国产强伦姧在线观看无码,中文字幕99久久亚洲精品,国产精品乱码在线观看,色桃花亚洲天堂视频久久,日韩精品无码观看视频免费

一、序言

近年來各地政府持續(xù)大力推進(jìn)政務(wù)信息共享交換的建設(shè)，政府與政府之間數(shù)據(jù)交換，政府與企業(yè)之間的數(shù)據(jù)開放正在成為各組織機(jī)關(guān)開展高效行動(dòng)的一項(xiàng)日益重要的能力，疫情暴發(fā)期間，各地健康寶數(shù)據(jù)共享就是這項(xiàng)能力的有效證明。然而，在跨域數(shù)據(jù)共享過程中，敏感數(shù)據(jù)的機(jī)密性受到極大挑戰(zhàn)，如何防范，保護(hù)關(guān)鍵數(shù)據(jù)資產(chǎn)成為各組織機(jī)關(guān)重要課題。

二、跨域數(shù)據(jù)共享面臨的安全風(fēng)險(xiǎn)

隨著等級(jí)保護(hù)制度的實(shí)施，通信基礎(chǔ)設(shè)施安全已經(jīng)能夠得到保障，跨域數(shù)據(jù)共享安全焦點(diǎn)逐漸轉(zhuǎn)向業(yè)務(wù)深水區(qū)。由于各組織的職責(zé)不同，同一類數(shù)據(jù)在不同單位的安全要求級(jí)別存在較大差異，某些權(quán)屬部門采集的數(shù)據(jù)范圍大、處理權(quán)限高，而某些相關(guān)部門所需的數(shù)據(jù)范圍小、處理權(quán)限低，由此形成了高安全域和低安全域差別。 

根據(jù)美國(guó)安全桔皮書中的BLP（Bell-Lapudula）訪問控制模型的定義，當(dāng)數(shù)據(jù)由高安全域流向低安全域，即高密低流，則會(huì)導(dǎo)致數(shù)據(jù)機(jī)密性風(fēng)險(xiǎn)。在實(shí)際敏感數(shù)據(jù)防護(hù)監(jiān)管體系中，跨域數(shù)據(jù)共享可能面臨數(shù)據(jù)自身的機(jī)密性風(fēng)險(xiǎn)和防護(hù)監(jiān)管難題，主要包括：

1、敏感數(shù)據(jù)暴露

由于技術(shù)、管理、人員等多種因素的影響，跨域數(shù)據(jù)共享最可能面臨的風(fēng)險(xiǎn)是高安全域向低安全域開放其無權(quán)訪問的數(shù)據(jù)，即低安全域明明只需要數(shù)據(jù)A，但是在高安全域中，A、B數(shù)據(jù)是同一類數(shù)據(jù)的不同屬性，高安全域在數(shù)據(jù)共享時(shí)未加以處理和區(qū)分，從而導(dǎo)致數(shù)據(jù)B泄露到了低安全域。

2、主體責(zé)任不清

在數(shù)據(jù)共享過程中，原始的數(shù)據(jù)擁有者需承擔(dān)數(shù)據(jù)的真實(shí)性、準(zhǔn)確性、機(jī)密性責(zé)任，并需為數(shù)據(jù)安全持續(xù)進(jìn)行組織、人員、技術(shù)、資金投入。但是當(dāng)數(shù)據(jù)獲得者通過數(shù)據(jù)共享?yè)碛辛艘环菪碌臄?shù)據(jù)拷貝，就成為了新的數(shù)據(jù)擁有者，隨著數(shù)據(jù)共享的范圍增加，數(shù)據(jù)安全的主體責(zé)任就可能隨著共享范圍的增加，被新的數(shù)據(jù)擁有者所忽略。

3、防護(hù)強(qiáng)度降級(jí)

