跨域数据共享场景下的数据泄露防护分析及解决方法

一、序言

近年来各地政府持续大力推进政务信息共享交换的建设，政府与政府之间数据交换，政府与企业之间的数据开放正在成为各组织机关开展高效行动的一项日益重要的能力，新冠疫情暴发期间，各地健康宝数据共享就是这项能力的有效证明。然而，在跨域数据共享过程中，敏感数据的机密性受到极大挑战，如何防范敏感数据泄露，保护关键数据资产成为各组织机关重要课题。

二、跨域数据共享面临的安全风险

随着等级保护制度的实施，通信基础设施安全已经能够得到保障，跨域数据共享安全焦点逐渐转向业务深水区。由于各组织的职责不同，同一类数据在不同单位的安全要求级别存在较大差异，某些权属部门采集的数据范围大、处理权限高，而某些相关部门所需的数据范围小，处理权限低，由此形成了高安全域和低安全域差别。

根据美国安全桔皮书中的BLP（Bell-Lapudula）访问控制模型的定义，当数据由高安全域流向低安全域，即高密低流，则会导致数据机密性风险。在实际敏感数据防护监管体系中，跨域数据共享可能面临数据自身的机密性风险和防护监管难题，主要包括:1、敏感数据暴露由于技术、管理、人员等多种因素的影响，跨域数据共享最可能面临的风险是高安全域向低安全域开放其无权访问的数据，即低安全域明明只需要数据A，但是在高安全域中，A、B数据是同一类数据的不同属性，高安全域在数据共享时未加以处理和区分，从而导致数据B泄露到了低安全域。

2、主体责任不清

在数据共享过程中，原始的数据拥有者需承担数据的真实性、准确性、机密性责任，并需为数据安全持续进行组织、人员、技术、资金投入。但是当数据获得者通过数据共享拥有了一份新的数据拷贝，就成为了新的数据拥有者，随着数据共享的范围增加，数据安全的主体责任就可能随着共享范围的增加，被新的数据拥有者所忽略。

3、防护强度降级

根据《DSMM数据安全成熟度模型》的定义，组织的数据安全能力成熟度分为五个级别，代表了组织从随机、无序、无法复制的能力,到可度量、可预测、不断改进和优化的不同级别能力模型。不同组织的成熟度级别不同，对数据安全防护的强度就存在差异，根据木桶原理，数据的整体安全防护能力取决于防护能力最差的那块短板。

4、追踪溯源困难

指望目前的安全防护措施能够百分之百的防止敏感数据泄露是不现实的，一旦发生数据泄露事件，则需组织具备能力，回溯泄露源头，追踪泄露路径，实施调查取证。在数据共享之后，所有安全域内的数据访问日志的完整性受到挑战，任意安全域内的日志遭到破坏，都会给追踪溯源造成不利影响。

三、跨域数据泄露防护技术措施分析

跨域数据共享的出入口是敏感数据统一管控、集中管控的关键环节，在数据共享出入口做好敏感数据泄露防护措施，可以大大提升防护效率，减少对正常业务的干扰。通常数据共享出入口包括连接互联网的网关设备或连接其他网络的数据交换平台、单向传输设备，如网闸、单导等。数据交换平台或单导服务器支持嵌入复杂的逻辑功能，可以直接增加数据泄露防护措施，而网关、网闸等设备功能单一，只能串接独立的数据网关设备提供数据泄露防护措施。数据共享出入口处的数据可能是文件或者是网络流量，针对这两种类型数据，需要部署的数据泄露防护措施包括：

1.智能数据分类分级如今敏感数据识别仍以人工标识、关键字、正则表达式或者文件指纹等方法为主，这些方法能够保证敏感数据识别的精确性，但是对于网络内的海量文件和网络流量，则显得效率过低，漏报率过高。只有利用机器学习等人工智能技术，综合有监督和无监督的学习过程，通过大量数据训练模型，覆盖所有结构化和非结构化的数据，才能控制数据共享出入口的所有文件和流量。

2.跨域数据加密解密数据共享后可读范围的控制是数据主体责任的关键要素，只有数据拥有者才可控制数据的传播范围。最适合控制敏感数据传播的技术莫过于数据加解密技术，数据拥有者向授权的数据获得者发放密钥，当敏感数据从数据共享出入口离开时用密钥加密，此时只有获得了密钥的数据获得者才能解密数据。需要注意的是，由于网络流量无法存储，所以加解密技术只在网络流量数据落地后适用。

3.行为审计分析数据在业务网络内部正常流转时泄露可能性非常低，只有当数据从共享出入口离开网络时，数据泄露可能性才陡然升高，因此在数据共享出入口记录数据流出日志，保留数据发送者、发送时间、目标接收人、敏感数据类别等关键信息，进行用户行为审计，识别异常行为是组织必须采取的检测措施。

4.动态数据脱敏在数据共享过程中，某些数据在共享前后要保持其部分可识别性和唯一性，此时可采用数据脱敏技术进行敏感数据保护。在数据共享出入口处，数据处于流动状态，因此适合动态数据脱敏技术，在数据传递的过程中进行脱敏。脱敏的方法支持截断、屏蔽、掩码、哈希和标识转换等常见方法。另外，由于网络流量需校验数据完整性，所以动态数据脱敏技术只能在网络流量数据落地后适用。

四、解决方法（天锐DLP）

企业数据纷繁复杂，无法面面俱到进行人工审查，带来了安全管理的潜在隐患。天锐绿盾DLP信息保护帮助企业对数据资产进行归类、标签、保护、增强数据的可控度。通过配置数据敏感策略，可对数据进行智能分析并归类，通过标注标签，对敏感数据文档进行加密、加水印等操作。作为企业关键数据的贴身保镖，天锐绿盾DLP不仅仅可以对企业内的数据进行安全可靠的静态保护，还可以进一步对数据离开企业环境的过程进行全链条的有效防护，例如禁止敏感数据的编辑转发、复制截屏打印、文档追踪等操作。无论是云端、本地还是储存设备的敏感数据都能实时监测分享的路径及访问的记录，发现异常访问即时撤销访问权限，避免数据泄露。