- 对本书的赞誉
- 序一
- 序二
- 序三
- 前言
- 第一部分 安全架构
- 第 1 章 企业信息安全建设简介
- 第 2 章 金融行业的信息安全
- 第 3 章 安全规划
- 第 4 章 内控合规管理
- 第 5 章 安全团队建设
- 第 6 章 安全培训
- 第 7 章 外包安全管理
- 第 8 章 安全考核
- 第 9 章 安全认证
- 第 10 章 安全预算、总结与汇报
- 第二部分 安全技术实战
- 第 11 章 互联网应用安全
- 第 12 章 移动应用安全
- 第 13 章 企业内网安全
- 第 14 章 数据安全
- 第 15 章 业务安全
- 第 16 章 邮件安全
- 第 17 章 活动目录安全
- 第 18 章 安全热点解决方案
- 第 19 章 安全检测
- 第 20 章 安全运营
- 第 21 章 安全运营中心
- 第 22 章 安全资产管理和矩阵式监控
- 第 23 章 应急响应
- 第 24 章 安全趋势和安全从业者的未来
- 附录
14.3 网络数据安全
企业员工上网、邮件外发场景都会存在数据泄露的可能,有些企业对办公和业务网做了逻辑隔离,但数据还是有交互的需求,这里都需要考虑数据安全问题。笔者把它分为三类:网络 DLP 类、上网代理类、邮件代理类。网络 DLP 类主要是基于旁路镜像分析流量是否有敏感内容传输;后两种主要是串在网络访问路径上,从而可以起到拦截的效果,下面分别阐述。
1.网络 DLP 类
此类方案中,笔者以 Symantec DLP 的 Network Monitor 为例进行介绍,图 14-7 是 Symantec DLP 关于 Network Monitor 功能的示意图。
图 14-7 Symantec Network Monitor 功能
首先,管理员通过 Enforce 界面对各种策略、服务器、角色、用户进行统一管理,Network Monitor Server 只是其中一种类型的服务器;其次,通过在交换机上做 Span 或者使用 TAP 交换网络,将流量送到 Monitor 服务器,在 Enforce 上进行相应的配置,如图 14-8 所示。
图 14-8 Symantec Network Monitor 配置
如果对标准版的协议不满意,还可以进行自定义调整,比如,基本的 IP 过滤,针对不同协议的 L7 层过滤,甚至还有一些内容处理的深度设置,图 14-9 是对 SMTP 协议可配置的项。
最后,DLP Monitor 程序从服务端拉取策略,对前面镜像的流量按照其标准或自定义过滤情况进行分析,一旦发现有匹配策略的附件或内容,即产生事件并上报到 Enforce,最终写入数据库供管理员查阅。
此类方案由于不改变现有网络结构,部署起来有先天的优势,所以被广泛使用,企业在使用此方案时,需要注意:
图 14-9 Symantec Network SMTP
·流量缺失监控。引起缺失的原因可能是某次交换机变更,也可能是端口速率变化,还可能是流量过大服务端处理不过来,一定要有相应的手段发现问题根源。
·针对加密流量,如 HTTPS、启用 TLS 加密的 SMTP,或者非标准端口协议,如 HTTP,运行在非 80 端口,都无法监控或者需要单独调整。
·无法进行拦截,只是事后审计。
说实话,从产品理念到技术架构,Symantec DLP 都是非常优秀的,当国内产品普遍处在关键字、正则表达式年代的时候就已经提出了确切数据匹配 EDM、索引文档匹配 IDM、向量机学习 VML 等技术,还有新版引入的 OCR、ICT 等技术,可惜近几年其在国内市场急剧萎缩,售后能力得不到保障,不建议再使用。网络 DLP 的未来趋势是与云访问安全代理(CASB)功能集成,将敏感数据的发现范围进一步扩大到云应用程序,比如 Office 365,需要企业重点关注。
2.上网代理类
为了解决前面无法拦截的问题,可以将设备串行部署在网络上,这样的部署模式还可以在一定程度上解决加密流量问题,比如采用中间人技术对 HTTPS 协议进行加解密。
上面的方案改变了网络结构,引入了可用性风险,所以还有一种方案可选择,特别是很多企业已经有上网代理的情况下,将上网的流量通过 ICAP 协议与 DLP 设备联动,是相对灵活的方案。这里还是以 Symantec Network Prevent for Web 方案为例来说明,如图 14-10 所示。
图 14-10 Symantec Network Prevent for Web
Web 代理服务器充当 ICAP 客户端,配置将请求转发至 Prevent Server 的 ICAP REQMOD 服务,或者将响应转发至 Prevent Server 的 ICAP RESPMOD 服务,而 Prevent Server 上监听 ICAP 服务端口,建议配置白名单进行限制。国内也有厂商支持串行部署、ICAP 模式,不再赘述。
3.邮件代理类
邮件外发场景相对上网场景更加单一,而且可以轻松配置将邮件路由下一跳指到 MTA,所以各家的方案部署模式都差不多,更多的是在这个基础上的一些扩展,比如垃圾邮件拦截、内容过滤、邮件审批、TLS 通道加密、加密外发等。这里以 Websense 的邮件网关方案尤为突出,默认带有 Data Securtiy 功能模块,不需要重新采购许可。
经笔者了解,各家方案基本都是基于 postfix 改造,将邮件内容剥离出来进行反病毒、反垃圾引擎、DLP 引擎检测,并按照后台配置的策略进行相应的动作,包括隔离、拦截、投递、加密等。
有一点必须要指出,Websense 设备后台的管理员密码都掌握在厂家手里,美其名曰“保护公司机密”。如果能接受这一点,那么 Websense 是一个非常不错的产品,只可惜避免不了和 Symantec 面临同样的问题,Websense 被具有军方背景的雷神公司收购后改名为 Forcepoint,其在中国的业务也日渐萎缩,售后也是基本废掉了,不建议再采购。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论