量采集识别

本方案作为对数据库后台敏感数据采集的补充，针对前台应用采用流量嗅探的方式主动抓取Web应用流量，通过对HTTP协议的解析，还原业务访问流量，从中分析敏感数据生成和访问情况，如图3所示。

2.敏感数据模糊化处理

针对应用前台数据，客户信息在前台进行展现时，按照模糊化规则对敏感信息数据的展现进行模糊化处理，确保低权限帐号无法直接查看模糊化前的原始信息。

针对测试后台数据，在通过接口方式向外部提供客户名称、证件号码时应结合对端机构情况进行一定的模糊化处理。

就每个模糊化规则的设定来说，其主要过程包含敏感数据要素分解、关键位置标注以及模糊规则定义等内容。

3.敏感数据访问监控

正常访问监控主要包括前台敏感数据访问异常监控、后台敏感数据访问异常监控、后台关键维护指令异常的监控、金库控制异常监控。

监控方式主要采取阈值比对方法，将指定周期内对查询和导出等敏感数据访问操作行为的访问量与阈值比对，发现超出阈值的访问情况。

4.敏感数据绕行监控

绕行访问监控主要包括前台敏感数据绕行监控、后台敏感数据绕行监控、金库管理绕行监控。

监控方式是从4A平台直接采集对敏感数据所在资产的绕行访问日志直接进行分析比对。

敏感数据资产生成以后，结合4A平台对敏感数据资产的访问进行金库控制和审计。主账号登录4A平台访问资源包含敏感数据资产时，自动触发金库。

5.敏感数据审计管理

审计系统对业务系统的敏感数据访问日志进行采集，并通过相关字段进行关联定位自然人身份、泄露源，以便能够根据泄露内容对泄露事件进行溯源。

6.敏感数据防泄露

（1）网络敏感数据防泄漏

通过扫描网络中的所有数据，查看其是否包含敏感数据，并对敏感数据发现情况进行提示或告警。

通过使用端口镜像SPAN）或网络分流器配置，在网络交换机上使用端口镜像方法，所有进出端口的网络数据包都将被复制到另一个与网络敏感数据防泄漏设备连接的专用交换机端口，并对网络流量的实时分析处理。

（2）端点敏感数据防泄漏解决方案

图4 全网敏感数据全生命周期管理系统架构

通过在终端上部署端点敏感数据防泄漏设备，监视正被下载到或写入本地驱动器的数据，同时监视和拦截复制到USB、防火墙或SCSI存储设备或烧录到CD/DVD的保密数据。可以选择显示屏幕弹出消息，通知最终用户违反了策略并包含一些字段供用户判断。

7.管控文件夹

维护人员维护敏感数据文件是通过单点登录管控文件夹的方式直接操作敏感数据源文件，达到敏感数据专人专管，不能随意修改、拷贝的目的。

建设效果

敏感数据管控子系统面向数据全生命周期，基于数据所处的不同周期与状态，以敏感数据动态发现、安全风险实时监控和数据闭环管理为技术手段，构建动态响应、主动型安全保障体系为目标，建立一套全网敏感数据全生命周期管理系统，如图4所示。

具体效果如下：

敏感数据发现：实现基于指纹、关键字、词典、语义、正则表达式等多种方式的敏感数据发现能力。

数据分类分级：通过抽取文件中的关键字，利用聚类算法实现对数据的自动化分类分级。

敏感收据流转监控：利用现有4A平台，实现对敏感数据访问过程的全程监控，保障敏感数据的可视化管控。

建立敏感数据库：根据以上发现的敏感数据信息建立敏感数据指纹库，并能够实现对数据变化的管理。

数据全生命周期管理：实现对数据全生命周期的管控，包括数据的产生、存储、流转、使用、销毁等环节。

资产与敏感数据关联及快速响应：建立敏感数据资产载体视图，实现对敏感数据泄露风险的快速响应。

数据共享：系统具有开放能力，可与其他系统能够通过接口进行数据连通。