数据共享出入口作为机密信息统一管理和集中管理的关键环节,在数据共享出入口采取有效的防护措施,可以极大地提高防护效率,减少对正常业务的干扰。一般的数据共享出入口包括连接因特网的网关设备或连接其它网络的数据交换平台,单向传输设备如网闸、单导等。支持嵌入复杂逻辑功能的数据交换平台或单导服务器,可直接增加保护数据泄露的措施,而网关、网闸等设备功能单一,只能通过串联独立网关设备来保护数据泄露。

单向网闸网络架构_单向网闸网络架构

在数据共享出口的数据可能是文件或网络流量,对于这两类数据,需要部署的保护数据泄漏的措施包括:

一、智能数据的分类分级。

目前,机密信息识别仍主要采用人工识别、关键字识别、正则表达式识别或文件指纹识别等方法,可以保证机密信息识别的准确性,但对网络中海量文件和网络通信流来说,显得效率太低,漏报率太高。采用机器学习等人工智能技术,将有监督和无监督的学习过程结合起来,通过大量的数据训练模型,覆盖所有结构化和非结构化的数据,才能实现对数据共享入口的所有文档和流量的操纵。

单向网闸网络架构_单向网闸网络架构_02

跨域资料加密及解密。

分享后的可读性范围操纵是数据主体责任的核心内容,只有数据所有者才能控制数据传播范围。数据加解密技术是操纵机密信息传播的最好方式,数据持有者向经过授权的数据获得者分发密钥,机密信息从数据共享入口离开时使用密钥开展加密,只有获得密钥的数据获得者才能对数据开展解密。值得注意的是,由于网络流量不能被存储,因此加解密技术仅适用于网络流量数据到达之后。

三、行为审计分析。

正常情况下,数据在业务网络中传输时泄漏的可能性很小,只有在数据从共享出入口离开网络时,泄漏的可能性才会急剧上升,因此在数据共享出入口记录数据外流日志,保存数据发送方、发送时间、目标收发方、机密信息类别等重要信息内容,开展用户行为审计,识别异常行为是组织必须采取的检测措施。也可以通过网站安全防护公司来达到防止数据被泄露等安全问题。

单向网闸网络架构_单向网闸网络架构_03

4.动态数据敏感化。

共享过程中,有一些数据在共享内外要保持局部可辨识度和独立性,此时可采用数据脱敏技术对机密信息开展保护。当数据共享出口时,数据是流动的,所以适用于动态数据脱敏技术,在数据传输过程中脱敏。脱敏的方法有截断,屏蔽,掩码,散列和识别转换等常用方法。此外,由于网络流量对数据完整性的要求,动态数据脱敏技术只能在网络流量数据到达地面后才能应用。