杨绍君

（宁夏通信规划设计院（有限责任公司），银川 750011）

1 引言

电信运营商经过多年的网络与信息安全管理系统建设，在物理安全、系统安全、终端安全等方面已取得明显成效，已经在部分部门及相关业务领域实施了防泄密手段，进行安全控制。电信运营商的计费、经分、客服等系统承载了公司大部分的核心敏感数据，对于数据的流转过程、正常业务需求和办公需求有一部分采用了加密管控手段，但大部分数据并没有使用管控措施。为了实现进一步的数据安全防护，保障企业业务发展并满足监管合规要求，还存在以下问题需要解决：敏感数据的内容识别问题；敏感数据的存储流转问题；终端敏感信息的防护问题；数据风险。针对上述问题，电信运营商可以通过建立一个针对企业自身的数据防泄密大环境，建立可管、可信、可控的数据安全平台，实现企业内部信息和个人身份信息的防泄密，防患运营商复杂工作体系中可能由于工作习惯带来的被动泄密、二次泄密等情况。

2 系统功能架构

系统应支持分布式部署，可支持客户端内网及VPN接入、负载均衡和大规模部署。系统组成部分包括服务器、控制台和客户端。其中服务器主要存储用户信息、控制策略和审计日志等核心基础组件，控制台实现对策略的定制和下发，客户端为办公终端上安装的插件，负责接收服务器侧推送的策略并在终端本地执行生效。

底层设计方面，系统应支持分布式架构，同一功能模块可以分布在多台计算机上，也可以将多个功能模块分布到多个操作系统上，实现多种功能跨越计算机边界透明运行，以此来提高系统整体的高可靠性，以及用户数量增加时平台性能的按需扩展（增加部署分布式服务器平台分担业务流量即可）。

3 系统技术架构

目前，很多大中型企业对信息安全的建设尤为重视，在网络边界部署防火墙、网络隔离设备、入侵检测、入侵防御等多种网络安全设备，在一定程度大大提升了企业信息安全防护能力，起到了很好的网络安全防御效果。但是，终端接入还没有完善的安全控制防范机制，如用户的认证、授权、审计等。通常，网络中的大部分资源滥用和未经授权的访问都来自于内部[1]。

系统建设需要实现终端准入功能所涉及的准入系统网关硬件设备，以实现终端在没有安装安全客户端的情况下不允许使用公司内部网络；实现终端在没有安装安全客户端的情况下不允许登录业务系统。

4 系统功能设计

图1 网络架构

4.1 系统安全准入

安全准入系统可采用软件与硬件相结合的方式，通过身份认证、安全域控制等方法，从源头上保证接入网络的终端可信，并控制可信计算机的访问权限，为运营商的终端接入安全管理提供有效的保障，规避由于非可信终端的随意接入而可能带来的运营商网络及信息资源违规占用、病毒木马泛滥、企业资料泄密以及越权访问等诸多安全问题。同时，系统应支持集群式部署，能够统一管理准入设备，轻松掌控网络边界安全。

安全准入系统能够使运营商网络终端的接入安全得到强制提升，保证运营商网络保护机制不被间断，有效提升网络安全。与此同时，基于设备接入控制网关，还可以对于远程接入企业内部网络的计算机进行身份、惟一性及安全认证。

4.2 智能规则生成

通常情况下，终端用户的敏感数据很难保证非常严格的管理，管理员也无法确认这些敏感数据的分布位置以及使用人员、使用方式，这就造成了较高的数据泄密风险。如果管控不及时，泄密风险将进一步上升。若大规模采用人工方式筛选过滤，将带来巨大的工作量，而且难以保证效果。因而，通过一种自动化的软件程序来协助用户创建数据管理模式是非常必要的。

数据防泄密平台需要提供对数据进行智能梳理的智能化工具软件，以实现数据发现及数据分类分级的规则整理。工具软件在文档聚类过程会自动根据评判分数排序区分度高的特征词，实现样本的分析、整理及选择特征词等任务，并最终导出敏感信息规则。

智能规则生成的工具以独立软件的形态来使用，支持WindowsXP、Windows7/10 32位/64位等主流操作系统，生成的规则直接导入到数据防泄密平台启用。

4.3 敏感数据智能识别

系统在每个被管理的终端上安装数据泄漏防护客户端软件，且能够根据分类分级策略，自动在终端后台静默扫描识别所有文档数据，根据企业内部定义的不同密级进行分类分级保护，并将扫描事件结果回传给服务器[2]。

