智能制造网>产品库>智能控制>电气连接>配电母线>>跨域数据共享场景下的数据泄露防护分析及解决方法

跨域数据共享场景下的数据泄露防护分析及解决方法

参考价	面议

参考价

面议

具体成交价以合同协议为准

公司名称青岛亚讯信息技术有限公司
品牌
型号
所在地
厂商性质其他
更新时间2022/2/17 19:04:48
访问次数283

产品标签:

在线询价收藏产品进入展商展台

联系我们时请说明是智能制造网上看到的信息，谢谢!

索取相关资料

公司介绍主营产品

青岛亚讯信息技术有限公司是专业从事计算机软件开发销售、咨询顾问和技术服务的，专注于为企事业单位提供国际上的图纸文档管理和信息安全管理整体解决方案，并通过专业化、定制化的技术服务，帮助企业规范和提升管理水平，提高创新能力和核心竞争力。亚讯致力于为企业提供*的、高性价比的管理软件和系统解决方案，在图纸文档管理和产品数据管理领域，主要集中于CAD/EDM/PDM/PLM 等软件的市场推广、咨询顾问、技术服务，是多家国内外计算机辅助设计软件、图纸管理软件和产品生命周期管理系统的核心代理商和服务中心；在网络和信息安全领域，公司业务涉及图纸加密、文档加密、内网安全、终端安全、行为审计、企业网盘、文档管理、数据备份、数据防泄漏等，这一整套的信息安全和云文档管理解决方案可解决企事业单位大数据安全与文档管理难题，构建安全、高效、规范的信息化办公环境。亚讯旗下的系列产品及解决方案已成功应用于数百万终端，在机械制造、汽车汽配、电子电气、轨道交通、政府、医疗卫生、金融证券、建筑设计、轻工纺织、教育培训等几十个领域得到广泛应用，占据的市场地位。亚讯始终坚持“服务创造价值”的经营理念，把专业服务作为自己的立业之本，结合多年来对客户需求的把握，公司建立了一套以客户为中心的完整的产品体系和服务体系，力求为客户量身定制适用的IT解决方案，提供灵活、多样、有效的支持与服务，为企业提供一站式的文档管理、图纸管理、产品数据管理及内网安全管理解决方案，矢志于成为企业在信息化建设过程中为之提供*的软件产品和高附加值的咨询服务的合作伙伴和供应商。亚讯会不断进取，不断超越，期望能成为您诚挚的战略合作伙伴，愿以的产品、最完善的服务，与您真诚合作，携手共进，勇攀高峰！

展开显示更多内容

监控软件

产品简介在线询价

一、序言近年来各地政府持续大力推进政务信息共享交换的建设，政府与政府之间数据交换，政府与企业之间的数据开放正在成为各组织机关开展高效行动的一项日益重要的能力，疫情暴发期间，各地健康宝数据共享就是这项能力的有效证明

跨域数据共享场景下的数据泄露防护分析及解决方法产品信息

一、序言

近年来各地政府持续大力推进政务信息共享交换的建设，政府与政府之间数据交换，政府与企业之间的数据开放正在成为各组织机关开展高效行动的一项日益重要的能力，疫情暴发期间，各地健康宝数据共享就是这项能力的有效证明。然而，在跨域数据共享过程中，敏感数据的机密性受到极大挑战，如何防范，保护关键数据资产成为各组织机关重要课题。

二、跨域数据共享面临的安全风险

随着等级保护制度的实施，通信基础设施安全已经能够得到保障，跨域数据共享安全焦点逐渐转向业务深水区。由于各组织的职责不同，同一类数据在不同单位的安全要求级别存在较大差异，某些权属部门采集的数据范围大、处理权限高，而某些相关部门所需的数据范围小、处理权限低，由此形成了高安全域和低安全域差别。

根据美国安全桔皮书中的BLP（Bell-Lapudula）访问控制模型的定义，当数据由高安全域流向低安全域，即高密低流，则会导致数据机密性风险。在实际敏感数据防护监管体系中，跨域数据共享可能面临数据自身的机密性风险和防护监管难题，主要包括：

1、敏感数据暴露

由于技术、管理、人员等多种因素的影响，跨域数据共享最可能面临的风险是高安全域向低安全域开放其无权访问的数据，即低安全域明明只需要数据A，但是在高安全域中，A、B数据是同一类数据的不同属性，高安全域在数据共享时未加以处理和区分，从而导致数据B泄露到了低安全域。

