終端準(zhǔn)入控制與數(shù)據(jù)防泄漏技術(shù)在企業(yè)中的應(yīng)用

白國靖

【摘要】 企業(yè)級數(shù)據(jù)是一個企業(yè)核心競爭力的重要體現(xiàn)，數(shù)據(jù)的安全性應(yīng)該受到足夠重視，利用終端準(zhǔn)入控制和數(shù)據(jù)防泄密技術(shù)可進(jìn)一步提高企業(yè)安全管控能力。

【關(guān)鍵字】 準(zhǔn)入控制 防泄漏 數(shù)據(jù)安全

隨著企業(yè)數(shù)據(jù)中心的快速發(fā)展，除了企業(yè)內(nèi)部員工對企業(yè)資源進(jìn)行訪問外，越來越多的第三方廠商也參與到企業(yè)日常的系統(tǒng)維護(hù)和開發(fā)過程中，這給企業(yè)數(shù)據(jù)安全產(chǎn)生了極大的威脅。因此，為進(jìn)提高企業(yè)數(shù)據(jù)的安全管控能力，在完善管理制度的基礎(chǔ)上，需建立統(tǒng)一的終端準(zhǔn)入控制系統(tǒng)和數(shù)據(jù)防泄密體系，進(jìn)而提高終端的安全管控水平。

一、終端準(zhǔn)入控制技術(shù)

終端準(zhǔn)入系統(tǒng)部署終端準(zhǔn)入控制系統(tǒng)，防止不符合安全策略的終端接入數(shù)據(jù)中心訪問資源，對所有訪問數(shù)據(jù)中心的終端進(jìn)行資產(chǎn)管理和控制。目前，業(yè)界常用的準(zhǔn)入控制技術(shù)包括：802.1x準(zhǔn)入控制、DHCP準(zhǔn)入控制、ARP spoofing型準(zhǔn)入控制、DNS重定向型準(zhǔn)入控制。

1、基于802.1x的準(zhǔn)入控制。802.1x技術(shù)準(zhǔn)入控制需要管理員在網(wǎng)絡(luò)設(shè)備上開啟8021.1x功能，用戶接入時只有允許的報(bào)文可以（如認(rèn)證報(bào)文、DHCP報(bào)文）通過，通過認(rèn)證和安全檢查后，設(shè)備端口才會完全打開并允許用戶上網(wǎng)，同時基于用戶的安全策略也會從radius服務(wù)器上下發(fā)給設(shè)備執(zhí)行。802.1x技術(shù)可以再接入層交換機(jī)上進(jìn)行準(zhǔn)入控制，也可以與無線設(shè)備、路由器的以太網(wǎng)模塊進(jìn)行配合，對局域網(wǎng)、無線用戶、廣域網(wǎng)用戶等進(jìn)行準(zhǔn)入控制。當(dāng)802.1x準(zhǔn)入技術(shù)要求交換機(jī)必須支持802.1x。當(dāng)端口下掛Hub或普通交換機(jī)的情況下，則無法實(shí)現(xiàn)對非法人和終端的VLAN隔離。

2、DHCP 控制準(zhǔn)入方式。即在終端通過DHCP 請求分配地址時，進(jìn)行準(zhǔn)入控制。其優(yōu)點(diǎn)是：可以用于任何適用于DHCP 分配IP 地址的網(wǎng)絡(luò)，易于安裝和配置。其缺點(diǎn)是：終端通過自行配置靜態(tài)IP 地址，可以繞過準(zhǔn)入控制體系。

3、ARP spoofing 準(zhǔn)入控制方式。在每個局域網(wǎng)上安裝一個ARP spoofing代理，對終端發(fā)起ARP請求代替路由網(wǎng)關(guān)回復(fù)ARP spoofing，從而使其他終端的網(wǎng)絡(luò)流量必須經(jīng)過代理。在這個ARP spoofing代理上進(jìn)行準(zhǔn)入控制。其優(yōu)點(diǎn)是：ARP適用于任何IP網(wǎng)絡(luò)，并且不需要改動網(wǎng)絡(luò)和主機(jī)配置。易于安裝和配置。其缺點(diǎn)是：類似DHCP 控制，終端可以通過配置靜態(tài)ARP表，來繞過準(zhǔn)入控制體系。此外，終端安全軟件和網(wǎng)絡(luò)設(shè)備可能會將ARP spoofing 當(dāng)成惡意軟件處理。