4.4 分类分级自动加密

系统对扫描识别出来的敏感数据进行分类整理（定义密级）。根据分类分级内容识别策略与加密策略的联动，实现对终端扫描出的敏感数据自动加密，系统扫描出来的最重要的数据使用高法则的加密技术进行加密，同时只有指定的用户具有解密的权限；而系统扫描出来的次重要的敏感数据会自动调用次加密法则进行加密，使数据在企业内安装了客户端的终端上都能查看，起到防泄密的功能，当有需要外出的数据时必须通过审批系统进行审批才可以打开查看，否则看到的只是加密后的密文数据。

4.5 手动加密

对用户自行创建的文件可以由用户自行完成对该文件的加密保护。且可以选择不同的加密密级给相应的文件实行加密[3]。

4.6 密文权限管控

加密文件具备灵活的权限控制，包括：读、写、另存、拷贝、截屏、脱密等。加密文档的权限可与文档密级衔接，实现灵活管控，具备相关权限的用户可使用和流转加密文件。

4.7 文件审批系统

如用户需要将文件外带，需发起文件外带请求审批；系统将会把文件推送至审批人处，审批人核实请求文件内容是否属于可外带范围；如确为可外带文件，则审批人同意该审批请求，文件自动流转到发起人处；否则，拒绝发起人的要求。

为满足实际工作中对时间和效率的要求，系统需具备自动审批功能和备用审批、委托审批、临时授权等特色功能。

4.8 明文外发要求

支持文件审批外带管理，外带的加密文件，需经过流程审批后才能够将密文转换成明文，进行外带后使用，否则非法外带为密文。能提供自审批功能、审批者审批、协同审批等功能。

4.9 移动存储介质安全管控

鉴于移动存储设备的随意使用将造成资料外泄等安全隐患，需要对U盘、移动硬盘等移动存储设备进行生命周期（注册、授权、使用、挂失与取消挂失、注销）管控，而且要求支持市面上常见的绝大多数USB移动存储设备。

4.10 文档溯源

可以实现对的加密文档的追踪溯源管理，即当用户A加密文档时，系统会自动生成惟一ID加载至文档中，并将相关日志信息存储至服务器，该信息对用户为不可见，当用户A将加密文档传送到用户B并在该终端打开时，系统可以再追加一个隐藏标签，以此类推，从而实现对文档的产生、流转、分发、使用全过程的跟踪，追溯敏感数据流转过程。

4.11 终端管理系统

（1）打印文件审计。终端用户在打印加密文件时可审计打印文档名、IP用户名称等信息，亦可将打印内容会传送到服务器记录，供审计使用。

（2）远程桌面。管理员可以通过控制台或工具远程控制目标计算机。当目标计算机收到访问请求时，提示用户是否允许被远程，用户允许后，管理员就能够通过控制台通过VNC协议远程到对应的终端机器上。

（3）上网行为审计（HTTP管控）。终端用户的上网行为可以被审计和管控；管理员可以通过日志系统查看各个用户的HTTP管控日志。

（4）客户端通信控制（IP端口控制）。IP端口控制能够从目的IP、端口、协议、数据包四个维度进行全方位的隔离，允许或禁止访问目的主机。

（5）硬件资产审计。用来管理PC端的硬件资产信息，具体内容包括计算机名、IP地址、关联用户、CPU、内存、硬盘、收集时间、所属组等信息。

4.12 网络安全管理

（1）应用程序外发管控。系统对指定的应用程序外发工具（RTX/MSN/飞秋/飞信）的附件进行外发管控。外发管控策略的手段包括：明文发送、加密发送和禁止发送。

（2）HTTP协议外发加密。将连接互联网的终端使用HTTP外发的敏感文件进行加密，限制可以上网的终端向非安全环境传输敏感文件。

（3）禁止应用程序网络连接。通过定义黑白名单的方式控制应用程序在应用层是否可以访问网络。可通过应用程序、IP地址、协议、端口等维度进行管控，禁止或允许某些应用程序使用网络连接。

4.13 外部设备管理

系统可以实现对终端PC用户通用型外部设备的实时开启或者关闭的管理。包括：网络适配器、无线Wi-Fi、蓝牙、USB、3G网卡、键盘、鼠标、SCSI/RAID控制器等常见的硬件外设的管理。

4.14 日志记录

加密系统可根据相应的设置策略自动收集相关的日志信息，包括但不仅限于：系统运行日志、程序升级日志、客户端安装/卸载日志、客户端上下线日志、账号登陆/绑定日志。

5 结束语

通过建立一套可随时随地检索发现企业内部终端是否存在敏感数据的大数据分析挖掘平台，达到对敏感数据可发现、可判断、可控制的一体化管理体系，针对客户信息的敏感数据进行全流程的管控，对于企业是非常必要的。