数据防泄漏解决方案

——一种简单、划算的方法防止从企业网络泄漏敏感信息

1.背景介绍

　　随着电子信息化和网络的发展，从企业到个人、从公共到私人的信息都在电子化和网络化，企业数据和个人信息泄漏已经成为社会当今普遍的问题。对于企业重要数据的泄漏，可能会直接或间接的给企业带来重大的经济损失。另外据统计90%的企业都是具有员工个人的重要信息(身份证号、社保号码、银行卡号和手机号码等)，并且近几年，也常发生于从企业内部泄漏大量个人敏感信息，随着国家将立法对个人敏感信息泄漏进行保护，那么企业对员工的个人信息泄漏防护也是重点。

2.数据防泄漏技术特点

　　数据防泄漏技术已经被许多IT企业所关注和使用，并且帮助公司能够对重要和敏感数据进行保护和管理。但对于企业来说，一个完整的数据防泄漏技术方案是复杂并且昂贵的，技术方案上都涉及到文档的加密、内部人员权限管理、文档外发管理、桌面安全控制和管理、网络准入控制、终端设备管控、移动存储管控和全面的操作审计内容等等，都会给企业带来复杂的IT维护和高额资金投入，而对于一个IT投入成本受限的公司来说是没有能力使用的技术方案。另外，对于数据泄漏的防护上，取决于整体防护强度中薄弱的一环，而对于企业网络边界的防护通常是薄弱的环节之一，主要是当今边界的安全设备如防火墙、入侵防御、防毒墙等，都不是针对或有效地对数据泄漏进行防护。

3.网康下一代防火墙的数据防泄漏技术

3.1利用应用和用户识别技术控制数据泄漏的途径

　　对于企业网络边界的数据泄漏防护上，首先是选择能够控制会造成敏感数据泄漏的应用。企业的应用毕竟会从“利”和“弊”两个方面来看待，对于企业完全没有任何好处的应用就可以完全阻断，而避免它造成数据泄漏，比如大部分企业需要禁止代理翻墙应用或P2P下载应用，因为其对企业的IT业务来说是没有任何好处的，并且还会带来很大的数据泄漏风险。而对于企业有“利”的应用，可能也存在对企业造成数据泄漏风险的动作，比如MSN Messenger，可以方便企业内部员工与客户进行即时沟通，但其传输文件的应用动作会给企业带来重要数据泄漏的可能。网康下一代防火墙的应用洞察和识别能力，企业IT人员可通过对应用的合理控制，能够为企业大大减少数据泄漏的传输途径。

　　在发生的一些数据泄漏事件中，通常都会与企业内部的“人”有关，传统的边界设备通常可见和控制的是“IP”地址，并且不能有效的对“人”进行管理和控制数据外发的行为。网康下一代防火墙具有完善的用户识别能力，通过一体化的安全策略可以基于“人“的维度，控制高风险应用的使用、授权数据外发的行为和记录数据传输的事件，不但降低了没有授权的”人“会造成数据泄漏的风险，还会帮助企业对造成数据泄漏风险的”人“进行事后审计和处理。

3.2基于应用的文件类型和内容过滤技术

　　随着网络应用不断丰富，大量应用会建立在HTTP等基础协议之上，或者端口号随机产生。基于传统基本协议的内容过滤方式对现在的大量应用失效性越来越严重，比如对于电子邮件应用(包括各WEB Mail的正文和附件)、应用平台应用（各种流行的微博）、P2P应用、网盘应用和论坛发贴应用等等。网康下一代防火墙基于应用构建文件类型和内容的扫描能力，并且支持几百种常见应用的文件类型和内容控制，能够细粒度到应用的动作级进行识别和控制，比如用户选择内容过滤是针对MSN的聊天内容还是文件传输。其中对于文件内容的扫描，网康提供给用户自定义正则表达式的方式，同时可指定关键信息的命中阀值来决策阻断或告警，另外，还提供一些预订义的特征方式给用户选择扫描，比如身份证号、银行卡号和手机号码等。而对于文件类型的扫描，支持近百种常见的文件类型(包括各种Office文件、音视频文件，图片和压缩文件等)，文件类型的识别是采用文件特征匹配方式，修改文件后缀仍可准确识别。

4.网康下一代防火墙数据防泄漏配置指导

4.1利用安全策略来控制用户权限降低数据泄漏风险

　　网康下一代防火墙支持安全策略来控制内部网络的用户使用应用的权限，可以通过对应用和用户两个维度组合进行细粒度限制，来降低内部数据泄漏的风险。比如企业按照严格安全策略控制研发人员使用具有传输文件功能的应用子功能（见下图）。

图1：选择研发部门的人员组进行权限控制

图2：选择具有文件传输能力的应用

　　正如以上图示的策略可以完成对特定人员使用应用的权限控制，能够很好避免重要用户通过网络泄漏敏感的企业数据，。

4.2利用文件类型和内容的过滤防止数据泄漏

　　网康下一代防火墙支持近300种应用下的文件类型和内容的过滤能力， 同时可支持64种以上主要的文件类型进行检测，还支持利用正则表达式的方法来定义敏感信息样式，并且还预定义了包括 “身份证号码”、“银行卡号”和“信用卡号”等关键字样式。比如对于一个建筑公司来说工程图是重要的电子资产，是禁止从网络泄漏到外部的，那么可以根据文件类型过滤来防止工程图泄漏（见下图）。

 图3：设置工程图文件类型阻断防止泄漏

　　另外，对于一般公司都会有重要的电子文档，文档页面或内容中也常常标注为“XX公司”和“机密”字样等，那么通过网康的下一代防火墙的关键字内容过滤，可以阻止这样的文件被外发出去。

图4：敏感关键字设置

图5：设置敏感信息泄漏配置

　　正如图4中设定的关键字对象为文档内带有”机密“和”网康科技“字样的关键字，并在图5中配置防止敏感数据泄漏的数据过滤配置将此关键字关联生效，就可以实现既简单还有效的数据防泄漏能力。