【摘要】企业级数据是一个企业核心竞争力的重要体现,数据的安全性应该受到足够重视,利用终端准入控制和数据防泄密技术可进一步提高企业安全管控能力。
【关键字】准入控制防泄漏数据安全
随着企业数据中心的快速发展,除了企业内部员工对企业资源进行访问外,越来越多的第三方厂商也参与到企业日常的系统维护和开发过程中,这给企业数据安全产生了极大的威胁。因此,为进提高企业数据的安全管控能力,在完善管理制度的基础上,需建立统一的终端准入控制系统和数据防泄密体系,进而提高终端的安全管控水平。
一、终端准入控制技术
终端准入系统部署终端准入控制系统,防止不符合安全策略的终端接入数据中心访问资源,对所有访问数据中心的终端进行资产管理和控制。目前,业界常用的准入控制技术包括:802.1x准入控制、DHCP准入控制、ARPspoofing型准入控制、DNS重定向型准入控制。
1、基于802.1x的准入控制。802.1x技术准入控制需要管理员在网络设备上开启8021.1x功能,用户接入时只有允许的报文可以(如认证报文、DHCP报文)通过,通过认证和安全检查后,设备端口才会完全打开并允许用户上网,同时基于用户的安全策略也会从radius服务器上下发给设备执行。802.1x技术可以再接入层交换机上进行准入控制,也可以与无线设备、路由器的以太网模块进行配合,对局域网、无线用户、广域网用户等进行准入控制。当802.1x准入技术要求交换机必须支持802.1x。当端口下挂Hub或普通交换机的情况下,则无法实现对非法人和终端的VLAN隔离。
2、DHCP控制准入方式。即在终端通过DHCP请求分配地址时,进行准入控制。其优点是:可以用于任何适用于DHCP分配IP地址的网络,易于安装和配置。其缺点是:终端通过自行配置静态IP地址,可以绕过准入控制体系。
3、ARPspoofing准入控制方式。在每个局域网上安装一个ARPspoofing代理,对终端发起ARP请求代替路由网关回复ARPspoofing,从而使其他终端的网络流量必须经过代理。在这个ARPspoofing代理上进行准入控制。其优点是:ARP适用于任何IP网络,并且不需要改动网络和主机配置。易于安装和配置。其缺点是:类似DHCP控制,终端可以通过配置静态ARP表,来绕过准入控制体系。此外,终端安全软件和网络设备可能会将ARPspoofing当成恶意软件处理。
4、DNS重定向准入控制方式。在DNS重定向机制中,将终端的所有DNS解析请求(不管其请求解析的是什么域名注册),全部指定到一个固定的服务器IP地址。其优点是:类似DHCP管理和ARPspoofing,适用于任何适用DNS协议的网络,易于安装和部署,支持WEBportal页面,可以通过DNS重定向,将终端的HTML请求重定向到WEB认证和安全检查页面。其缺点是:类似DHCP控制和ARPspoofing,终端可以通过不使用DNS协议来绕开准入控制限制(例如:使用静态HOSTS文件)。
二、数据防泄漏系统
目前业内主流的数据防泄漏系统主要基于加密及环境控制技术和基于内容识别技术,这两类DLP系统均为C/S(客户端/服务器)模式,可以针对不同的业务需求进行选择。
1、于加密及环境控制技术的数据防泄漏系统。在需要管控的环境中部署一台PCServer用来安装DLP服务端软件,实现对数据操作权限分发、邮件域名、数据外发通道(如QQ、U盘、FTP等)限制、数据外发审批等策略的集中配置和个性化配置。在需要管控的用户终端上安装DLP客户端软件,通过此客户端软件将用户终端划分成工作分区和非工作分区。通过服务器端事先配置好的策略,终端只能将业务系统后下载后的数据存储在工作分区中,而在非工作区中对工作区中数据无法进行任何操作,而工作区中的数据也无法存储到非工作区,从而对终端上的个人数据与业务数据进行隔离保护。
2、基于内容识别技术的数据防泄漏系统。在需要管控的环境中部署一台PCServer安装DLP服务器端和数据库系统,用来做策略管理,主要实现对文件保密级别分类、关键字匹配规则、敏感数据操作权限、敏感数据访问和操作时告警、提醒、阻止等策略的配置。在需要管控的终端上安装软件,实现对终端上所有的数据操作及访问行为(如移动介质拷贝、IM等外发行为)进行检测及发现,并可疑的敏感信息泄漏行为进行提醒、告警、阻断保护。企业可根据数据风险的差异,应用场景的不同而选择合适的解决方案。
期刊库(http://www.zgqkk.com),是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导,寻求投稿辅导合作,快速投稿辅导,投稿辅导格式指导等解决方案:省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。
【免责声明】本文仅代表作者本人观点,与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
646779424(普刊)
913775405(普刊)
867306987(核心)
271374912(核心)
