1、引言
隨著信息化程度的提高,企業越來越多地利用計算機創建和處理敏感的業務電子信息,在方便快捷的同時也增加了信息被偵聽、截獲及非法拷貝的危險。當前企業經營、市場競爭中面臨的商業機密安全管理的形勢嚴峻,尤其企業在商業活動中使用的諸如經營分析會材料、重要匯報材料、市場經營策略、業務技術策略、營銷方案、財務分析報表、投資計劃、企業財務數據表、客戶信息、研發文檔等隱私和敏感信息資源。這些企業商業機密信息經常第一時間就被競爭對手獲取,給公司的業務關系帶來危害,使公司的知識產權遭受損失,帶來巨大的信息資產損失成本,同時給公司的聲譽造成不良影響。
2、敏感數據定義
以通信運營商為例,企業敏感數據包括客戶信息與客戶產品、企業內部敏感信息兩類。
2.1客戶信息與客戶產品
客戶基本資料:集團客戶資料、個人客戶資料、各類特殊名單。
客戶身份鑒權信息:用戶的服務密碼、用戶登錄各種業務系統的密碼。
客戶通信信息:詳單、原始話單、賬單、客戶位置信息、客戶消費信息、基本業務訂購關系、增值業務(含數據業務)訂購關系、增值業務信息、客戶通信錄等。
客戶通信內容信息:客戶通信內容記錄、移動上網內容及記錄、行業應用平臺上交互的信息內容。
2.2企業內部敏感信息
企業內部敏感信息包括企業內部用于管理的公文、合同、財務數據、人事數據、總經理辦公會會議材料、戰略規劃、營銷計劃、采購預算、采購計劃、經營分析數據等。
這些數據歸屬于OA、ERP、E-mail、統一信息平臺、財務集中化電子報賬、財務集中化合同管理等管理信息系統。
主要的數據存儲格式包括兩類。
文檔類:Office類文件、Domino文件、PDF, Html、壓縮格式、圖片、AutoCAD等。
數據庫類:指在數據庫中保存的內容。
3、數據識別技術分析
敏感性數據檢測技術不僅僅針對網絡端口,同時需要基于實際內容進行特征定義檢測,而非文件本身,即可以檢測受保護或所描述內容的壓縮內容或修改文件后綴。
(1)確切數據匹配
關鍵字匹配:以內容為單位,按關鍵字進行檢查。多個關鍵字之間可以通過“與”和“或”的關系進行組合。對于英文關鍵字,可以忽略大小寫,可一以設定關鍵字的最低計數閡值,關鍵字匹配超過最低計數閥值,才產生新事件。
正則表達式匹配:對于符合某種規則的內容,可以抽象出正則表達式,然后按正則表達式對文字內容進行檢查。應提供常見的正則表達式,如手機號碼、身份證號碼等。
組合匹配:支持比正則表達式更精準的檢查方式.除了識別符合某種規則的內容以外,還能對數據的有效性進行驗證,如身份證號碼、信用卡號、IP地址等。
(2)索引文檔匹配
索引文檔匹配可確保以文檔形式存儲的非結構化數據的準確檢測,這些文檔形式包括Microsoft Word和PowERPoint文件、PDF文檔、設計方案、源代碼文件、CAD/CAM圖像、財務報表、并購文檔以及其他敏感或專有信息等。
(3)指定內容匹配
使用由用戶輸入的數據標識符、關鍵字、詞典、模式匹配、文件類型、文件大小、發件人、收件人、用戶名、端點用戶組以及網絡協議信息來檢測數據泄漏事件。
(4)文件指紋匹配
針對文檔的數據指紋檢測算法,可以檢查到從所提取指紋文檔中抽取的敏感信息;可以對指定文件夾下的文件生成指紋庫,指紋庫可以根據日程,進行增量式更新;可以設置過濾條件,在指紋提取時排除不感興趣的文檔。
(5)結構化數據匹配
針對數據庫結構化記錄,能夠將數據庫中包含機密信息的表和字段標志出來加以保護。
4、據防泄漏設計
在企業信息化網絡中的互聯網出口區部署網絡層敏感數據監控系統,對敏感數據實現監控和審計,并保留日志文件。
在信息化系統中對公司核心服務器及重要文件服務器實現敏感數據訪問的發現和審計,并保留日志文件。
在公司范圍內建設涉密文檔安全分發系統,通過安全分發系統對涉密文檔進行加密,限制文檔的使用范圍和使用期限。數據防泄漏功能設計如圖1所示。
5、結束語
面對日益發展的企業信息化環境,數據防泄漏的建設不僅從技術上降低信息在產生、存放、訪問、傳播和使用過程中的泄漏風險,而且從管理角度要解決對泄密信息的可知、可防、可控,建立起一套泄漏事件的響應機制,包括組織、人員和流程,同時在此過程中,梳理和彌補業務流程中的安全隱患,使員工建立良好的信息敏感性意識和自覺的泄密防范意識。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:企業信息化ERP系統數據防泄漏技術分析
本文網址:http://www.guhuozai8.cn/html/consultation/1082057364.html