一种基于动态透明隔离防护的企业数据资产保护方法

摘要

本发明公开了一种基于动态透明隔离防护的企业数据资产保护方法，将用户主机群划分为风险主机群和可信主机群，可信主机群安装安全防护终端，能访问到企业核心数据资产；而风险主机群不能访问；可信主机群的主机中，进程划分为风险进程域和可信进程域，风险进程在意图访问敏感数据资产时自动转换为可信进程；可信进程域中，进程运行所依赖的存储资源、本地OS环境等进行了透明隔离防护处理，同时对网络和外设的访问均置于安全管理策略的控制之下，风险进程无法访问透明隔离防护环境的任何数据。本发明使用动态透明隔离防护方法使可信进程和风险进程共存，避免数据泄露，最大程度地运用本地计算资源，降低对网络的依赖，具有很好的适应性和健壮性。

说明书

技术领域

本发明涉及计算机系统安全方法领域，具体是一种基于动态透明隔离防护的企业数据资产保护方法。

背景技术

近年来，随着信息化建设的不断推进，企业信息化程度越来越高，电子化的数据已经成为企业的重要资产，而这些数据资产的安全性、完整性则直接关系到企业的竞争力。因此，数据资产的安全防泄露成为信息安全领域的重要组成部分，也受到越来越多企业的关注。在目前的数据防泄漏方法中，应用得比较多的包括控制类方法、加密类方法、过滤类方法以及集中管控方法等。

控制类方法的核心思想是权限概念的延伸，通过权限的设置对计算机系统的输入和输出进行管理控制，并辅以安全检查和事后审计，从而对关键数据的传输进行控制，防止出现未经授权的数据外泄。但是，由于这类方法通常未对关键数据进行加密存储，而主要关注数据传输的合法性，因此无法解决诸如计算机失窃、磁盘丢失等情况下数据泄露的问题。因此，这种方式出现在较早的安全产品中，目前使用的越来越少。加密类方法的核心方法是采用加密算法将二进制数据转换为密文存储，只有在权限检查通过的前提下才进行解密使用，从而避免数据外泄。具体到加密对象和加密方式，此类方法又可以分为文件级加密、磁盘级加密、硬件级加密和网络级加密等类型。加密类方法能够保证关键数据以密文存储，从而避免存储设备丢失造成的数据失泄密问题，但是对于用户主动性泄露数据的行为无法进行有效防护，因此加密类方法通常与其他方法结合使用来对数据进行保护。过滤类方法的特点是在网关处安装内容过滤设备，对常见网络协议进行分析过滤，管理员通过设置关键词的方式避免敏感内容泄露。但这种方式难以识别特殊的网络协议，同时设备对内容进行分析过滤也对其性能提出了较高的要求。集中管控方法的思想是将企业文档数据集中存储在企业文件服务器上，本地不进行任何物理文件存储，从而避免数据泄露。这种方法能够保证本地不留密，但是对网络带宽要求较高，同时出现故障时影响面过大，容易造成企业信息系统运行长时间中断。

总而言之，目前在企业数据资产防护方面，已有的解决方案要么采用“堵”的思路对敏感信息传输渠道进行管控，没有考虑数据生产和消费端的安全防护，难以做到全面而有效地控制；要么对主机内的进程及其数据进行一视同仁的加密处理，难以做到有的放矢，只对敏感数据和敏感进程进行处理，影响了系统性能，同时难以做到个性化定制；要么采用计算与数据分离的方式将数据集中存储，对网络性能要求较高，改变了用户的操作习惯，同时也增加了安全管理的复杂性。

发明内容

本发明的目的在于提供一种基于动态透明隔离防护的企业数据资产保护方法，可以采用轻量级的方法识别主机访问企业核心数据资产的行为，并采用透明隔离防护运行的方式保护用户数据安全，防止数据资产的遗失，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于动态透明隔离防护的企业数据资产保护方法，步骤如下：

（1）将用户主机群划分为风险主机群和可信主机群，其中可信主机群安装了安全防护终端，可信主机群能够穿透核心数据资产访问网关，进而访问到企业核心数据资产；而风险主机群不能穿透核心数据资产访问网关，只能访问其他网络资源；

（2）在位于可信主机群的主机中，将系统中运行的进程划分为风险进程域和可信进程域；在初始条件下，所有进程均位于风险进程域，进程行为不受控制，但任何访问企业核心数据资产的行为均会被探测到，进而自动将其转换为可信进程，纳入到可信进程域的动态透明隔离防护中；

（3）在可信进程域中，进程运行所依赖的存储资源、本地OS环境、内存资源进行了透明隔离防护处理，进程对外部环境所做的任何修改均在透明隔离防护环境中进行，同时对网络和外设的访问均置于安全管理策略的控制之下，难以主动泄露数据；同时外部的风险进程无法访问透明隔离防护环境的任何数据，避免了基于内外互通的方式泄露企业核心数据资产。

