2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。
与已实施的网络安全法不同,数据安全法更强调了数据本身的安全。随着数字经济的发展,数据在社会发展、日常生活中扮演了重要角色。针对企业,网络安全是必要的,但数据本身的安全也是重中之重。关键数据的泄露可能会导致罚款、声誉影响、核心竞争力下降,甚至是导致企业破产。
相对于常见的威胁,人往往是最薄弱的环节。出于报复、商业间谍、社会工程攻击、受到胁迫等各种意图,甚至是人员疏忽导致数据泄露。
内部人员常见的泄密方式,除了常用的U盘拷贝、网络发送、邮件泄密等途径,还包括但不限于网线直连、虚拟机中转、WinPE模式启动系统、网络中转、数据变形、隐写术、外设中转等高阶泄密方式。
常见的防护措施包括机箱加固,封死USB口、串口,纯内网办公环境,部署DLP数据防丢失系统等物理、行政和技术方面的方式。这些方式在一定程度上可以拦截普通用户的数据泄露,但技术水平高的用户往往掌握企业重要数据。
在信息安全治理的过程中,一直强调最小特权原则和知其所需、知其必须原则,给予用户在使用关键资源时最小的特权,保障其能够完成工作即可,防止用户访问到其不该知晓的信息,从根本上防止机密数据扩散。
最小特权的最佳示例是沙箱(SandBox,又称沙盒),沙盒是一种安全机制,为运行中的程序提供隔离环境,通常是作为对来源不明、或者是破坏力不明的恶意程序的实验观察工具。沙盒通常严格控制其中的程序所能访问的资源,比如,沙盒可以提供用后即回收的磁盘及内存空间。在沙盒中,网络访问、对真实系统的访问、对输入设备的读取通常被禁止或是严格限制,防止沙盒内的进程数据逃逸到外部。
那能否套用沙盒的概念,将关键的数据、进程放到一个密封隔离的环境内,这些数据、进程可以在隔离环境内使用,但无法将数据从隔离环境内部拿出。
调研发现,现在市场上大多终端防泄密都是通过文档加密的方式,在有软件认证的环境内,文档可以解密使用,文档在软件认证环境外,打开是乱码,该形式可在一定程度上防止普通水平的用户将数据泄露。但高水平用户可以通过非常规手段将数据拷贝传输出来。
该类型软件不符合沙盒的概念,又发现一款SDC沙盒软件,采用沙盒的理念,接管整个系统,对系统做一个环境加密。在环境内,系统、进程运行、数据使用都是正常操作,不受影响。但是,如果想要将数据从电脑上拿出来,操作是失败的,直接执行拦截。仔细研究之后,发现该软件有多个设计巧妙之处。
巧思
首先,软件安装之后,会对系统的磁盘执行加密,这样就防止硬件丢失后,磁盘数据被扫描恢复。磁盘加密之后,只有在正常进系统之后,沙盒软件会接管系统,这些加密磁盘的数据能正常读写,而且对于使用者来说,这个加密是无感的,只有在PE模式、磁盘挂载到其他系统时,用户才会发现,磁盘是打不开,数据是读不到的。
其次,软件安装之后,会对网络进行接管,正常情况下,是无法访问网络,直接切断通过网络传输的形式将数据泄露,但是,它能与公司内其他安装有该软件的电脑进行通信。还可以通过软件的设置,允许浏览器、即时通讯工具上网,或者是开发软件上午,具有很大的灵活性。
再次,软件安装之后,接管外设驱动,U盘设备数据只可往电脑内部拷贝,不可将机密数据拷贝到U盘内,避免U盘的使用导致数据泄露。串口烧录也有专门的驱动控制,可对有烧录开发需求的企业提供认证、过滤、备份、审计功能。
最后,使用此类软件时,都考虑到软件与自身网络环境、应用环境的兼容性,SDC沙盒软件从系统底层出发,兼容性好。
综合来讲,SDC沙盒软件是一款能够实现针对内部员工的数据防泄密需求的软件,且能防住高水平泄密手段,且完全的自主研发,也有众多国内大企业在使用。