中孚零信任终端安全沙箱,从根源阻断数据泄露风险
2022年4月,某大厂前员工因越权访问该企业核心机密数据,被判处有期徒刑一年。据调查,该员工在职期间,调岗后未按照相关要求清理原职责范围内的业务系统访问权限,其利用业务系统漏洞,通过特定操作绕过权限控制查看系统数据并提供给第三方。
2023年2月12日晚,国外通讯软件Telegram各频道大面积转发某隐私查询机器人链接,仅需输入手机号,即可查询到姓名、手机号和详细收货地址等隐私信息。据报道,该事件泄露了我国某大型快递公司45亿条的个人信息,数据包大小达435GB。
由上述事件可以看出,全球数字化转型加速演进,数据流转愈加频繁,安全边界日渐模糊,不同安全域的敏感数据很可能被不同权限的合法用户和非法用户访问,传统边界防护体系已不能满足业务应用和数据安全的双重需求。
一、数据流转应用频繁,数据安全亟待解决
1.数据资产分布不清
组织数据基数大,数据既存储于数据库中,也散落在不同的终端上,且随着数据不断产生并频繁交互,敏感数据梳理工作的难度进一步加大。由此产生的敏感数据资产底账不清、分布不清等问题,也增加了敏感数据泄露的可能性。
2.数据安全防护存在盲区
业务协同需求大幅增加,数据不断流转共享汇聚,数据生命周期中涉及的节点数量变多,数据除了在边界处会发生泄露风险,也会在流转过程中被攻击窃取,传统边界防护手段已不能满足新时期的数据安全需求。
3.数据访问权限滥用
员工远程办公、终端类型增多、应用程序复杂等安全现状,极易导致数据账号权限不清、违规使用特权账号、数据流向不明等安全风险出现,从而引发数据高密低流、未经授权人员访问敏感数据等安全事件。
4.人员违规操作造成数据泄漏
在组织内部,个别员工为了工作便利,存在明文存储传输、越权访问敏感数据等违规行为,也存在错误操作造成敏感数据泄露的风险行为。同时,离职人员违规拷贝敏感数据,员工恶意窃取重要数据等风险仍旧存在。缺乏人员操作管控造成敏感数据泄露的风险正逐步显露。
当前,数据开放共享进程不断加快,数据安全事件频繁发生。面对政企用户存在大量终端的现实情况,构建一套既满足终端数据安全防护要求,又满足数据合法合规流转使用需求的安全产品,已经成为当前政企数字化转型、确保数据安全的迫切需求。
二、“零信任+沙箱”融合应用,切实解决终端数据安全问题
中孚信息针对数据流转应用安全需求,依托多年敏感数据安全防护能力积累,基于免改造、易部署的原则,以从根源上解决终端数据安全问题为目标,积极推动“零信任+沙箱”融合应用,打造出新一代终端数据安全系统。
该系统综合采用虚拟磁盘、重定向、文件过滤、零信任、轻量化终端安全代理以及底层驱动加密技术,实现通信加密、沙箱文件加密、双桌面环境隔离、数据存储隔离、网络隔离、应用隔离、剪切板控制、外设控制、应用程序控制、屏幕水印等安全功能,解决敏感数据外泄和安全事件追踪溯源问题,满足用户敏感数据资产管理与保护,以及数据合法流转应用的业务需求,以高弹性和高可控性为用户数据安全保驾护航。
1.零信任安全网关
以零信任为理念,以国密算法为基础,打造零信任安全网关,实现网络隔离与应用隔离。一是通过网关、终端、用户三方绑定,持续验证设备和用户身份信息,实现身份动态强认证,并基于身份制定最小权限访问策略,实现应用精细化访问控制;二是建立加密传输通道,保障数据传输的完整性,防止数据被篡改;三是建立安全认证隧道,阻断内外网信息交换。
2、终端DLP
灵活采用内容智能识别、敏感数据发现、拦截及审批等不同技术方法,准确识别终端数据,监控各种应用软件操作敏感文件,跟踪数据变化及运行轨迹,通过事前预警、事中保护、事后追溯的管理手段,防止终端数据泄露、扩散。
3、终端安全沙箱
基于终端软硬件资源构建安全沙箱,实现桌面隔离与数据隔离,禁止敏感数据通过任何方式泄露到安全空间外。一是隔离互联网/工作网办公环境,双桌面便捷切换,实现一机两用;二是建立安全存储空间,沙箱内数据加密存储,互联网看不到工作网数据,工作网看不到互联网数据;三是沙箱内数据采用加密、权限控制、水印等防护技术,禁止未经审批授权输出数据;四是沙箱内数据进行全流程无改造映射,对敏感数据运行轨迹、数据版本以及形态变化进行全流程跟踪。
4、管理平台
中孚零信任终端安全沙箱系统,通过业务零影响、数据高防护、身份强管控、运维低成本等多方优势,形成基于事前预警、事中保护、事后追溯的终端数据安全防护能力,切实有效保障客户终端数据流转应用安全。
一体化弹性可扩展的管理平台,集中管理终端安全代理及数据安全沙箱策略。实现统一的多源敏感数据发现、全流程数据使用合规及自适应防护。
三、政务外网终端“一机两用”应用实践
中孚零信任终端安全沙箱解决方案能够很好满足“一机两用”场景下的安全需求。通过零信任网关与安全沙箱策略配置,控制网络访问与数据访问;通过内置敏感数据识别,对普通模式下数据流转进行安全审计,对安全模式下敏感数据进行监测,并对外带等风险行为进行及时高效阻断,在提供工作便利的同时确保数据安全。
当用户使用普通模式时,可访问互联网,但不能访问工作网,无法看到和使用沙箱内的敏感数据,并通过终端DLP对敏感数据进行内容识别和追踪审计;当切换至安全沙箱模式时,用户可访问工作网,但不可访问互联网,无法看到沙箱外的数据,同时禁止截屏、拷贝、打印等外发功能,严控未经审批授权的数据输出至沙箱外部,确保数据流转安全可控。在实现互联网与工作网有效隔离的基础上,化解终端“一机两用”跨域办公产生的数据泄露风险。
在国家加快推动数据开放共享的背景下,数据跨域流转应用的安全需求逐渐增加,中孚零信任终端安全沙箱可实现数据隔离、网络隔离、应用隔离,控制敏感数据不出安全域,保障数据安全,为数据资产增值。未来,中孚信息将持续深耕数据安全领域,加大数据安全核心技术产品攻关,护航政企数字化转型。