作为本发明进一步的方案，所述步骤（2）中对进程访问企业核心数据资产的行为进行主动探测，具体的方法是：

1）将企业核心数据资产具体化为两种特定的进程：一、指定的软件应用，包括Photoshop与CAD，这些软件所产生的数据被自动识别为企业核心数据资产；二、访问指定网络资源的应用，网络资源包括数据库资源与访问文件服务器；

2）对于1）中的第一类进程，采用进程信息进行匹配，匹配成功后即认为访问了企业核心数据资产，纳入到可信进程域进行管理；

3）对于1）中的第二类进程，采用网络行为进行匹配，匹配成功后即认为访问了企业核心数据资产，纳入到可信进程域进行管理。

与现有技术相比，本发明的有益效果是：本发明将企业终端划分为风险主机群和可信主机群，可信主机内的进程又划分为风险进程域和可信进程域进行管理，在所有的集合中，只有采用透明隔离防护运行的可信进程域能够访问企业核心数据资产，这种简明的安全防护模型大大降低了安全管理的复杂度；本发明所实现的数据防泄漏方法是一种轻量级防护方法，能够在同一个主机范围内同时容纳风险进程和可信进程，能够在风险进程访问外部网络和外设资源的同时，采用透明隔离防护环境使可信进程域能够安全地访问敏感数据资源，而不会造成任何的数据泄密，这种风险进程和可信进程无缝切换的方式可以在最大程度上做到对用户友好，不改变用户的使用习惯；本发明所提出的安全防护方法能够充分利用既有主机资源，同时对网络依赖性低，即使网络出现故障也不会影响业务系统的运行，从而在最大程度上保证的业务运行的一贯性，使系统的适应性和健壮性得到增强。

附图说明

图1是基于动态透明隔离防护的企业核心数据资产保护系统的总体架构图；

图2是立体化智能探测模块依据数据访问行为对主机和进程进行分类的流程图；

图3是可信主机内部风险进程域和可信进程域所访问资源的隔离示意图。

具体实施方式

下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

本发明实施例中，本发明实例中，一种基于动态透明隔离防护的企业数据资产保护方法，步骤如下：

（1）将用户主机群划分为风险主机群和可信主机群，其中可信主机群安装了安全防护终端，能够穿透核心数据资产访问网关，进而访问到企业核心数据资产；而风险主机群则难以穿透，只能访问其他网络资源。

（2）在位于可信主机群的主机中，将系统中运行的进程划分为风险进程域和可信进程域。在初始条件下，所有进程均位于风险进程域，进程行为不受控制，但任何访问企业核心数据资产的行为均会被探测到，进而自动将其转换为可信进程，纳入到可信进程域的动态透明隔离防护中。

其中对进程访问企业核心数据资产的行为进行主动探测，具体的方法是：

1）将企业核心数据资产具体化为两种特定的进程：一、指定的软件应用（如Photoshop、CAD），这些软件所产生的数据被自动识别为企业核心数据资产；二、访问指定网络资源的应用，如访问数据库资源（如OA系统、CRM系统等）、访问文件服务器（如FTP、Samba）等。

2）对于1）中的第一类进程，采用进程信息（包括进程名、文件摘要、厂商等信息）进行匹配，匹配成功后即认为访问了企业核心数据资产，纳入到可信进程域进行管理。

3）对于1）中的第二类进程，采用网络行为（包括网络协议、目标地址、数据包特征等信息）进行匹配，匹配成功后即认为访问了企业核心数据资产，纳入到可信进程域进行管理。

（3）在可信进程域中，进程运行所依赖的存储资源、本地OS环境、内存资源等都进行了透明隔离防护处理，进程对外部环境所做的任何修改均在透明隔离防护环境中进行，同时对网络和外设的访问均置于安全管理策略的控制之下，因而难以主动泄露数据；同时外部风险进程无法访问透明隔离防护环境的任何数据，因而也避免了基于内外互通的方式泄露企业核心数据资产。

在详细描述本发明的具体实施方法前，先描述本发明对于企业核心数据资产进行防护的安全管理模型。请参阅图1，本发明所采用的安全模型将企业终端划分为风险主机群和可信主机群，而可信主机群中主机运行的进程又根据行为的不同划分为可信进程域和风险进程域，其中主机和进程类型的划分由一个立体化智能探测模块进行区分，该探测模块的实施方法在后文中描述。本发明所涉及的安全模型中，各类型的主机和进程对外部资源的访问限制如表1所示，从中可以发现，只有可信主机中的可信进程域才能访问企业核心数据资产。

表1

请参阅图2，本发明依赖一个立体化智能探测模块对主机和进程进行分类，该模块的处理流程如图中所示。从组成来看，该模块由企业核心数据资产访问网关、主机进程探测模块和网络访问行为侦测模块共同组成。在主机进行网络访问时，企业核心数据资产访问网关会判断主机是否安装了智能防护终端，如果尚未安装，则纳入风险主机群管理，此时主机无法访问敏感数据资产；如果已经安装，则纳入可信主机群管理。对于可信主机中运行的所有进程，在初始条件下所有进程均被认为是风险进程进行管理，一旦主机进程探测模块发现部分进程意图访问敏感数据资产，则自动将其转化为可信进程，使其处于一个透明隔离防护环境运行，从而保障敏感数据资产的安全。