根據(jù)《DSMM數(shù)據(jù)安全成熟度模型》的定義，組織的數(shù)據(jù)安力成熟度分為五個(gè)級(jí)別，代表了組織從隨機(jī)、無序、無法復(fù)制的能力，到可度量、可預(yù)測(cè)、不斷改進(jìn)和優(yōu)化的不同級(jí)別能力模型。不同組織的成熟度級(jí)別不同，對(duì)數(shù)據(jù)安全防護(hù)的強(qiáng)度就存在差異，根據(jù)木桶原理，數(shù)據(jù)的整體安全防護(hù)能力取決于防護(hù)能力最差的那塊短板。

4、追蹤溯源困難

指望目前的安全防護(hù)措施能夠的防止敏感數(shù)據(jù)泄露是不現(xiàn)實(shí)的，一旦發(fā)生數(shù)據(jù)泄露事件，則需組織具備能力，回溯泄露源頭，追蹤泄露路徑，實(shí)施調(diào)查取證。在數(shù)據(jù)共享之后，所有安全域內(nèi)的數(shù)據(jù)訪問日志的完整性受到挑戰(zhàn)，任意安全域內(nèi)的日志遭到破壞，都會(huì)給追蹤溯源造成不利影響。

三、跨域數(shù)據(jù)泄露防護(hù)技術(shù)措施分析

跨域數(shù)據(jù)共享的出入口是敏感數(shù)據(jù)統(tǒng)一管控、集中管控的關(guān)鍵環(huán)節(jié)，在數(shù)據(jù)共享出入口做好敏感數(shù)據(jù)泄露防護(hù)措施，可以大大提升防護(hù)效率，減少對(duì)正常業(yè)務(wù)的干擾。通常數(shù)據(jù)共享出入口包括連接互聯(lián)網(wǎng)的網(wǎng)關(guān)設(shè)備或連接其他網(wǎng)絡(luò)的數(shù)據(jù)交換平臺(tái)、單向傳輸設(shè)備，如網(wǎng)閘、單導(dǎo)等。數(shù)據(jù)交換平臺(tái)或單導(dǎo)服務(wù)器支持嵌入復(fù)雜的邏輯功能，可以直接增加數(shù)據(jù)泄露防護(hù)措施，而網(wǎng)關(guān)、網(wǎng)閘等設(shè)備功能單一，只能串接獨(dú)立的數(shù)據(jù)網(wǎng)關(guān)設(shè)備提供數(shù)據(jù)泄露防護(hù)措施。數(shù)據(jù)共享出入口處的數(shù)據(jù)可能是文件或者是網(wǎng)絡(luò)流量，針對(duì)這兩種類型數(shù)據(jù)，需要部署的數(shù)據(jù)泄露防護(hù)措施包括：

1、智能數(shù)據(jù)分類分級(jí)

如今敏感數(shù)據(jù)識(shí)別仍以人工標(biāo)識(shí)、關(guān)鍵字、正則表達(dá)式或者文件指紋等方法為主，這些方法能夠保證敏感數(shù)據(jù)識(shí)別的精確性，但是對(duì)于網(wǎng)絡(luò)內(nèi)的海量文件和網(wǎng)絡(luò)流量，則顯得效率過低，漏報(bào)率過高。只有利用機(jī)器學(xué)習(xí)等人工智能技術(shù)，綜合有監(jiān)督和無監(jiān)督的學(xué)習(xí)過程，通過大量數(shù)據(jù)訓(xùn)練模型，覆蓋所有結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)，才能控制數(shù)據(jù)共享出入口的所有文件和流量。

2、跨域數(shù)據(jù)加密解密

數(shù)據(jù)共享后可讀范圍的控制是數(shù)據(jù)主體責(zé)任的關(guān)鍵要素，只有數(shù)據(jù)擁有者才可控制數(shù)據(jù)的傳播范圍?？刂泼舾袛?shù)據(jù)傳播的技術(shù)莫過于數(shù)據(jù)加解密技術(shù)，數(shù)據(jù)擁有者向的數(shù)據(jù)獲得者發(fā)放密鑰，當(dāng)敏感數(shù)據(jù)從數(shù)據(jù)共享出入口離開時(shí)用密鑰加密，此時(shí)只有獲得了密鑰的數(shù)據(jù)獲得者才能解密數(shù)據(jù)。需要注意的是，由于網(wǎng)絡(luò)流量無法存儲(chǔ)，所以加解密技術(shù)只在網(wǎng)絡(luò)流量數(shù)據(jù)落地后適用。

