案例丨办公环境全流程数据安全管理方案——“零信任”“微内核”客户端解决方案
文 / 中国光大银行信息科技部 徐林亮
针对近年来数据安全泄漏事件频发的问题,商业银行严格遵照监管机构的要求,加强全行的安全培训,加强全行的安全管理,建立商业银行自己全流程的数据安全管理制度,建立全流程的数据管理规范,建立一体化的全流程数据安全管理系统。
全流程的数据安全管理系统主要由客户端和管理管制台组成,这两部分是一个有机整体。在管理管制台上系统管理人员可以按照办公、开发、测试、合作方等要求设置不同的安全级别,设置级别的维度可以是文件的访问权限、文件的读写权限、程序的打开权限、网络的访问权限、应用程序的使用权限等。商业银行可以把客户端生成的日志数据提供给已有的大数据分析平台或态势感知平台进行数据分析和审计。客户端需要具备“零信任”强认证、“微内核”、可信计算和数据安全管理等功能。
“零信任”强认证
“零信任”数据安全架构采用新一代基于“微内核”和可信计算的沙盒技术,被操作系统原生支持,是现代操作系统发展的主流技术方向,具备安全性好,兼容性佳,性能开销小的优点。
“零信任”数据安全架构采用新一代内核级网络加密链路技术,与应用层代理相结合能够细粒度管控从 3 层到 7 层的网络访问,与传统互联网安全协议相比具有高吞吐、低时延的优点。基于此技术的“零信任”数据安全架构,能够对超大规模企业网络进行高效支持与全面覆盖。
“零信任”数据安全架构将新一代“零信任”网络技术与沙盒技术相结合,形成了企业从网络到终端的全面软件定义安全架构。同时解决了企业内部数据的静态访问控制,与数据流动的动态安全问题。这两种技术的结合可以在网络和终端上划分出软件定义的企业边界,数据可以在边界内自由流动,但仅能在企业边界内流转,可以使得数据得到有效的保护和合法利用,并具备持续处于安全状态的能力,能保证在数据的收集、存储、加工、使用、提供、交易和公开等过程中数据的安全(见下图)。
图 零信任数据安全解决方案示意图
通俗来讲“零信任”技术是基于策略创建安全边界的技术,将应用服务与不安全的网络隔离开,在授权访问前对用户和设备进行身份验证。未经授权的用户和设备无法连接到受保护的资源。
“零信任”是对登录的所有用户和登录用户的操作不信任,对登录的用户进行身份验证,并对登录用户的操作进行认证。客户端的登录权限严格进行身份识别,采集的登录信息中除了用户和密码外,登录的计算机信息、IP 地址等信息都要采集,以便对访问的身份进行事后审计。客户端采用严格的权限控制,可以控制访问的应用程序列表、使用文件的列表等。
“微内核”
传统办公环境客户数据安全管理客户端是通过应用注入和挂钩方案实现的软件技术,在办公终端上将终端数据与应用放在一个隔离的区域内,在这个受限的区域内使用数据,起到数据安全保护的作用。这种传统的客户端安全技术不是操作系统原生支持的技术,受操作系统影响较大,在兼容性上即使下很大的功夫,用户依然会觉得很不好用,另一方面资源消耗非常大,无法在客户端内打开较大的文件。
传统数据安全客户端技术是在办公环境直接占用一块若干大小的加密存储空间,用户看不到本地被切割的存储空间,使用文件的操作都在客户端进行。这种方案有几个疑难问题很难解决:一是客户端内与客户端外的应用程序很难做到无差别使用;二是不方便扩容本地切出的受控磁盘空间;三是客户端内外的敏感数据文件很难进行统一管理。这种不被操作系统原生支持的传统客户端方案其实是很笨重的,随着科技的发展这种技术逐渐会被替代。
“微内核”客户端是轻量级的虚拟机,可以很好地解决传统客户端种种不兼容的问题。在“微内核”客户端内可以远程访问数据并安全地使用数据,在一个客户端内可以有多个安全实例,每个实例的策略不相同,数据可以从低密级实例向高密级实例流动,也可以从高密级向低密级流动,整个流程操作留痕。安全实例分为办公、研发、生产,也可根据业务和职能增加分级,各级别客户端内数据仅能在各自安全空间边界内使用、存储、流转,各级别数据使用过程全流程监控,数据可按规则进行备份与同步,并提按版本管理。
可信计算
