安全运维应该了解的数据防泄漏常识（2017-07-21）

信息爆炸的时代，几乎每个公司——尤其是互联网公司——积累的数据正在像滚雪球一般越积越多。

数据越来越多当然是好事，但也给企业带来了不小的麻烦。数据在企业内部的存储和企业之间的流通环境日趋复杂，无论是在数据库、应用中间件、用户终端、业务系统和网络设备上，还是数据的产生、存储、使用、修改、流转和销毁等各个环节，数据泄漏的可能性随时随处都会发生。

数据泄露给企业造成的麻烦不必再渲染，经历过这种“灾难”的都懂。亡羊补牢犹未为晚，我们不妨从管理和技术等角度出发探讨一下，如何减轻数据泄露对企业的风险。

数据泄露的“灾区”在哪里？

先说结论，数据泄露的两个重点“灾区”分别是非结构化的数据和企业的文件信息交换平台。

有过数据库管理经验的小伙伴应该都有这种感受：如今各种安防产品对各种后台数据库里的数据可谓是“严防死守”，而往往容易造成敏感数据泄漏的形式却是那些非结构化的内容——通常都是那些Excel、PPT里的数据，以及PDF和剪贴板的图片文件等。

另一个数据泄露的“灾区”是企业的文件与信息的交换平台，如大家日常频繁使用的邮件客户端(如Outlook)和内网协作平台(如SharePoint)。当前，随着云平台的使用，各种企业混合云以及公网上的共享云平台(如百度云等)都成为了数据被转移出去的“跳板”。

从管理上杜绝泄漏的发生

在生成文档和数据的时候，应按照最小权限的原则设定好各类属性的默认值，如attribute默认为私有(private)而非公开(public)，可访问(包括读/写/改/删等权限)的用户群仅限于创建者所在的部门和组。同时在属主(属主不一定是创建者，也可以是日常使用人)的岗位发生变化时(如离职或调岗)，要做好接任属主的接管工作。

规范文件、文件夹和数据的命名规则(Naming convention)，以便能够根据其表征名称迅速定位或追查。

对于那些并无属主或是项目已结束的文档，本地管理员应及时联系业务部门做好集中和离线转移的工作。

对于各种非常规的共享方式，如按需添加的服务器或主机文件夹的临时共享，应予以集中化的记录。这是在源头上实施的用户行为和习惯控制，也是数据泄露防护的最佳实践之一。

培养用户在处理敏感数据时的遮挡意识和与客户交换文件时的加密习惯。

从架构上清除泄漏的坑点

1

用户终端必须使用安全的代理服务器进行上网，以预防恶意软件、钓鱼网站、域名劫持和其他类似的攻击。

2

入站的电子邮件里如果包含有外部的链接，应通过反钓鱼技术的链接重写方式发送到管控中心进行健康检查，从而抵御潜在的垃圾邮件和钓鱼攻击。

3

用户终端除了本地的硬盘加密之外，还要通过组策略(Group Policy)禁止用户擅自修改系统设置和安装软件。

4

通过在用户终端上安装主机测的DLP agent，过滤和监控带有敏感字段的文档、数据(如源代码)、邮件以及剪贴板上的内容，防止用户通过网络或移动设备拷贝的方式转移到不安全的系统、设备甚至是公网的网盘上。

5

在内网中部署网络级的DLP，以旁路式分析流量，从而识别出im(即时通讯)、http、ftp、telnet和smtp等协议中正文及附件内容。

6

对于如今许多企业都应用到的云服务，可以购置和部署最新类型的DLP，通过与云访问安全代理 (CASB)的集成，持续监控各种云应用程序中敏感数据内容的添加、修改和删除。

7

为那些必须连到内网进行协作的上下游合作伙伴，提供非本域的账号和受限的VPN远程连接方式。同时，非本域的账号登录到企业的无线网络时，应限制其仅能向外访问到互联网，这种单一的访问路径与权限。

重视日志 有备无患

一切操作包括攻击者的入侵，都会留下痕迹，如何利用日志文件的信息，从中提炼出更有效的安全防护策略，是一个很有价值的事情。

不过日志种类繁多，数据量也是极大，面对汗牛充栋的“大数据”，如何从中识别出有用的信息呢？

这里抛砖引玉，提出几个特征关键点作为参考：

1

新用户或组的添加，对用户权限的改变，身份验证和授权的相关活动。

2

文件及文件夹属性、注册表键值以及计划任务(自启动项)的更改。

3

系统和软件补丁的安装和更新，新软件的安装、升级与卸载。

4

数据库对象权限的修改。

5

达到资源门限值(比如CPU、内存、网络连接、网络带宽、磁盘空间等)所导致的应用程序

6

进程的中止、异常或报错，网络服务(如DHCP和DNS)的失败，以及硬件故障等。

7

FW/IDS/IPS/AV(防病毒系统)的规则更改和端口调整。

在抽丝剥茧得到了上述筛选过的分类记录之后，同样可以进一步将“理想”照进“现实”，着手对如下的日志元素进行分析

1

操作的类型，包括各种授权、创建、读取、更新、删除和网络连接的接受。

2

操作的属性，包括流程或事务的名称或唯一标识号。

3

操作主体的特征，包括用户名、计算机名、IP地址和MAC地址。

4

操作对象的特征，包括访问的文件名、访问数据库的查询/定位参数和记录的唯一标识号、用户名、计算机名、IP地址和MAC地址。

5

当操作涉及到更新数据元素时，其执行前、后的不同数值。

6

操作执行的日期和时间，包括相对应的时区信息。

7

根据访问控制机制，被拒绝的相关描述和原因/错误代码。

当然，“君子性非异也，善假于物也”，如果有趁手的日志管理和分析工具，会让工作事半功倍，善用安全狗云安全平台日志分析功能模块的小伙伴会轻松不少~

安全狗的云安全平台通过部署在云主机上的客户端自动采集主机系统日志和web访问日志，并对海量的日志进行大数据分析，根据设定的设定异常行为规则，发现系统威胁事件和网络攻击行为。同时还支持手动导入Apache、IIS、Weblogic、rsyslog和系统日志等日志文件。

通过自动收集汇总日志，安全狗云安全平台可以进行智能化解析，减轻运维管理中日志查询搜索的巨大工作量。全面系统化日志分析，满足日常运维需要，从安全角度分析海量日志数据，深层次挖掘攻击事件。

技术在不断更迭和演进，如何保障企业信息安全也应该与时俱进，掌握全面的思路和理念当然有助于我们增强安全防护的水准，善用合理的工具和解决方案更是安全防护能力的重要组成部分。安全狗也会关注企业信息安全的痛点，持续推出更好用更有效的安全产品和服务！