2、主体责任不清

在数据共享过程中，原始的数据拥有者需承担数据的真实性、准确性、机密性责任，并需为数据安全持续进行组织、人员、技术、资金投入。但是当数据获得者通过数据共享拥有了一份新的数据拷贝，就成为了新的数据拥有者，随着数据共享的范围增加，数据安全的主体责任就可能随着共享范围的增加，被新的数据拥有者所忽略。

3、防护强度降级

根据《DSMM数据安全成熟度模型》的定义，组织的数据安力成熟度分为五个级别，代表了组织从随机、无序、无法复制的能力，到可度量、可预测、不断改进和优化的不同级别能力模型。不同组织的成熟度级别不同，对数据安全防护的强度就存在差异，根据木桶原理，数据的整体安全防护能力取决于防护能力最差的那块短板。

4、追踪溯源困难

指望目前的安全防护措施能够的防止敏感数据泄露是不现实的，一旦发生数据泄露事件，则需组织具备能力，回溯泄露源头，追踪泄露路径，实施调查取证。在数据共享之后，所有安全域内的数据访问日志的完整性受到挑战，任意安全域内的日志遭到破坏，都会给追踪溯源造成不利影响。

三、跨域数据泄露防护技术措施分析

跨域数据共享的出入口是敏感数据统一管控、集中管控的关键环节，在数据共享出入口做好敏感数据泄露防护措施，可以大大提升防护效率，减少对正常业务的干扰。通常数据共享出入口包括连接互联网的网关设备或连接其他网络的数据交换平台、单向传输设备，如网闸、单导等。数据交换平台或单导服务器支持嵌入复杂的逻辑功能，可以直接增加数据泄露防护措施，而网关、网闸等设备功能单一，只能串接独立的数据网关设备提供数据泄露防护措施。数据共享出入口处的数据可能是文件或者是网络流量，针对这两种类型数据，需要部署的数据泄露防护措施包括：

1、智能数据分类分级

如今敏感数据识别仍以人工标识、关键字、正则表达式或者文件指纹等方法为主，这些方法能够保证敏感数据识别的精确性，但是对于网络内的海量文件和网络流量，则显得效率过低，漏报率过高。只有利用机器学习等人工智能技术，综合有监督和无监督的学习过程，通过大量数据训练模型，覆盖所有结构化和非结构化的数据，才能控制数据共享出入口的所有文件和流量。

2、跨域数据加密解密

数据共享后可读范围的控制是数据主体责任的关键要素，只有数据拥有者才可控制数据的传播范围。控制敏感数据传播的技术莫过于数据加解密技术，数据拥有者向的数据获得者发放密钥，当敏感数据从数据共享出入口离开时用密钥加密，此时只有获得了密钥的数据获得者才能解密数据。需要注意的是，由于网络流量无法存储，所以加解密技术只在网络流量数据落地后适用。

3、行为审计分析

数据在业务网络内部正常流转时泄露可能性非常低，只有当数据从共享出入口离开网络时，数据泄露可能性才陡然升高，因此在数据共享出入口记录数据流出日志，保留数据发送者、发送时间、目标接收人、敏感数据类别等关键信息，进行用户行为审计，识别异常行为是组织必须采取的检测措施。

4、动态数据脱敏

在数据共享过程中，某些数据在共享前后要保持其部分可识别性和性，此时可采用数据脱敏技术进行敏感数据保护。在数据共享出入口处，数据处于流动状态，因此适合动态数据脱敏技术，在数据传递的过程中进行脱敏。脱敏的方法支持截断、屏蔽、掩码、哈希和标识转换等常见方法。另外，由于网络流量需校验数据完整性，所以动态数据脱敏技术只能在网络流量数据落地后适用。

四、DLP解决方法

机关企业数据纷繁复杂，无法面面俱到进行人工审查，带来了安全管理的潜在隐患。亚讯DLP信息保护系统帮助机关企业对数据资产进行归类、标签、保护，增强数据的可控度。通过配置数据敏感策略，可对数据进行智能分析并归类；通过标注标签，对敏感数据文档进行加密、加水印等操作。作为机关企业关键数据的贴身保镖，不仅仅可以对机关企业内的数据进行安全可靠的静态保护，还可以进一步对数据离开机关企业环境的过程进行全链条的有效防护，例如禁止敏感数据的编辑转发、复制截屏打印、文档追踪等操作。无论是云端、本地还是储存设备的敏感数据都能实时监测分享的路径及访问的记录，发现异常访问即时撤销访问权限，避免数据泄露。

关键词：数据网关