4、DNS 重定向準(zhǔn)入控制方式。在DNS 重定向機(jī)制中，將終端的所有DNS 解析請求（不管其請求解析的是什么域名注冊），全部指定到一個固定的服務(wù)器IP 地址。其優(yōu)點(diǎn)是：類似DHCP 管理和ARP spoofing，適用于任何適用DNS協(xié)議的網(wǎng)絡(luò)，易于安裝和部署，支持WEB portal 頁面，可以通過DNS 重定向，將終端的HTML 請求重定向到WEB 認(rèn)證和安全檢查頁面。其缺點(diǎn)是：類似DHCP 控制和ARP spoofing，終端可以通過不使用DNS協(xié)議來繞開準(zhǔn)入控制限制（例如：使用靜態(tài)HOSTS文件）。

二、數(shù)據(jù)防泄漏系統(tǒng)

目前業(yè)內(nèi)主流的數(shù)據(jù)防泄漏系統(tǒng)主要基于加密及環(huán)境控制技術(shù)和基于內(nèi)容識別技術(shù)，這兩類DLP系統(tǒng)均為C/S（客戶端/服務(wù)器）模式，可以針對不同的業(yè)務(wù)需求進(jìn)行選擇。

1、于加密及環(huán)境控制技術(shù)的數(shù)據(jù)防泄漏系統(tǒng)。在需要管控的環(huán)境中部署一臺PC Server用來安裝DLP服務(wù)端軟件，實(shí)現(xiàn)對數(shù)據(jù)操作權(quán)限分發(fā)、郵件域名、數(shù)據(jù)外發(fā)通道（如QQ、U盤、FTP等）限制、數(shù)據(jù)外發(fā)審批等策略的集中配置和個性化配置。在需要管控的用戶終端上安裝DLP客戶端軟件，通過此客戶端軟件將用戶終端劃分成工作分區(qū)和非工作分區(qū)。通過服務(wù)器端事先配置好的策略，終端只能將業(yè)務(wù)系統(tǒng)后下載后的數(shù)據(jù)存儲在工作分區(qū)中，而在非工作區(qū)中對工作區(qū)中數(shù)據(jù)無法進(jìn)行任何操作，而工作區(qū)中的數(shù)據(jù)也無法存儲到非工作區(qū)，從而對終端上的個人數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)進(jìn)行隔離保護(hù)。

2、基于內(nèi)容識別技術(shù)的數(shù)據(jù)防泄漏系統(tǒng)。在需要管控的環(huán)境中部署一臺PC Server安裝DLP服務(wù)器端和數(shù)據(jù)庫系統(tǒng)，用來做策略管理，主要實(shí)現(xiàn)對文件保密級別分類、關(guān)鍵字匹配規(guī)則、敏感數(shù)據(jù)操作權(quán)限、敏感數(shù)據(jù)訪問和操作時告警、提醒、阻止等策略的配置。在需要管控的終端上安裝軟件，實(shí)現(xiàn)對終端上所有的數(shù)據(jù)操作及訪問行為（如移動介質(zhì)拷貝、IM等外發(fā)行為）進(jìn)行檢測及發(fā)現(xiàn)，并可疑的敏感信息泄漏行為進(jìn)行提醒、告警、阻斷保護(hù)。企業(yè)可根據(jù)數(shù)據(jù)風(fēng)險(xiǎn)的差異，應(yīng)用場景的不同而選擇合適的解決方案。

三、總結(jié)

在部署終端準(zhǔn)入控制系統(tǒng)和數(shù)據(jù)防泄密系統(tǒng)后，可實(shí)現(xiàn)以下防護(hù)效果：（1）將終端準(zhǔn)入控制與數(shù)據(jù)防泄密系統(tǒng)有效結(jié)合，通過對終端和數(shù)據(jù)的有效管理和控制，提高信息安全管理等級。（2）對數(shù)據(jù)的傳輸通道如FTP、QQ、郵件、U盤等進(jìn)行有效管控。（3）數(shù)據(jù)在流轉(zhuǎn)的過程（存儲、傳輸、交換、外發(fā)）中得到了全方位的加密與審批保護(hù)，使數(shù)據(jù)的生存環(huán)境得到有效控制。（4）日志審計(jì)。對數(shù)據(jù)的外發(fā)、復(fù)制等操作進(jìn)行細(xì)粒度的日志審計(jì)。

參 考 文 獻(xiàn)

[1] 董月博. 終端準(zhǔn)入控制系統(tǒng)的研究與實(shí)現(xiàn)[D]. 天津：天津大學(xué). 學(xué)位論文. 2007.

[2] 趙杰. 終端準(zhǔn)入控制技術(shù)探討[J]. 信息安全與通信保密.2012（1）.