一種敏感信息泄露主動(dòng)監(jiān)控與責(zé)任認(rèn)定方法與裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及敏感信息安全管理領(lǐng)域，尤其涉及一種敏感信息訪問/泄露主動(dòng)監(jiān)控 與責(zé)任認(rèn)定方法與裝置。
【背景技術(shù)】
[0002] 現(xiàn)有的企業(yè)敏感信息都普遍存放于數(shù)據(jù)庫服務(wù)器、主機(jī)服務(wù)器、采集服務(wù)器等設(shè) 備，目前采用的敏感信息防泄露的方法主要都是針對某種特定場景，比如DLP信息防泄露是 通過被動(dòng)地對外發(fā)郵件過程進(jìn)行識(shí)別控制、DRM文檔加密是對下載到終端機(jī)器的數(shù)據(jù)傳輸 過程進(jìn)行識(shí)別控制等，這些技術(shù)都是基于對生成的敏感信息實(shí)體和敏感信息特征碼(例如 某人姓名、電話號(hào)碼)進(jìn)行的一種監(jiān)控，容易出現(xiàn)漏判和誤判，而且對于侵入企業(yè)服務(wù)器的 各種病毒和木馬、甚至未知攻擊造成的持續(xù)性敏感信息泄露則無法進(jìn)行監(jiān)控，更加無法進(jìn) 行信息泄露人員的責(zé)任追溯和認(rèn)定。如圖1所示的一個(gè)典型現(xiàn)有技術(shù)框架，左邊是一個(gè)典型 通信企業(yè)計(jì)費(fèi)系統(tǒng)的服務(wù)器群，其中敏感信息大部分存在于數(shù)據(jù)庫服務(wù)器，中間為各種訪 問計(jì)費(fèi)系統(tǒng)服務(wù)器群的路徑，右邊為訪問這些服務(wù)器群的終端或者第三方企業(yè)的接口服務(wù) 器。
[0003] 分析現(xiàn)有技術(shù)反映出的缺點(diǎn)如下：
[0004] 1.目前很多企業(yè)都建立集中化的賬號(hào)、認(rèn)證、授權(quán)和審計(jì)系統(tǒng)(4A平臺(tái)），對于企業(yè) 敏感信息(例如客戶信息等）的人工訪問已經(jīng)實(shí)現(xiàn)了較好的訪問控制和審計(jì)。但是對于企業(yè) 敏感信息的訪問有很大一部分來自于自動(dòng)化程序或者腳本，對于此類自動(dòng)化程序或者腳本 的訪問目前業(yè)界還是缺乏很好的控制手段。
[0005] 2.目前很多企業(yè)都建立了終端管理平臺(tái)，但是終端管理平臺(tái)主要針對終端上的客 戶信息和敏感信息能夠?qū)崿F(xiàn)傳輸和訪問的控制，但是對于不通過終端流轉(zhuǎn)的敏感信息目前 沒有響應(yīng)的機(jī)制進(jìn)行監(jiān)控和防護(hù)。
[0006] 3.目前企業(yè)普遍重視IT支撐設(shè)備的合規(guī)檢查和安全加固，但是還有大量的漏洞由 于應(yīng)用需要等原因造成無法加固，這都給各種黑客、病毒、木馬、蠕蟲等非法程序以可乘之 機(jī)。這些非法程序利用自身特有的攻擊手段建立非法的數(shù)據(jù)訪問通道，對企業(yè)敏感信息進(jìn) 行非法獲取;部分非法程序甚至通過長期的潛伏，針對特定對象實(shí)施長期、有計(jì)劃性和組織 性地?cái)?shù)據(jù)竊取。
[0007] 4.實(shí)際面臨的客戶敏感信息訪問和業(yè)務(wù)需求經(jīng)過多年變更，無法精確的控制、記 錄和管理，導(dǎo)致防不勝防，出現(xiàn)一個(gè)問題堵上一個(gè)訪問渠道，整個(gè)泄露防護(hù)技術(shù)和管理工作 被動(dòng)。
[0008] 5.目前企業(yè)的敏感數(shù)據(jù)防護(hù)，大多是基于敏感數(shù)據(jù)的特征碼進(jìn)行識(shí)別，基于特征 碼的敏感數(shù)據(jù)識(shí)別很容易出現(xiàn)誤判和漏判等情況，導(dǎo)致信息泄露防護(hù)不到位。

【發(fā)明內(nèi)容】

[0009] 本發(fā)明的目的是提供一種敏感信息泄露主動(dòng)監(jiān)控與責(zé)任認(rèn)定方法與裝置，解決現(xiàn) 有技術(shù)中敏感信息由于一些自動(dòng)化程序或者腳本與其所在設(shè)備建立隱蔽的數(shù)據(jù)通道造成 的信息泄露問題。
