據Verizon公司統計,34%的企業數據泄露與內部員工有關,政府、金融、科技、醫療、運營商、云服務商等行業均未幸免。另外,從類別來看,內部泄露主要以使用端和管理端的主動泄露居多,其次是內網滲透的攻擊泄露,最后是誤操作泄露。
現在很多安全手段對業務客戶端的管理相對嚴格,但客戶端對數據泄露的管理規模畢竟有限,就算客戶端在屏幕上一條條截屏或拍照,以每3秒20條計算,完成對100萬條數據的管理就需要客戶端管理員每天8小時,連續工作一周不停歇。而處于后端應用層、數據庫層、存儲層的管理員,如果其中混入了惡意人員,他們盜取100萬條數據,最快10秒便可完成,如何制約和控制權利如此巨大的管理員,也是行業多年來的難題。
現狀
雖然在各行業數目龐大的管理員中,心懷不軌者只是極小的一部分,但正是這一小部分人的惡意行為,就有可能給組織、個人,甚至國家造成不可估量的損失。
有些組織采用了城墻式防護手段,構筑高墻,把守城門,這種方式“阻外”效果明顯,但“防內”就有點力不從心了,因為即使是一個普通的運維人員,只要業務端口開放,稍作處理,就可以通過業務端口悄悄地將數據“流出來”(完全不需要經過堡壘機),或利用后端數據的遷移、導出、同步或備份等行為,輕易就可將數據轉到一個不太受關注的地方,再“擇機出城”,出城后,一個小小的U盤就能盜走龐大的海量數據。
多方共管沙箱技術解決方案
采用零知技術體系的多方共管碎片化沙箱技術,對應用層、數據庫層、存儲層的管理員都可以實現一種全新的“數權控制”方式。該技術的實現原理是:用“虛擬碎片化沙箱”將數據碎片化加密后分別存儲在多個獨立的“數據共管方”,并將密鑰和元數據存儲在另一個獨立“密鑰管理方”,確?!岸喾綌祿豢捎谩?;數據使用時,只能通過多方共同授權后,使用方才能用“沙箱”解密“多方”映射過來的數據,確保數據不落地,而使用方在計算出結果后,也只能回存到“沙箱”對應的“多個共管方”,從而實現多方共管加沙箱式防護。
另外,采用零知技術體系的定向流轉技術,無論數據分享,數據備份,或是數據跨域流轉,只能是前端沙箱對沙箱流轉、后端密文對密文流轉、密鑰對密鑰流轉,數據各自按指定方向,分通道流轉,確保數據不交叉和不越界。在此數據安全技術和機制保障下,各層的數據管理情形如下:
1、應用層
應用層管理員,雖然可以通過應用程序接口查詢并獲取大量數據,但因為“沙箱”是鎖定進程行為的,應用進程在訪問數據庫或其他業務數據后只能存回到“臨時沙箱”中,管理員想以通過應用程序查詢為借口來獲得盜取數據已經不再合理。
2、數據庫層
任何系統中,數據庫管理員的權限都非常大,如今所有的數據庫關鍵數據都在“沙箱”中,數據庫管理員可以增刪改查數據記錄,但如果想導出沙箱中的數據庫,就必需得到“多方”的共同授權,但關鍵的問題是:如果采用了一套這樣的安全系統,其實就已經消除了數據被“裸導”的理由。因為如果管理員是為了備份數據庫,采用“沙箱對沙箱備份”即可,或者從后端直接“密文對密文備份”,“密鑰對密鑰備份”;如果管理員是要對數據遷移、流轉和分享,也是同樣的道理。所以此時,一個“安全的”數據庫管理員已經不再有獲取明文數據的需求了。
3、存儲層
存儲層管理員分為邏輯層的管理員和物理層的管理員,存儲層的特點是數據流轉行為難審計,具有一定的隱蔽性,越靠近物理層,監控手段的效能就越差,幾塊硬盤,幾盤磁帶的“詭異離場”有時都是悄無聲息的,因為很多系統都有自動數據同步和熱拔插功能,盜取者拔一塊下來,再插一塊上去,數據很快就會修復如初,有些邏輯層的管理員監測到這種情況,有時會誤以為自身邏輯上誤操作了。
而使用多方碎片化存儲技術,數據被加密碎化到多個管理方,邏輯層任何一方的管理員都無法獲取到完整數據;數據被碎化加密到多塊磁盤、多個磁帶和多個存儲設備中,每個硬盤,每個磁帶,甚至整個磁盤陣列或磁帶柜中的數據都不可識別,縮小了數據被盜取的價值。
4、入侵者和勒索病毒
采用沙箱技術提供數據,不僅可以讓各層級的數據更加安全,對于入侵者和勒索病毒來說,即使入侵者非法獲取了服務器的超級管理員權限,也無法將數據盜走,因為超級管理員自己都盜不走,勒索病則更是無計可施了;而且沙箱中的數據只有合法進程才可以讀寫,勒索病毒的進程沙箱根本無法識別,感染就更不可能發生了。
多方共管沙箱技術的意義價值
總體來看,使用零知技術體系的多方共管碎片化沙箱技術的作用有三:
首先,無論在應用層、數據庫層,還是存儲層,“監守自盜”的安全問題將會得到明顯改善;如果用戶要求高,甚至客戶端層也可以安裝沙箱,以此保護客戶端的整數據外流問題;
另外,過去很多用戶擔心公有云或行業云服務商獲取自己數據的顧慮,現在也可以進一步打消了;而且,數據本身的自由度也得到進一步提高,用戶可以不被綁定到任何一家云服務商,通過虛擬沙箱就可以將數據隨時映射到任意一家云服務商的服務器或應用上,并且無需服務器和業務系統做大的調整,這樣既增加了數據的安全性、又增強了數據的易用性;
最后,采用該方案后,組織的資產就可以放心地交給“別人”幫自己管理,組織內部的管理成本也會進一步降低,在安全性和保密性方面,甚至比組織通過內部員工進行管理的級別都高,因為在多方監督和多方審計下,所有的數據使用行為都被多方同時記錄,即使有一方被惡意刪除記錄日志,其他方依然保有詳細的審計信息;
“?!焙汀皺C”總是并存,當一個“?!钡膯栴}得到解決,“機”就會到來,通過使用零知技術體系的多方共管碎片化沙箱技術,解決了組織內部數據“監守自盜”的問題后,使得數據的可利用性和可流轉性都得到了進一步的提高,從而進一步助力組織提升了整體業務的系統效率和安全性。
更多信息可以來這里獲取==>>電子技術應用-AET<<