《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 用虛擬碎片化沙箱構(gòu)建數(shù)據(jù)管控新模式

用虛擬碎片化沙箱構(gòu)建數(shù)據(jù)管控新模式

2022-11-11
來(lái)源:安全牛

  據(jù)Verizon公司統(tǒng)計(jì),,34%的企業(yè)數(shù)據(jù)泄露與內(nèi)部員工有關(guān),政府,、金融,、科技,、醫(yī)療、運(yùn)營(yíng)商,、云服務(wù)商等行業(yè)均未幸免,。另外,從類(lèi)別來(lái)看,,內(nèi)部泄露主要以使用端和管理端的主動(dòng)泄露居多,,其次是內(nèi)網(wǎng)滲透的攻擊泄露,最后是誤操作泄露,。

  現(xiàn)在很多安全手段對(duì)業(yè)務(wù)客戶端的管理相對(duì)嚴(yán)格,,但客戶端對(duì)數(shù)據(jù)泄露的管理規(guī)模畢竟有限,就算客戶端在屏幕上一條條截屏或拍照,,以每3秒20條計(jì)算,,完成對(duì)100萬(wàn)條數(shù)據(jù)的管理就需要客戶端管理員每天8小時(shí),連續(xù)工作一周不停歇,。而處于后端應(yīng)用層,、數(shù)據(jù)庫(kù)層,、存儲(chǔ)層的管理員,如果其中混入了惡意人員,,他們盜取100萬(wàn)條數(shù)據(jù),,最快10秒便可完成,如何制約和控制權(quán)利如此巨大的管理員,,也是行業(yè)多年來(lái)的難題,。

  現(xiàn)狀

  雖然在各行業(yè)數(shù)目龐大的管理員中,心懷不軌者只是極小的一部分,,但正是這一小部分人的惡意行為,,就有可能給組織、個(gè)人,,甚至國(guó)家造成不可估量的損失。

  有些組織采用了城墻式防護(hù)手段,,構(gòu)筑高墻,,把守城門(mén),這種方式“阻外”效果明顯,,但“防內(nèi)”就有點(diǎn)力不從心了,,因?yàn)榧词故且粋€(gè)普通的運(yùn)維人員,只要業(yè)務(wù)端口開(kāi)放,,稍作處理,,就可以通過(guò)業(yè)務(wù)端口悄悄地將數(shù)據(jù)“流出來(lái)”(完全不需要經(jīng)過(guò)堡壘機(jī)),或利用后端數(shù)據(jù)的遷移,、導(dǎo)出,、同步或備份等行為,輕易就可將數(shù)據(jù)轉(zhuǎn)到一個(gè)不太受關(guān)注的地方,,再“擇機(jī)出城”,,出城后,一個(gè)小小的U盤(pán)就能盜走龐大的海量數(shù)據(jù),。

  多方共管沙箱技術(shù)解決方案

  采用零知技術(shù)體系的多方共管碎片化沙箱技術(shù),,對(duì)應(yīng)用層、數(shù)據(jù)庫(kù)層,、存儲(chǔ)層的管理員都可以實(shí)現(xiàn)一種全新的“數(shù)權(quán)控制”方式,。該技術(shù)的實(shí)現(xiàn)原理是:用“虛擬碎片化沙箱”將數(shù)據(jù)碎片化加密后分別存儲(chǔ)在多個(gè)獨(dú)立的“數(shù)據(jù)共管方”,并將密鑰和元數(shù)據(jù)存儲(chǔ)在另一個(gè)獨(dú)立“密鑰管理方”,,確?!岸喾綌?shù)據(jù)均不可用”;數(shù)據(jù)使用時(shí),,只能通過(guò)多方共同授權(quán)后,,使用方才能用“沙箱”解密“多方”映射過(guò)來(lái)的數(shù)據(jù),,確保數(shù)據(jù)不落地,而使用方在計(jì)算出結(jié)果后,,也只能回存到“沙箱”對(duì)應(yīng)的“多個(gè)共管方”,,從而實(shí)現(xiàn)多方共管加沙箱式防護(hù)。

  另外,,采用零知技術(shù)體系的定向流轉(zhuǎn)技術(shù),,無(wú)論數(shù)據(jù)分享,數(shù)據(jù)備份,,或是數(shù)據(jù)跨域流轉(zhuǎn),,只能是前端沙箱對(duì)沙箱流轉(zhuǎn)、后端密文對(duì)密文流轉(zhuǎn),、密鑰對(duì)密鑰流轉(zhuǎn),,數(shù)據(jù)各自按指定方向,分通道流轉(zhuǎn),,確保數(shù)據(jù)不交叉和不越界,。在此數(shù)據(jù)安全技術(shù)和機(jī)制保障下,各層的數(shù)據(jù)管理情形如下:

  1,、應(yīng)用層

  應(yīng)用層管理員,,雖然可以通過(guò)應(yīng)用程序接口查詢并獲取大量數(shù)據(jù),但因?yàn)椤吧诚洹笔擎i定進(jìn)程行為的,,應(yīng)用進(jìn)程在訪問(wèn)數(shù)據(jù)庫(kù)或其他業(yè)務(wù)數(shù)據(jù)后只能存回到“臨時(shí)沙箱”中,,管理員想以通過(guò)應(yīng)用程序查詢?yōu)榻杩趤?lái)獲得盜取數(shù)據(jù)已經(jīng)不再合理。