3、行為審計(jì)分析

數(shù)據(jù)在業(yè)務(wù)網(wǎng)絡(luò)內(nèi)部正常流轉(zhuǎn)時(shí)泄露可能性非常低，只有當(dāng)數(shù)據(jù)從共享出入口離開網(wǎng)絡(luò)時(shí)，數(shù)據(jù)泄露可能性才陡然升高，因此在數(shù)據(jù)共享出入口記錄數(shù)據(jù)流出日志，保留數(shù)據(jù)發(fā)送者、發(fā)送時(shí)間、目標(biāo)接收人、敏感數(shù)據(jù)類別等關(guān)鍵信息，進(jìn)行用戶行為審計(jì)，識(shí)別異常行為是組織必須采取的檢測(cè)措施。

4、動(dòng)態(tài)數(shù)據(jù)脫敏

在數(shù)據(jù)共享過程中，某些數(shù)據(jù)在共享前后要保持其部分可識(shí)別性和性，此時(shí)可采用數(shù)據(jù)脫敏技術(shù)進(jìn)行敏感數(shù)據(jù)保護(hù)。在數(shù)據(jù)共享出入口處，數(shù)據(jù)處于流動(dòng)狀態(tài)，因此適合動(dòng)態(tài)數(shù)據(jù)脫敏技術(shù)，在數(shù)據(jù)傳遞的過程中進(jìn)行脫敏。脫敏的方法支持截?cái)?、屏蔽、掩碼、哈希和標(biāo)識(shí)轉(zhuǎn)換等常見方法。另外，由于網(wǎng)絡(luò)流量需校驗(yàn)數(shù)據(jù)完整性，所以動(dòng)態(tài)數(shù)據(jù)脫敏技術(shù)只能在網(wǎng)絡(luò)流量數(shù)據(jù)落地后適用。

四、DLP解決方法

機(jī)關(guān)企業(yè)數(shù)據(jù)紛繁復(fù)雜，無法面面俱到進(jìn)行人工審查，帶來了安全管理的潛在隱患。亞訊DLP信息保護(hù)系統(tǒng)幫助機(jī)關(guān)企業(yè)對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行歸類、標(biāo)簽、保護(hù)，增強(qiáng)數(shù)據(jù)的可控度。通過配置數(shù)據(jù)敏感策略，可對(duì)數(shù)據(jù)進(jìn)行智能分析并歸類；通過標(biāo)注標(biāo)簽，對(duì)敏感數(shù)據(jù)文檔進(jìn)行加密、加水印等操作。作為機(jī)關(guān)企業(yè)關(guān)鍵數(shù)據(jù)的貼身保鏢， 不僅僅可以對(duì)機(jī)關(guān)企業(yè)內(nèi)的數(shù)據(jù)進(jìn)行安全可靠的靜態(tài)保護(hù)，還可以進(jìn)一步對(duì)數(shù)據(jù)離開機(jī)關(guān)企業(yè)環(huán)境的過程進(jìn)行全鏈條的有效防護(hù)，例如禁止敏感數(shù)據(jù)的編輯轉(zhuǎn)發(fā)、復(fù)制截屏打印、文檔追蹤等操作。無論是云端、本地還是儲(chǔ)存設(shè)備的敏感數(shù)據(jù)都能實(shí)時(shí)監(jiān)測(cè)分享的路徑及訪問的記錄，發(fā)現(xiàn)異常訪問即時(shí)撤銷訪問權(quán)限，避免數(shù)據(jù)泄露。