防主動泄密的兩種技術思路比較
筆者按:這是我2009.11.24應邀寫的一篇行業技術分析,現在有一些新的技術出現,但這些思路還是存在的。
防泄密,是信息安全行業中的一個重要領域。隨著各行業信息化的深入,數字化的機密信息已經成為企業和機構的核心資產,具有極高的價值。機密數據外泄,不外乎兩種情況。一種是位於企業和機構網路外部的黑客,通過各種攻擊和破壞手段,非法竊取到內部資料;一種是內部有權調取和查閱資料的人員,主動將資料外發或攜出。
近年,內外網邊界的安全防護措施受到前所未有的重視,防火牆、入侵檢測、訪問控制技術得到較大發展並廣泛應用,從外部突破竊取資料的難度已經越來越大。相比之下,內部人員的主動泄密成為重災區。內部泄密者作案難度更低,由於大多企業內部沒有任何防主動泄密的措施,他們可以隨時準確地得到企業最有價值的信息資料,並輕易通過網路外發或移動存儲介質攜出。據調查,僅2008年,內部人員泄密使美國商業損失額超過2500億美元。前不久鬧得沸沸揚揚的力拓商業間諜案,就是公司內部高層管理人員泄密。該事件導致我國在鋼鐵業的重大談判中處於被動,保密局透露,此事對中國造成的損失,高達驚人的7000億人民幣,相當於澳大利亞國內生產總值的10%。
為了防止內部主動泄密,經過長期的探索,目前信息安全業界已經擁有了較為成熟的技術應對手段。這些手段歸結起來,主要有兩種思路:一類是封堵的思路,一類是加密的思路。
封堵的思路
這種思路,我們可以理解為傳統生活中實物防盜搶思路的移植。現實中,以現金防盜搶為例:現金需要存放,則存放在堅固的金庫中,四周有重兵把守。現金需要運送,則用裝甲的運鈔車押運,保安荷槍實彈。有大量現金需要交易,則放在銀行櫃檯這樣的地方進行,四周布滿攝像頭,時刻處於警惕和監督之下。其思路總而言之,就是在被保護的物品與外部之間,形成屏障,使盜搶者無法靠近和觸及。
相應地,封堵的防泄密方法:在存放數據的伺服器或終端,用軟體控制或改造機箱的辦法,封鎖所有可能造成泄密的對外介面。數據在內網之間的傳送,則封鎖所有可能造成泄密的有線、無線的網路設備介面,甚至在人員進出大門時,也對是否攜帶存儲介質進行檢查。限制對外網的訪問,在內外網間設置過濾網關,當數據必須要帶出到外部時,則在專門的辦公地點,由專門的人員進行監督和審核。
加密的思路
這種思路,充分考慮了數字信息本身固有的特點。數字信息的加密變形,與傳統實物相比成本更低,容易實現。加密後的信息,即使流出到外部,仍無法打開。但這裡有兩個問題,一是每次進行手動加解密,使人們的操作負荷大大增加;二是需要查詢或編輯文檔的人員,仍能獲得文檔的明文,如果這些人要主動泄密,仍然非常容易。為了解決這兩個問題,一種叫做「透明加解密」的技術應運而生。透明加解密技術,有三個特點:
1.無手動加解密操作。每次需要打開文檔時,自動解密,呈現在界面上;需要保存時,自動加密,保存到介質上。加解密對用戶來說,是透明不可見的。
2.集群化密鑰環境。文檔在指定集群的範圍內,可以正常打開和編輯,一旦流出這個範圍,不管是通過網路外發,還是用移動存儲介質拷貝攜出,都不再可以打開。請注意,這是一個本質的改進,其原理是,文檔使用者並不擁有加解密的密鑰,許可權較高的密鑰管理者,卻不擁有文檔使用許可權,這自然形成了一種相互制約的關係。作為補充,密鑰管理可以使用二次加密變換機制,加之USBKey防分析自定義加解密演算法的應用,即使同時擁有了密鑰與文檔的人,要在外部環境打開已加密的文件也變得極其困難。當然,如果確有文檔外發需要,可以建立一定審批機制在內部解密成明文之後再發出。
3.防泄密的控制,細化到文檔。這種加解密,不是針對整個機器進行,而是有選擇地針對某些類或某些個文檔進行。
比較與結合
比較這兩種思路,可以發現它們各有優劣。隨著新技術不斷出現,數據傳輸方式和存儲手段呈多樣化的趨勢,封堵的思路受到嚴峻的挑戰,可謂堵不勝堵,防不勝防。對正常的數據傳送,處處封堵設防,也會嚴重地犧牲操作方便性。而加密的思路,多少會帶來一些性能影響,並且列印、防界面拷貝等方面加密比較困難。
基於這兩種思路,市面上的防主動泄密產品可以分為兩類。傳統的防水牆產品,主要採用封堵的技術路線,而新型防主動泄密產品則主要採用透明加解密的技術路線。但它們同時又是兩種技術思路結合的產物,比如一些防水牆產品在網路傳輸過程中也採用了加解密機制;而透明加解密產品,在控制列印和界面拷貝時也採用了封堵的技術。在產品的實際運用中,一般還會加入記錄文檔操作日誌進行事後審計的功能。
推薦閱讀:
※關於https中的ssl證書,伺服器發往客戶端的信息是安全的嗎? ?
※為什麼正版光碟無法完全複製?
※為什麼BitLocker能給系統盤加密?
※早期的中國黑客大牛們現在都在幹什麼呢?