一种敏感信息泄露主动监控与责任认定方法与装置的制造方法
【技术领域】
[0001] 本发明涉及敏感信息安全管理领域,尤其涉及一种敏感信息访问/泄露主动监控 与责任认定方法与装置。
【背景技术】
[0002] 现有的企业敏感信息都普遍存放于数据库服务器、主机服务器、采集服务器等设 备,目前采用的敏感信息防泄露的方法主要都是针对某种特定场景,比如DLP信息防泄露是 通过被动地对外发邮件过程进行识别控制、DRM文档加密是对下载到终端机器的数据传输 过程进行识别控制等,这些技术都是基于对生成的敏感信息实体和敏感信息特征码(例如 某人姓名、电话号码)进行的一种监控,容易出现漏判和误判,而且对于侵入企业服务器的 各种病毒和木马、甚至未知攻击造成的持续性敏感信息泄露则无法进行监控,更加无法进 行信息泄露人员的责任追溯和认定。如图1所示的一个典型现有技术框架,左边是一个典型 通信企业计费系统的服务器群,其中敏感信息大部分存在于数据库服务器,中间为各种访 问计费系统服务器群的路径,右边为访问这些服务器群的终端或者第三方企业的接口服务 器。
[0003] 分析现有技术反映出的缺点如下:
[0004] 1.目前很多企业都建立集中化的账号、认证、授权和审计系统(4A平台),对于企业 敏感信息(例如客户信息等)的人工访问已经实现了较好的访问控制和审计。但是对于企业 敏感信息的访问有很大一部分来自于自动化程序或者脚本,对于此类自动化程序或者脚本 的访问目前业界还是缺乏很好的控制手段。
[0005] 2.目前很多企业都建立了终端管理平台,但是终端管理平台主要针对终端上的客 户信息和敏感信息能够实现传输和访问的控制,但是对于不通过终端流转的敏感信息目前 没有响应的机制进行监控和防护。
[0006] 3.目前企业普遍重视IT支撑设备的合规检查和安全加固,但是还有大量的漏洞由 于应用需要等原因造成无法加固,这都给各种黑客、病毒、木马、蠕虫等非法程序以可乘之 机。这些非法程序利用自身特有的攻击手段建立非法的数据访问通道,对企业敏感信息进 行非法获取;部分非法程序甚至通过长期的潜伏,针对特定对象实施长期、有计划性和组织 性地数据窃取。
[0007] 4.实际面临的客户敏感信息访问和业务需求经过多年变更,无法精确的控制、记 录和管理,导致防不胜防,出现一个问题堵上一个访问渠道,整个泄露防护技术和管理工作 被动。
[0008] 5.目前企业的敏感数据防护,大多是基于敏感数据的特征码进行识别,基于特征 码的敏感数据识别很容易出现误判和漏判等情况,导致信息泄露防护不到位。
【发明内容】
[0009] 本发明的目的是提供一种敏感信息泄露主动监控与责任认定方法与装置,解决现 有技术中敏感信息由于一些自动化程序或者脚本与其所在设备建立隐蔽的数据通道造成 的信息泄露问题。
[0010]本发明提案通过对敏感数据被访问时或者对敏感数据向外发送外访数据时产生 的访问流量数据进行实时分析,主动发现异常的数据访问行为,同时对于访问行为发起的 可疑程序或者脚本(包括程序/脚本名称、启动端口、所在主机IP)进行追溯;锁定非法程序 或者脚本后,对于非法程序或者脚本的上传运行时间、上传人员、启动人员等信息进行确 认。以此来识别发现异常程序或脚本、僵木蠕等信息并进行责任人的身份认定。
[0011]不论是黑客、非法访问、长期未维护的访问关系,都有可能产生敏感信息泄露。因 此,我们不从泄露的原因和动机去监控和特征识别,而是对敏感数据存储的主机进行监控, 实时监控敏感数据的访问过程,识别非法访问,并找最终定位到自然人。
[0012] 本发明采用的技术方案如下:
[0013] -种敏感信息泄露主动监控与责任认定方法,包括步骤:
[0014] 敏感数据定义与管理,及确定其所存储的设备;
[0015] 根据所述定义的敏感数据,制定和管理敏感信息访问/外访策略;
[0016] 对敏感数据所存储的设备进行网络流量数据采集及预处理;
[0017] 根据所述的敏感信息访问策略对所述采集处理后的流量数据进行非法访问/外访 识别,找出敏感信息的异常访问发起程序和异常外访接收程序;
[0018] 针对所述获得的非法访问/接收程序进行敏感信息泄露责任认定,确定非法访问 帐户和相关人员信息。
[0019] 进一步地,所述的敏感信息访问/外访策略,包括白名单的合法访问/外访策略和 黑名单的非法访问/外访策略;将敏感信息被其它设备正常访问或者敏感信息正常外访到 其它设备的情况列入白名单,将敏感信息被其它设备异常访问或者敏感信息异常外访到其 它设备的情况列入黑名单,将待确认的访问/外访情况列入灰名单。
[0020] 进一步地,所述的非法访问/外访识别过程是:
[0021] 根据白名单的合法访问/外访策略和黑名单的非法访问/外访策略,对所述采集处 理后的流量数据进行策略匹配,符合黑名单的非法访问/外访策略时,找出非法访问设备及 其上的异常访问发起程序信息,找出非法接收设备及其上的异常外访接收程序信息;对于 无法与所述白名单策略和黑名单策略匹配上的访问/外访情况,列入灰名单,并将灰名单相 关程序信息再与预设的正常业务清单进行业务比较识别,如果是正常业务程序,将所述正 常访问/外访情况从灰名单中删除并列入白名单策略,否则列入黑名单策略;记录所述的异 常程序所在设备名称、访问/外访数据流的传送时间、修改时间、启动时间,形成非法访问发 起程序/非法外访接收程序列表。
[0022] 进一步地,所述的敏感信息泄露责任认定过程是:
[0023]根据所述非法访问发起程序/非法外访接收程序列表找出非法程序所在设备上异 常程序的生成、修改、运行时间,并追溯这些时间内登录所述设备的账号和相关人员信息, 实现敏感信息泄露责任认定。
[0024]进一步地,所述的敏感信息访问策略,是由访问源IP、访问源端口、访问目的IP、访 问目的端口、外访源IP、外访源端口、外访目的IP、外访目的端口、访问/外访流量、访问/外 访通讯协议、访问/外访时间、访问/外访频次这些因素的组合逻辑表达式组成。
[0025]另外,本方案还提出了一种敏感信息泄露主动监控与责任认定装置,包括:敏感数 据定义管理模块、访问策略管理模块、数据采集处理模块、非法访问识别与非法程序确认模 块和非法访问责任认定模块;
[0026]所述的敏感数据定义管理模块,用于定义和管理敏感信息及确定其所存储的设 备;
[0027]所述的访问策略管理模块,根据敏感数据定义管理模块定义的敏感数据,制定和 管理敏感信息访问/外访策略;
[0028]所述的数据采集处理模块,对敏感数据定义管理模块定义的敏感数据所存储的设 备进行网络流量数据采集及预处理,输出给非法访问识别与非法程序确认模块;
[0029]所述的非法访问识别与非法程序确认模块,根据访问策略管理模块输出的敏感信 息访问/外访策略对所述采集处理后的的流量数据进行非法访问/外访识别,找出敏感信息 的异常访问发起程序和异常外访接收程序;
[0030] 所述的非法访问责任认定模块,针对从非法访问识别与非法程序确认模块获得的 非法访问/接收程序进行敏感信息泄露责任认定,确定非法访问帐户和相关人员信息。
[0031] 进一步地,所述的敏感信息访问/外访策略,所述的敏感信息访问/外访策略,包括 白名单的合法访问/外访策略和黑名单的非法访问/外访策略;将敏感信息被其它设备正常 访问或者敏感信息正常外访到其它设备的情况列入白名单,将敏感信息被其它设备异常访 问或者敏感信息异常外访到其它设备的情况列入黑名单,将待确认的访问/外访情况列入 灰名单。
[0032] 进一步地,所述的敏感信息访问策略,是由访问源IP、访问源端口、访问目的IP、访 问目的端口、外访源IP、外访源端口、外访目的IP、外访目的端口、访问/外访流量、访问/外 访通讯协议、访问/外访时间、访问/外访频次这些因素的组合逻辑表达式组成。
[0033]进一步地,所述的访问策略管理模块进一步包括白名单策略管理单元、黑名单策 略管理单元和灰名单管理单元;白名单策略管理单元用于建立和管理白名单的合法访问/ 外访策略,包括将敏感信息被其它设备正常访问或者敏感信息正常外访到其它设备的情 况;黑名单策略管理单元用于建立和管理黑名单的非法访问/外访策略,包括将敏感信息被 其它设备异常访问或者敏感信息异常外访到其它设备的情况;灰名单管理单元用于建立和 管理待确认的敏感信息访问/外访情况。
[0034] 进一步地,所述的非法访问识别与非法程序确认模块用于,根据白名单的合法访 问/外访策略和黑名单的非法访问/外访策略,对所述数据采集模块获得采集的流量数据进 行策略匹配,符合黑名单的非法访问/外访策略时,找出非法访问设备及其上的异常访问发 起程序信息,找出非法接收设备及其上的异常外访接收程序信息;对于无法与所述白名单 策略和黑名单策略匹配上的访问/外访情况,列入灰名单,并将灰名单相关程序信息再与预 设的正常业务清单进行业务比较识别,如果是正常业务程序,将所述正常访问/外访情况从 灰名单中删除并列入白名单策略,否则列入黑名单策略;记录所述的异常程序所在设备名 称、访问/外访数据流的传送时间、修改时间、启动时间,形成非法访问发起程序/非法外访 接收程序列表并输出给非法访问责任认定模块。
[0035] 进一步地,,所述的非法访问识别与非法程序确认模块进一步包括策略匹配单元、 筛选确认单元和记录单元;策略匹配单元用于根据白