本发明所涉及的企业核心数据资产访问网关判断主机是否安装智能防护终端的方法是：

（1）智能防护终端在主机上安装网络过滤驱动，利用IP包的保留字段对主机外发IP包进行特殊标记，这种利用保留字段的方法既不会影响主机的网络访问行为，也不能够对该主机进行标记；

（2）企业核心数据资产访问网关对所有主机发出的IP包进行特征过滤分析，如果发现保留字段中的保留字段被打了标记，则可认定已经安装了智能防护终端，否则即将其纳入到风险主机群，无条件阻断其对敏感数据资产的访问。

（3）由于这种标记方法仅利用了IP包的保留字段，因此无论是植入标签还是检测标签，其性能和效率都能够做到很高，因此能够支持高并发量处理。

本发明所涉及的主机进程探测模块的实施方法是，使用智能防护终端在主机上安装进行网络过滤驱动，并在策略中预定义企业核心应用的软件特征，如进程名、厂商名、版本号、文件摘要值等信息；一旦网络过滤驱动发现符合指定特征的进程运行，立即将其纳入到可信主机群进行管理，采用透明隔离防护环境对其进行防护。如果进程特征匹配不成功，网络访问行为侦测模块会对进程的网络访问行为进行探测，一旦发现其意图访问企业核心数据资产，则自动将其纳入到可信主机群进行管理，采用透明隔离防护环境对其进行防护。

从以上立体化智能探测模块对主机和进程分类的方法可以看出，本发明所提出的方法是一种被动安装防护方法：用户可以自行选择是否安装智能防护终端，如果不安装仍然能够使用除敏感数据资产外的其他资源，对终端主机的使用不会造成任何影响；但是如果由于办公或其他原因需要访问敏感数据资产，则需要自行安装智能防护终端，使其转变为可信主机，置入到可信主机群中。在可信主机中，智能防护终端同样采用被动防护的方法：在初始条件下所有进程均能够正常使用，但是按照风险进程群的方式进行管理，可以访问任意除敏感数据资产外的其他网络或外设资源；如果部分进程意图访问敏感数据资产，这种访问行为将会被智能探测模块实时监测，并自动切换进程模式，使其置入到透明隔离防护隔离运行环境，在保障其对敏感数据资产访问的同时，不会造成任何的数据泄露。由于从风险进程到可信进程的切换是无缝进行的，因此切换过程不会被用户明显感知，也不会影响用户的使用习惯，所以从便利性和安全性方面来看，本发明所提出方法的特征是非常明显的。

请参阅图3，本发明采用透明隔离防护的方法对可信进程的数据访问进行安全防护。在可信主机中，风险进程群中的进程能够不受限制地访问本地磁盘、网络存储等存储设备，能够不受限地使用本地操作系统换、物理内存、外设和风险网络区域资源，而可信进程在透明隔离防护环境中则受到诸多限制。具体体现在：

（1）可信进程在对数据进行IO操作时，如果是写文件，则自动被重定向到透明隔离防护存储区域，这些数据会被自动加密处理，形成加密的文件；如果是读取文件，则透明隔离防护环境会判断该文件是否存在对应的加密文件，如果存在则以透明解密的方式读取加密文件使用；如果不存在，则从外部以只读的方式读取真实位置文件。

（2）可信进程在使用注册表、ini配置文件等系统环境时，采用与文件IO类似的方法，如果需要写入配置信息，则自动重定向到加密的配置文件，将注册表写重定向到指定的配置文件；如果需要读取配置，则优先从加密的配置文件读取，在此位置不存在时，则从真实的系统配置中读取。

（3）可信进程运行的内存区域会进行隔离处理，这里的内存包含进程计算所包含的数据，也包括系统界面数据。在进行隔离处理后，可信进程群中的进程可以互相访问隔离后的内存区域，而风险进程则不能访问，从而保障敏感数据资产不被丢失。

（4）可信进程可以在管理策略的控制下受控地访问外设资源，包括打印机、扫描仪、手持设备、各类外设端口等。特别地，可信进程在访问打印设备时，需要对打印文件进行审批，在审批通过后，只有指定的文件特征校验通过后，才能够对外打印，否则打印操作会被阻断。

（5）可信进程在访问网络时，能够正常访问企业核心数据资产，对于其他风险网络区域，则在安全管理策略的配置下进行受限访问。

从以上透明隔离防护环境对可信进程的管理方式可以看出，风险进程可以无缝切换为可信进程，并对数据进行安全控制，防止数据泄露。同时，由于透明隔离防护环境的保护，风险进程无法通过既有渠道访问可信进程的数据，因此风险进程也难以泄露敏感数据资产。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。