[0010]本發(fā)明提案通過對敏感數(shù)據(jù)被訪問時(shí)或者對敏感數(shù)據(jù)向外發(fā)送外訪數(shù)據(jù)時(shí)產(chǎn)生 的訪問流量數(shù)據(jù)進(jìn)行實(shí)時(shí)分析，主動(dòng)發(fā)現(xiàn)異常的數(shù)據(jù)訪問行為，同時(shí)對于訪問行為發(fā)起的 可疑程序或者腳本(包括程序/腳本名稱、啟動(dòng)端口、所在主機(jī)IP)進(jìn)行追溯;鎖定非法程序 或者腳本后，對于非法程序或者腳本的上傳運(yùn)行時(shí)間、上傳人員、啟動(dòng)人員等信息進(jìn)行確 認(rèn)。以此來識(shí)別發(fā)現(xiàn)異常程序或腳本、僵木蠕等信息并進(jìn)行責(zé)任人的身份認(rèn)定。
[0011]不論是黑客、非法訪問、長期未維護(hù)的訪問關(guān)系，都有可能產(chǎn)生敏感信息泄露。因 此，我們不從泄露的原因和動(dòng)機(jī)去監(jiān)控和特征識(shí)別，而是對敏感數(shù)據(jù)存儲(chǔ)的主機(jī)進(jìn)行監(jiān)控， 實(shí)時(shí)監(jiān)控敏感數(shù)據(jù)的訪問過程，識(shí)別非法訪問，并找最終定位到自然人。
[0012] 本發(fā)明采用的技術(shù)方案如下：
[0013] -種敏感信息泄露主動(dòng)監(jiān)控與責(zé)任認(rèn)定方法，包括步驟：
[0014] 敏感數(shù)據(jù)定義與管理，及確定其所存儲(chǔ)的設(shè)備；
[0015] 根據(jù)所述定義的敏感數(shù)據(jù)，制定和管理敏感信息訪問/外訪策略；
[0016] 對敏感數(shù)據(jù)所存儲(chǔ)的設(shè)備進(jìn)行網(wǎng)絡(luò)流量數(shù)據(jù)采集及預(yù)處理；
[0017] 根據(jù)所述的敏感信息訪問策略對所述采集處理后的流量數(shù)據(jù)進(jìn)行非法訪問/外訪 識(shí)別，找出敏感信息的異常訪問發(fā)起程序和異常外訪接收程序；
[0018] 針對所述獲得的非法訪問/接收程序進(jìn)行敏感信息泄露責(zé)任認(rèn)定，確定非法訪問 帳戶和相關(guān)人員信息。
[0019] 進(jìn)一步地，所述的敏感信息訪問/外訪策略，包括白名單的合法訪問/外訪策略和 黑名單的非法訪問/外訪策略;將敏感信息被其它設(shè)備正常訪問或者敏感信息正常外訪到 其它設(shè)備的情況列入白名單，將敏感信息被其它設(shè)備異常訪問或者敏感信息異常外訪到其 它設(shè)備的情況列入黑名單，將待確認(rèn)的訪問/外訪情況列入灰名單。
[0020] 進(jìn)一步地，所述的非法訪問/外訪識(shí)別過程是：
[0021] 根據(jù)白名單的合法訪問/外訪策略和黑名單的非法訪問/外訪策略，對所述采集處 理后的流量數(shù)據(jù)進(jìn)行策略匹配，符合黑名單的非法訪問/外訪策略時(shí)，找出非法訪問設(shè)備及 其上的異常訪問發(fā)起程序信息，找出非法接收設(shè)備及其上的異常外訪接收程序信息;對于 無法與所述白名單策略和黑名單策略匹配上的訪問/外訪情況，列入灰名單，并將灰名單相 關(guān)程序信息再與預(yù)設(shè)的正常業(yè)務(wù)清單進(jìn)行業(yè)務(wù)比較識(shí)別，如果是正常業(yè)務(wù)程序，將所述正 常訪問/外訪情況從灰名單中刪除并列入白名單策略，否則列入黑名單策略;記錄所述的異 常程序所在設(shè)備名稱、訪問/外訪數(shù)據(jù)流的傳送時(shí)間、修改時(shí)間、啟動(dòng)時(shí)間，形成非法訪問發(fā) 起程序/非法外訪接收程序列表。
[0022] 進(jìn)一步地，所述的敏感信息泄露責(zé)任認(rèn)定過程是：
[0023]根據(jù)所述非法訪問發(fā)起程序/非法外訪接收程序列表找出非法程序所在設(shè)備上異 常程序的生成、修改、運(yùn)行時(shí)間，并追溯這些時(shí)間內(nèi)登錄所述設(shè)備的賬號(hào)和相關(guān)人員信息， 實(shí)現(xiàn)敏感信息泄露責(zé)任認(rèn)定。
[0024]進(jìn)一步地，所述的敏感信息訪問策略，是由訪問源IP、訪問源端口、訪問目的IP、訪 問目的端口、外訪源IP、外訪源端口、外訪目的IP、外訪目的端口、訪問/外訪流量、訪問/外 訪通訊協(xié)議、訪問/外訪時(shí)間、訪問/外訪頻次這些因素的組合邏輯表達(dá)式組成。