  2,、數(shù)據(jù)庫(kù)層

  任何系統(tǒng)中,,數(shù)據(jù)庫(kù)管理員的權(quán)限都非常大,如今所有的數(shù)據(jù)庫(kù)關(guān)鍵數(shù)據(jù)都在“沙箱”中,,數(shù)據(jù)庫(kù)管理員可以增刪改查數(shù)據(jù)記錄,,但如果想導(dǎo)出沙箱中的數(shù)據(jù)庫(kù),就必需得到“多方”的共同授權(quán),,但關(guān)鍵的問(wèn)題是:如果采用了一套這樣的安全系統(tǒng),,其實(shí)就已經(jīng)消除了數(shù)據(jù)被“裸導(dǎo)”的理由。因?yàn)槿绻芾韱T是為了備份數(shù)據(jù)庫(kù),,采用“沙箱對(duì)沙箱備份”即可,,或者從后端直接“密文對(duì)密文備份”,“密鑰對(duì)密鑰備份”,;如果管理員是要對(duì)數(shù)據(jù)遷移,、流轉(zhuǎn)和分享,也是同樣的道理。所以此時(shí),,一個(gè)“安全的”數(shù)據(jù)庫(kù)管理員已經(jīng)不再有獲取明文數(shù)據(jù)的需求了,。

  3、存儲(chǔ)層

  存儲(chǔ)層管理員分為邏輯層的管理員和物理層的管理員,,存儲(chǔ)層的特點(diǎn)是數(shù)據(jù)流轉(zhuǎn)行為難審計(jì),,具有一定的隱蔽性,越靠近物理層,,監(jiān)控手段的效能就越差,,幾塊硬盤(pán),幾盤(pán)磁帶的“詭異離場(chǎng)”有時(shí)都是悄無(wú)聲息的,,因?yàn)楹芏嘞到y(tǒng)都有自動(dòng)數(shù)據(jù)同步和熱拔插功能,,盜取者拔一塊下來(lái),再插一塊上去,,數(shù)據(jù)很快就會(huì)修復(fù)如初,,有些邏輯層的管理員監(jiān)測(cè)到這種情況,有時(shí)會(huì)誤以為自身邏輯上誤操作了,。

  而使用多方碎片化存儲(chǔ)技術(shù),,數(shù)據(jù)被加密碎化到多個(gè)管理方,邏輯層任何一方的管理員都無(wú)法獲取到完整數(shù)據(jù),;數(shù)據(jù)被碎化加密到多塊磁盤(pán)、多個(gè)磁帶和多個(gè)存儲(chǔ)設(shè)備中,,每個(gè)硬盤(pán),,每個(gè)磁帶,甚至整個(gè)磁盤(pán)陣列或磁帶柜中的數(shù)據(jù)都不可識(shí)別,,縮小了數(shù)據(jù)被盜取的價(jià)值,。

  4、入侵者和勒索病毒

  采用沙箱技術(shù)提供數(shù)據(jù),,不僅可以讓各層級(jí)的數(shù)據(jù)更加安全,,對(duì)于入侵者和勒索病毒來(lái)說(shuō),即使入侵者非法獲取了服務(wù)器的超級(jí)管理員權(quán)限,,也無(wú)法將數(shù)據(jù)盜走,,因?yàn)槌?jí)管理員自己都盜不走,勒索病則更是無(wú)計(jì)可施了,;而且沙箱中的數(shù)據(jù)只有合法進(jìn)程才可以讀寫(xiě),,勒索病毒的進(jìn)程沙箱根本無(wú)法識(shí)別,感染就更不可能發(fā)生了,。

  多方共管沙箱技術(shù)的意義價(jià)值

  總體來(lái)看,,使用零知技術(shù)體系的多方共管碎片化沙箱技術(shù)的作用有三:

  首先,無(wú)論在應(yīng)用層、數(shù)據(jù)庫(kù)層,,還是存儲(chǔ)層,,“監(jiān)守自盜”的安全問(wèn)題將會(huì)得到明顯改善;如果用戶要求高,,甚至客戶端層也可以安裝沙箱,,以此保護(hù)客戶端的整數(shù)據(jù)外流問(wèn)題;

  另外,,過(guò)去很多用戶擔(dān)心公有云或行業(yè)云服務(wù)商獲取自己數(shù)據(jù)的顧慮,,現(xiàn)在也可以進(jìn)一步打消了;而且,,數(shù)據(jù)本身的自由度也得到進(jìn)一步提高,,用戶可以不被綁定到任何一家云服務(wù)商,通過(guò)虛擬沙箱就可以將數(shù)據(jù)隨時(shí)映射到任意一家云服務(wù)商的服務(wù)器或應(yīng)用上,,并且無(wú)需服務(wù)器和業(yè)務(wù)系統(tǒng)做大的調(diào)整,,這樣既增加了數(shù)據(jù)的安全性、又增強(qiáng)了數(shù)據(jù)的易用性,;

  最后,,采用該方案后,組織的資產(chǎn)就可以放心地交給“別人”幫自己管理,,組織內(nèi)部的管理成本也會(huì)進(jìn)一步降低,,在安全性和保密性方面,甚至比組織通過(guò)內(nèi)部員工進(jìn)行管理的級(jí)別都高,,因?yàn)樵诙喾奖O(jiān)督和多方審計(jì)下,,所有的數(shù)據(jù)使用行為都被多方同時(shí)記錄,即使有一方被惡意刪除記錄日志,,其他方依然保有詳細(xì)的審計(jì)信息,;

  “危”和“機(jī)”總是并存,,當(dāng)一個(gè)“?!钡膯?wèn)題得到解決,“機(jī)”就會(huì)到來(lái),,通過(guò)使用零知技術(shù)體系的多方共管碎片化沙箱技術(shù),,解決了組織內(nèi)部數(shù)據(jù)“監(jiān)守自盜”的問(wèn)題后,使得數(shù)據(jù)的可利用性和可流轉(zhuǎn)性都得到了進(jìn)一步的提高,,從而進(jìn)一步助力組織提升了整體業(yè)務(wù)的系統(tǒng)效率和安全性,。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]