新加坡的《海峡时报》于 2023 年 3 月 10 日刊登了一则题为“重大新闻:军事文件在线泄露”的最新消息,文章指出黑客已经把泄露的机密国防文件放于网上出售,且文件中至少列出了 2 个新加坡实体,但幸运的是,这些文件没有包含当前或敏感信息。相关部门已对此展开调查。这个消息,让人们思考可以采取哪些措施来保护这些文件? 是否存在有效的文件安全解决方案?(备注:本文提及的“文件”等同于“数据”)
什么是文件安全?
对于企业而言,沟通包括信息载体、渠道(邮件、应用等)和对象(客户、员工、利益相关者等);其中,信息载体有时候会包含有价值的重要信息(机密级别)。因此,大家会关心文件的安全和采取相关保护措施。
为了确保文件安全,人们制定了保护措施或流程,以确保文件安全(又称文件访问安全)、防止数据操控和复制等等,令人们可以安全地进行内部或外部文件共享。
常见的安全措施
最常见的保护文件安全的措施包括:使用密码保护文件、仅向目标对象提供安全的文件共享链接。但这些措施足够吗?
让我们来了解文件的不同阶段的安全要求,以及潜在风险和应对措施。
文件的3 个阶段指处理、传输和存储。如果没有相应的访问审批和审计,文件将面临风险。在处理阶段,如果缺乏访问审批,则可能容易造成文件被篡改或内容泄露;在传输过程中,可能会被劫持等; 在存储中,可能被黑客盗取等。虽然,人们可以设置密码以保护文件,但大多数时候黑客可以轻松破解密码,他们可以随意访问所需文件。
在了解文件的阶段和潜在风险后,就可以分析应采取什么措施,以提高文件的数据安全性。
基于属性的访问控制(ABAC,Attribute Based Access Control)
随着社会发展和互联网的普及,数字化转型后的企业为员工提供更多工作方式及共享信息的途径,让员工可以更便捷地工作。也因此,对敏感或机密信息的协作和共享需求随之增加,导致产生了新的安全风险和问题,有待解决。
造成文件或数据风险的潜在因素之一,是企业内部人员。根据 Ponemon Institute 于 2020 年发布的一份报告,在全球范围内,由于员工或承包商疏忽和内部恶意人员导致的事故解决成本,分别占安全事件的 62%和 23%。因此,确保数据安全,解决内部或外部威胁,对于企业、政府、国防工业、研究、以及供应链协作至关重要。
传统的安全工具专注于保护系统免受外部威胁。为了解决内部威胁,需要一种新的安全模型,它侧重于直接保护数据。
基于属性的访问控制(ABAC)是可保护文件或数据的解决方案。
为什么选择ABAC?
基于属性的访问控制(ABAC)是一种零信任、以数据为中心的安全模型,它使用动态策略来控制谁、在什么条件下访问信息。
使用支持 ABAC 的解决方案,策略可以是针对用户属性、内容和环境属性的任意组合。这种方法允许管理团队和安全团队创建策略,根据用户环境和文件内容的实时比较,动态调整访问、使用和共享权限,以执行规则和策略。
ABAC 策略可确保,只有被授权的用户才能在符合策略指定环境(例如时间、地点)的情形中,访问文件或数据。
ABAC的工作原理
ABAC 模型使用文件、用户和环境值等属性,创建属性字典(用于构建精确的访问控制和数据保护策略)。然后,用户根据需求,设置文件的访问策略(即选择所需属性及其它配置),从而增强文件的安全性。
ABAC的应用
综上所述,为了确保良好的文件安全性,应该采用ABAC策略来确定文件的访问权限。安讯奔与 archTIS 合作,推出安全文件解决方案。archTIS 是一家全球创新软件解决方案提供商,它的以数据为中心的信息安全解决方案,主要用于敏感信息的安全协作环境,以保护政府、国防、供应链、企业等。
我们的安全文件解决方案包括以下功能:
- 发现和分级 – 我们的安全文件解决方案会根据定义的策略
扫描和检查文件以查找敏感或受监管数据,而这些文件可位于本地和云协作应用。检测到后,它会根据文件的敏感性和用户的策略,自动对文件进行分级并实施保护。它还可以利用 MIP 敏感度标签结合其他文件和用户属性,来控制对信息的访问和实施保护。
- 限制 – 利用精细的安全性自动限制访问,
根据与文件分级或 MIP 敏感度标签关联的业务规则,来共享和保护内容。客户可以指定仅个人或组才能访问文件,而其它用户仅可访问该文件所在站点的其余部分。安全文件解决方案通过利用数据和用户属性,而不是数据位置,来让用户基于文件级别管理访问。
- 加密 – 我们的安全文件解决方案可以进一步保护内容,
方法是对其进行加密,以确保只有经过授权和认证的用户才能访问内容,即使用户具有管理权限也必须完成认证才能访问,从而也确保可安全地存储机密文件,例如董事会或人力资源文件。它还确保可以控制与外部各方共享的任何数据的访问权限,即使这些数据已从站点中删除。
- 预防 – 我们的安全文件解决方案支持定义规则,以
防止敏感信息或机密文件的分发,从而最大限度地降低数据丢失的风险。例如,如果一个文件被添加到一个站点,而站点成员没有对该级文件的访问权限,那么该文件对此类用户隐藏,即未经授权的成员看不到此文件。此外,可以限制用户仅能通过 Office 365、SharePoint 或 OneDrive 来处理文件,防止除这些工具外的打印、限制通过 Exchange 发送电子邮件、防止保存或复制 Microsoft Office 文件和 PDF 的内容。
- 访问控制 – 我们的安全文件解决方案使用工作流程,用户可以触发
访问请求审批流程,以便管理者可以基于用户级别来审批用户对文件/数据的访问请求。客户可以制定完整的业务规则,处理合规性问题;也可指派企业员工审查、分类、更改分级或加密文件或数据。
- 独特数据保护 – 我们的安全文件解决方案与 Microsoft 和安全产品协作,
增强解决方案原有功能,以执行安全的只读访问、对未经授权的用户隐藏敏感文件、限制编辑文件/数据应用的部分功能、应用动态个性化水印、加密或限制通过 Exchange 电子邮件发送的附件。
- 编辑 – 我们的安全文件解决方案可删除/编辑敏感或机密信息,
例如,在使用Word、Excel、PowerPoint、PDF、NC Protect 安全阅读器打开文件时,删除/编辑文件的关键字或特定短语。
- 审计和报告 – 动态结果查看器,供客户管理分级文件的汇总报告。
报告按级别确定问题数量,并允许管理员审查结果,在需要时重新扫描、重新分级或重新分配权限。支持通过SIEM 工具(例如 Splunk 或 Microsoft Sentinel 等)来集成用户活动和保护日志,以进行进一步分析和继承权限操作。
安全文件解决方案的各项功能,在以下重要和战略领域已得到广泛的认可:政府、国防、法律法规、金融服务、关键基础设施、医疗保健等。
欢迎联系我司的专业技术人员,以了解更多信息。