[0025]另外，本方案還提出了一種敏感信息泄露主動(dòng)監(jiān)控與責(zé)任認(rèn)定裝置，包括:敏感數(shù) 據(jù)定義管理模塊、訪問策略管理模塊、數(shù)據(jù)采集處理模塊、非法訪問識(shí)別與非法程序確認(rèn)模 塊和非法訪問責(zé)任認(rèn)定模塊；
[0026]所述的敏感數(shù)據(jù)定義管理模塊，用于定義和管理敏感信息及確定其所存儲(chǔ)的設(shè) 備；
[0027]所述的訪問策略管理模塊，根據(jù)敏感數(shù)據(jù)定義管理模塊定義的敏感數(shù)據(jù)，制定和 管理敏感信息訪問/外訪策略；
[0028]所述的數(shù)據(jù)采集處理模塊，對敏感數(shù)據(jù)定義管理模塊定義的敏感數(shù)據(jù)所存儲(chǔ)的設(shè) 備進(jìn)行網(wǎng)絡(luò)流量數(shù)據(jù)采集及預(yù)處理，輸出給非法訪問識(shí)別與非法程序確認(rèn)模塊；
[0029]所述的非法訪問識(shí)別與非法程序確認(rèn)模塊，根據(jù)訪問策略管理模塊輸出的敏感信 息訪問/外訪策略對所述采集處理后的的流量數(shù)據(jù)進(jìn)行非法訪問/外訪識(shí)別，找出敏感信息 的異常訪問發(fā)起程序和異常外訪接收程序；
[0030] 所述的非法訪問責(zé)任認(rèn)定模塊，針對從非法訪問識(shí)別與非法程序確認(rèn)模塊獲得的 非法訪問/接收程序進(jìn)行敏感信息泄露責(zé)任認(rèn)定，確定非法訪問帳戶和相關(guān)人員信息。
[0031] 進(jìn)一步地，所述的敏感信息訪問/外訪策略，所述的敏感信息訪問/外訪策略，包括 白名單的合法訪問/外訪策略和黑名單的非法訪問/外訪策略;將敏感信息被其它設(shè)備正常 訪問或者敏感信息正常外訪到其它設(shè)備的情況列入白名單，將敏感信息被其它設(shè)備異常訪 問或者敏感信息異常外訪到其它設(shè)備的情況列入黑名單，將待確認(rèn)的訪問/外訪情況列入 灰名單。
[0032] 進(jìn)一步地，所述的敏感信息訪問策略，是由訪問源IP、訪問源端口、訪問目的IP、訪 問目的端口、外訪源IP、外訪源端口、外訪目的IP、外訪目的端口、訪問/外訪流量、訪問/外 訪通訊協(xié)議、訪問/外訪時(shí)間、訪問/外訪頻次這些因素的組合邏輯表達(dá)式組成。
[0033]進(jìn)一步地，所述的訪問策略管理模塊進(jìn)一步包括白名單策略管理單元、黑名單策 略管理單元和灰名單管理單元；白名單策略管理單元用于建立和管理白名單的合法訪問/ 外訪策略，包括將敏感信息被其它設(shè)備正常訪問或者敏感信息正常外訪到其它設(shè)備的情 況;黑名單策略管理單元用于建立和管理黑名單的非法訪問/外訪策略，包括將敏感信息被 其它設(shè)備異常訪問或者敏感信息異常外訪到其它設(shè)備的情況;灰名單管理單元用于建立和 管理待確認(rèn)的敏感信息訪問/外訪情況。
[0034] 進(jìn)一步地，所述的非法訪問識(shí)別與非法程序確認(rèn)模塊用于，根據(jù)白名單的合法訪 問/外訪策略和黑名單的非法訪問/外訪策略，對所述數(shù)據(jù)采集模塊獲得采集的流量數(shù)據(jù)進(jìn) 行策略匹配，符合黑名單的非法訪問/外訪策略時(shí)，找出非法訪問設(shè)備及其上的異常訪問發(fā) 起程序信息，找出非法接收設(shè)備及其上的異常外訪接收程序信息;對于無法與所述白名單 策略和黑名單策略匹配上的訪問/外訪情況，列入灰名單，并將灰名單相關(guān)程序信息再與預(yù) 設(shè)的正常業(yè)務(wù)清單進(jìn)行業(yè)務(wù)比較識(shí)別，如果是正常業(yè)務(wù)程序，將所述正常訪問/外訪情況從 灰名單中刪除并列入白名單策略，否則列入黑名單策略;記錄所述的異常程序所在設(shè)備名 稱、訪問/外訪數(shù)據(jù)流的傳送時(shí)間、修改時(shí)間、啟動(dòng)時(shí)間，形成非法訪問發(fā)起程序/非法外訪 接收程序列表并輸出給非法訪問責(zé)任認(rèn)定模塊。
[0035] 進(jìn)一步地，，所述的非法訪問識(shí)別與非法程序確認(rèn)模塊進(jìn)一步包括策略匹配單元、 篩選確認(rèn)單元和記錄單元;策略匹配單元用于根據(jù)白