进入信息化时代以后,如何防止企业内部机密信息的泄露已经成为信息安全领域非常重要的一个课题。企业机密信息的泄露会对企业造成难以估量的影响,很多防止企业机密信息泄露的解决方案被提出。传统的防火墙技术,主要针对的是协议端口的控制,应用代理防火墙,也着重于对访问资源的控制,并且一般都是对明文数据内容的检查,这些技术都或多或少存在敏感数据泄露的风险。 针对企业内部防止机密信息泄露的需求,重点分析和研究了几种常用的通过网络外传数据的应用协议HTTP(HyperText Transfer Protocol:超文本传输协议)、SMTP(Simple Mail Transfer Protocol:简单邮件传输协议)、POP3(Post Office Protocol-Version3:邮件协议版本3)、FTP(File Transfer Protocol:文件传输协议),对这些协议进行应用层代理转发;对传输的数据内容进行过滤检查,阻止敏感信息的泄露;对外传的数据文档类型自动识别,防止外泄者通过修改文档后缀名的方式来绕过检查;通过对模式匹配算法BM(Boyer-Moore)的优化和改进,以及多核、多进程的并发处理,进一步提高过滤的性能;由于当前很多网络应用都采用SSL(Secure Sockets Layer:安全套接层)通道进行机密性和完整性的保护,还设计了一种类似中间人攻击的SSL代理技术,能对SSL加密的Web数据和邮件内容进行过滤。 对基于网关代理的数据防泄漏系统进行功能测试,分别测试了HTTP(S),SMTP(S),POP3(S),FTP(S)协议下信息的过滤与阻止。通过实验结果验证系统能成功地识别txt,html,word,excel,ppt,pdf等多种文档数据,并且能在SSL环境下对加密信息进行过滤,达到防止信息泄露的目的。最后的性能测试结果也标明,系统能够满足业务的性能需求。
展开▼
