天榕DLP解决方案助运营商行业防范APT攻击

一. 概述

中国工业和信息化部今年发布数据称，截至2013年1月底，中国电话用户数达到14.0032亿户，其中手机用户11.2亿户，固定电话用户2.8亿户，二者之和已经超过了中国大陆的人口数。

随着手机用户量的增加，运营商行业的客户数据量也随之增长。个人用户对于数据泄露问题的意识也逐渐增强。比如大家所熟知的 3 月 15 日消费者权益日的“3.15”事件，据新闻媒体披露，某地运营商以短信形式泄露了客户的敏感信息。另外还有第三方代维人员私自下载VIP用户数据进行倒卖获利。

315晚会后，运营商积极配合公安机关调查涉事单位，并且要求所有分公司自查并制定信息安全保护的法规。某运营商下属分公司技术专家表示，“上到我们母公司，下到我们的管理人员和开式员工，我们都会非常认真地对待这一问题，我们已经斥巨资进行数据泄露防护。”

二. DLP项目的驱动力

规避自身法律风险是运营商行业推进DLP项目最主要的驱动力。

另外，随着一些APT攻击持续被曝光，如何防范APT攻击也是运营商的一项长期任务。从运营商行业泄密的案例来看，APT攻击的对象一般是商密信息、客户资料、VIP信息、通话、短信记录等较容易被窃取，涉及的人员主要是第三方代维人员和有权限获取敏感信息的内部员工。因此建立运营商行业在APT攻击下的数据防泄漏体系方案是紧急且重要的任务。

三. 用户所面临的问题

用户虽然已有安全管理平台实现对业务操作账号管理、登陆认证、操作授权、操作内容进行审计和管理，但是敏感信息一旦从安全管控平台流出后，即无法实现对敏感信息进行有效的安全管控。

3.1 涉及到的敏感信息

1. 内部系统的敏感信息主要集中在客户的话单文件、位置信息、VIP客户的详细信息等;

2. 可通过内部系统的数据库获取到相关信息;

3. 各类含用户信息、系统信息、帐号口令信息的日志、配置等的导出文件(以excel文件为主)。

3.2 哪些人拥有敏感信息?

1. 访问OA网络网管部门员工;

2. 系统操作维护人员：

a) 主要是各内部系统的建设厂商员工;

b) 对内部系统架构非常熟悉，对内部系统的操作权限甚至比管理者高;

c) 维护人员清楚系统操作的死角，有能力避开管理人员的监控获取敏感信息或操作。

3. 现场开发人员;

4. 报表系统前端。

四. 数据防泄密需求

4.1 数据泄露风险点

1. 维护人员直接操作服务器：现场维护人员直接进入机房，对服务器进行访问与操作，并将数据导出后通过U盘带走;

2. 维护人员通过通过内部系统导出数据：维护人员接入内部系统后，通过客户端管理工具访问数据库后，将数据导出到维护终端，并通过U盘、FTP、WEB上传、邮件、QQ等方式将数据带走;

3. OA人员有意或无意泄露数据：移动内部办公人员从运维人员处获取数据后，通过U盘、FTP、WEB上传、邮件、QQ等方式将数据带走;

4. 报表系统前台查询人员：通过报表系统访问后端数据库，并导出查询数据带走;

5. 维护人员/系统开发人员通过前端服务器访问后端数据：维护人员通过前端服务器(如WEB、中间件等服务器)连接数据库服务器，将导出的数据存储在前端服务器上，然后通过U盘、网络等方式将数据带走。系统开发人员对系统非常了解与熟悉，可能会不通过前台直接连接后台服务器，并导出数据带走。

4.2 加密需求

1. 信息加解密必须是强制的;

2. 不改变用户的使用习惯;

3. 文件的解密工作可由用户提出，并按照内部的工作习惯进行流程审批;

4. 转换授权后的文档具有使用时限、浏览次数等控制;

5. 在特殊情况下，计算机能够脱离网络环境使用，同时保证信息安全性;

6. 计算机离线能够由用户提出申请，按照内部的工作习惯进行流程审批;

4.3 审计需求

1. 能够对所有人员通过U盘、邮件、QQ、FTP、WEB上传、WEBMAIL等方式向外部传递敏感信息做记录与报警;

2. 支持对文件打印、刻录等行为进行监控;

3. 支持Office、纯文本、PDF、html、xml等格式文件;

4. 审计记录信息需足够详细可信，误报率低，只记录所定义的敏感文件的操作信息;

5. 支持客户端软件利用空闲时间扫描;

6. 终端离开网络后进行的文件操作记录，在连回网络后，可将断网期间的文件导入导出行为记录传回审计服务器，即终端离开网络也不会影响操作的审计;

五. 解决方案

在4A网络(以下以4A平台为例，不同客户可能会有不同的系统)中天榕数据加密与审计服务器部署在4A平台的核心交换区，通过4A平台的网络系统同其它各个系统进行连接。系统连接图如下：

图示1-系统连接图

两台服务器分别安装天榕数据加密模块和天榕数据审计模块，天榕数据加密服务器负责天榕数据加密模块的策略的制定、数据库、报告呈现等主控功能。

天榕数据审计模块服务器负责天榕数据审计模块的策略的制定、数据库、报告呈现等主控功能，天榕数据加密与审计终端

天榕数据加密与审计终端主要实现对终端的加密、审计管控工作，需要在每台终端上安装部署。

天榕数据加密与审计终端纳入4A的管理，其前台和后台都通过4A统一进行管理和登陆。

针对网管系统特殊情况，在OA网络中部署一台数据审计服务器，对所有网管系统的OA 终端进行敏感信息管控。