可信计算(TC)是一项由可信计算组(简称 TCPA)推动和开发的技术,可信计算的核心目标是保证系统和应用的完整性,从而确定系统或软件运行在设计目标期望的可信状态。
可信计算系统是能够提供系统的可靠性、完整性、可用性、信息和行为安全性的计算机系统。系统的可靠性和安全性是现阶段可信计算最主要的两个属性,最新的等保 2.0 技术要求中也引入了可信计算的相关要求。
就个人办公电脑而言,通俗来讲,可信就是在办公电脑启动时检测 BIOS 和操作系统是否完整、正确,保障在使用办公电脑时硬件配置和操作系统没有被其他人、其他应用程序或计算机病毒篡改过,所有系统的安全防护体系都不会被绕过。在启动后,对所有的应用程序和系统文件,如办公软件、开发工具、视频软件等应用可进行实时管控,若发现应用被篡改立即采取止损措施。
微客户端内部采用可信计算保证数据安全,“微内核”客户端内部定义允许用户所有的操作列表,所有用户必须在可以允许的操作范围内进行工作,一律不允许进行指定范围之外的操作,保证数据的一致性和完整性,保证数据的绝对安全。
数据安全管理
客户端除了具备“零信任”强认证、“微内核”和可信计算能力等功能之外还必须具备文件的数据安全管理功能,主要包括文档备份恢复管理、水印管理、文件外发受控管理和系统接入管理等功能。
1. 文档备份恢复管理。在管理控制台上策略管理中设置具体哪类文件需要进行全流程的安全管理,受限于存储空间的成本,结合业务场景并不是每个文件都需要进行全流程的安全管理;在策略设置时可以设定具体的文件存储策略,不能对所有文件一视同仁,实现文档的差异化管理。
客户端中文档备份恢复管理模块可以进行文档全流程各个版本的恢复和获取,防止用户误删除;同时在文件的存储上可以防止勒索病毒的感染,文件在误删除之后可以恢复到任意以前的版本。
2. 水印管理。在整个数据安全流程中,水印起到至关重要的警示作用。水印按照作用可以分为可见和不可见水印。可见水印有文档水印、屏幕水印、网页水印、图片水印、打印水印,不可见水印有涂层水印和矢量水印。涂层水印的主要作用是防止拍照,使拍出的照片不可视;矢量水印主要用来进行文档的追踪和溯源。
新的系统在建设时可以采用以上水印技术,来保证系统的可用,在文件追踪和事件追责等方面发挥重要的作用。
3. 文件外发受控管理。文件外发受控是整个数据安全行业非常难以管理的问题。为了控制发出去的文件还是处于受控制状态,需要在客户端开发专门的阅读器插件,在文件外发出去之前先设置可以打印的次数、使用时限,在数据文件外发之前还需要走专门的审批流程。数据的使用者需要安装专用的阅读器插件来打开经过处理的数据文件,使用完毕后会自动变为不可用状态或自动销毁状态。这种数据外发的手段可以保证数据的绝对安全。
审批权限可以按照多种维度设置,根据不同人的使用情况而设定,可以事后审计或事前审批,灵活机动不再拘泥于一种形式。在技术实现形式上可以对接已有的工单系统或手机办公系统,实现线上审批功能。
4. 系统接入管理。在“微内核”客户端数据安全解决方案中可以开放接入的接口,接收业务系统传来的文件,并将消息推送给指定的使用人员。指定人员在接收到消息之后可以从服务器上下载文件到指定的安全实例中,在下载完成后根据文档策略判断服务器端是否需要保留。如无需保留,下载完毕后服务器端的文件会自动删除;如果要需要保留,会全流程跟踪文件的流转情况并记录流转状态。
安全管理的核心是数据安全管理,无论是网络安全,还是客户端安全,其核心都是数据安全。非法分子想获取商业银行的数据,然后使用获取的商业银行客户数据来获取利益。目前来看,“零信任”“微内核”客户端在未来会成为数据安全的主流客户端。
(点击查看精彩内容)
关于仿冒我刊收费的声明
我刊自创刊以来,从未向投稿人收取过任何费用。任何以刊发文章为名向投稿人收取费用的行为,均属于对投稿人的欺诈行为。
我刊官网地址为 www.fcmag.com.cn。
我刊投稿邮箱为 fcmag@fcmag.com.cn。
对于仿冒我刊网站、网页的违法行为,我社将追究其侵权责任,以维护我社和投稿人的合法权益。仿冒网站、网页举报电话:010-88232443
《金融电子化》新媒体部:主任 / 邝源 编辑 / 潘婧 傅甜甜